Meteen updaten: kwetsbaarheid in Apache Log4j treft veel webtoepassingen

Er is een ernstige kwetsbaarheid gevonden in Apache Log4j die actief wordt misbruikt. De open source tool wordt veel gebruikt in webapplicaties en allerlei andere systemen.

Verschillende veiligheidsautoriteiten, waaronder het Belgische CERT en het Nederlandse NCSC waarschuwen voor potentieel grote schade en adviseren om de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren.

‘We zien actief scangedrag in Nederland en verwachten op korte termijn misbruik van de kwetsbaarheid die inmiddels de naam Log4shell heeft gekregen. Het NCSC monitort de situatie nauwgezet; houd de website in de gaten voor nadere informatie en updates. Bent u niet zeker of er binnen uw organisatie gebruik wordt gemaakt van Apache Log4j, vraag dit dan na bij uw softwareleverancier”, zo meldt NCSC. Bij het Belgische CCB beveelt men eveneens aan om zo snel mogelijk alle instanties met Log4j te updaten naar versie 2.15.0

Wat gebeurt er concreet?

De kwetsbaarheid maakt het voor aanvallers mogelijk de rechten van webservers op afstand te misbruiken, met potentieel grote gevolgschade. Het NCSC heeft voor deze kwetsbaarheid een HIGH/HIGH-beveiligingsadvies uitgebracht: de kans op misbruik op korte termijn en de potentiële schade zijn groot.

Zoals techblogger Herman Maes het eenvoudig uitlegt: ‘Door je naam te veranderen in een applicatie, kan je die applicatie volledig overnemen’. In zijn blog geeft hij een aantal voorbeelden, maar ook hoe je kan testen of je toepassing kwetsbaar is voor misbruik.

In praktijk valt de bug te gebruiken door als gebruikersnaam een stukje code met URL naar je aanvalsserver in te geven. Log4J gaat die input verwerken, eigenlijk ter controle, maar voert daardoor ook de code uit waardoor de applicatie waarin ze zit verwerkt kan worden misbruikt.

Ook VMware en Cisco producten kwetsbaar

De impact van deze vulnerability is heel groot volgens Erik Westhovens, CSI en security architect bij Insight. ‘Apache Log4J wordt bijvoorbeeld gebruikt in diverse producten van VMware zoals vCenter. Met een exploit die al vrij over het internet gaat kunnen aanvallers binnen een paar minuten heel vCenter overnemen en hebben ze toegang tot alle systemen die met vCenter beheerd worden. Er is nog geen complete lijst beschikbaar van software die geraakt wordt door deze vulnerability, maar in de cybersecurity wereld is het momenteel code zwart.’

VMware heeft intussen al documentatie beschikbaar gesteld voor haar producten. In sommige gevallen is er al een patch, in anderen is er een workaround of wordt daar aan gewerkt. Ook Cisco heeft een security advisory voor het probleem met betrekking tot haar producten.

Hoe ontdekken en tegengaan?

Er zijn mogelijkheden om misbruik te detecteren door te zoeken in de logging. Het cybersecurity bedrijf Northwave heeft een tool beschikbaar gesteld om te controleren of uw server kwetsbaar is. Het NCSC wijst op de disclaimer in de begeleidende tekst.

Apache Log4j is zeer breed in gebruik bij grote en kleine organisaties in binnen- en buitenland. De manier waarop deze kwetsbaarheid misbruikt kan worden is inmiddels publiekelijk bekend. Gezien de vele aandacht voor deze kwetsbaarheid verwacht het NCSC dat de manieren voor misbruik de komende tijd worden doorontwikkeld. Het is daarom extra van belang om de updates snel te installeren.

Securitybedrijf Cybereason komt intussen met een ‘vaccin’ voor het probleem. Het verdeelt code die volgens het bedrijf de Log4j kwetsbaarheid gebruikt om de tool af te sluiten van verder misbruik.

Al twee weken misbruikt

Nu het probleem bekend is, duikt er ook meer informatie op rond het misbruik ervan. Cloudflare CEO Matthew Prince zei afgelopen weekend op Twitter dat zijn bedrijf al op 1 december de eerste pogingen ontdekte om Log4J te misbruiken. ‘Dat is negen dagen voor het publiek werd bekendgemaakt,’ al voegt hij er meteen aan toe dat grootschalig misbruik pas na die bekendmaking gebeurde.