Apache Log4j kwetsbaarheid
Deze liveblog bevat informatie over kwetsbaarheden in Apache Log4j. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 31 januari 2022.

T-Update
Deze liveblog bevat informatie over kwetsbaarheden in Apache Log4j. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 31 januari 2022.
Status per Tesorion-vendor
Wanneer een Tesorion-vendor een uitspraak heeft gedaan over de kwetsbaarheid ten aanzien van haar portfolio hebben we die hieronder opgenomen. Bronnen: github.com/NCSC-NL/log4shell/tree/main/software en gist.github.com/SwitHak.
Update 31 januari 2022
17:30 | Op 9 december 2021 is een Proof-of-Concept (POC) exploit voor de Apache Log4J library gepubliceerd. Het misbruiken van deze POC exploit is eenvoudig. Echter, voor een succesvolle exploitatie van een op Log4J gebaseerde applicatie, moet de exploit op maat worden gemaakt.
Sinds de publicatie van de POC exploit maken aanvallers actief misbruik van op internet ontsloten VMware Horizon en MobileIron applicaties. Vorige week verscheen een nieuwsartikel waarin beschreven werd dat aanvallers actief misbruik maken van de Log4j kwetsbaarheid aanwezig in Unifi Netwerk applicaties. De Unifi Network applicatie wordt gebruikt om Ubiquiti software en hardware oplossingen te beheren.
Wij adviseren om de beschikbare patches voor de genoemde producten zo snel mogelijk te installeren. Als een van deze producten op internet ontsloten is zonder de beschikbare patches of aanvullende maatregelen, moet deze als gecompromitteerd worden beschouwd en zijn er aanvullende maatregelen nodig. Exploits voor de Log4j-kwetsbaarheden zijn applicatie specifiek en vereisen specifieke aanpassingen per applicatie. Naar verwachting zullen in de loop van de tijd meer exploits voor andere applicaties worden gepubliceerd.
Achtergrond
Een kwetsbaarheid die van invloed is op Apache Log4j-versies 2.0 tot en met 2.14.1, werd op 9 december 2021 bekendgemaakt op de GitHub van het project. De fout is “Log4Shell” genoemd en heeft de hoogste risicoclassificatie van 10. Apache is alomtegenwoordig en omvat bijna een derde van alle webservers ter wereld, waardoor dit een potentieel catastrofale fout is.Log4j is een open source Java-logboekbibliotheek die veel wordt gebruikt in een reeks softwaretoepassingen en -services over de hele wereld. Door de kwetsbaarheid kunnen cybercriminelen controle krijgen over elke op Java gebaseerde, op internet gerichte server en zich bezighouden met Remote Code Execution (RCE)-aanvallen.De meeste inlogschermen ter wereld controleren doorgaans mislukte inlogpogingen, wat betekent dat vrijwel elke geverifieerde pagina die Log4j gebruikt kwetsbaar is. Browser-zoekbalken worden ook vaak geregistreerd en stellen systemen bloot aan deze fout.Het misbruiken van de fout is vrij triviaal. Een aanvaller kan misbruik maken van het beveiligingslek door simpelweg een kwaadaardige codereeks te verzenden die wordt geregistreerd door Log4j. Op dat moment stelt de exploit de aanvaller in staat willekeurige Java-code te laden en de controle over de server over te nemen.
Risico
Aanvallers scannen momenteel actief het internet om kwetsbare systemen te identificeren. De kwetsbaarheid geregistreerd als CVE-2021-44228 heeft een CVSS-score van 10. De CVSS schaal loopt van 0 t/m 10. Een score van 9,8 of hoger is zeldzaam en kent doorgaans een grote kans op uitbuiting met grote impact. Deze kwetsbaarheid geeft een aanvaller de mogelijkheid om ongeautoriseerd code op afstand uit te voeren.
Door de kwetsbaarheid kan een aanvaller ongeautoriseerd op afstand rechtstreeks kwaadaardige verzoeken versturen om zo code uit te voeren. Succesvol misbruik van deze kwetsbaarheid kan er voor zorgen dat de aanvaller het systeem volledig kan overnemen. De Apache Foundation Security Advisory geeft aan dat alle versies van 2.0-beta9 tot 2.14.1 kwetsbaar zijn. Apache Foundation heeft op 9 december een update uitgebracht, het is raadzaam de update zo snel mogelijk te installeren. Wanneer het toepassen van de update niet mogelijk is, dan wordt als mitigerende maatregel geadviseerd: de server kan opgestart worden met de directive ‘log4j2.formatMsgNoLookups’ naar ’true’ gezet door ‐Dlog4j2.formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de tool wordt gestart. Dit kan echter gevolgen hebben voor de werking van de applicatie, als deze afhankelijk is voor lookups bij het verwerken en weergeven van data. Als alternatief voor bovenstaande mitigerende maatregel is het ook een optie om uitgaande sessies zoveel mogelijk te blokkeren om zo te voorkomen dat een aanvaller z’n payload vanaf een externe server kan downloaden.
Advies
Door de kwetsbaarheid kan een aanvaller ongeautoriseerd op afstand rechtstreeks kwaadaardige verzoeken versturen om zo code uit te voeren. Succesvol misbruik van deze kwetsbaarheid kan er voor zorgen dat de aanvaller het systeem volledig kan overnemen.
De Apache Foundation Security Advisory geeft aan dat alle versies van 2.0-beta9 tot 2.14.1 kwetsbaar zijn. Apache Foundation heeft op 9 december een update uitgebracht, het is raadzaam de update zo snel mogelijk te installeren.
Wanneer het toepassen van de update niet mogelijk is, dan wordt als mitigerende maatregel geadviseerd:
de server kan opgestart worden met de directive ‘log4j2.formatMsgNoLookups’ naar ’true’ gezet door ‐Dlog4j2.formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de tool wordt gestart. Dit kan echter gevolgen hebben voor de werking van de applicatie, als deze afhankelijk is voor lookups bij het verwerken en weergeven van data.
Als alternatief voor bovenstaande mitigerende maatregel is het ook een optie om uitgaande sessies zoveel mogelijk te blokkeren om zo te voorkomen dat een aanvaller z’n payload vanaf een externe server kan downloaden.
Bronnen
Meer informatie:
- NCSC beveiligingsadvies
- CVE informatie
- Qualys: CVE-2021-44228: Apache Log4j2 Zero-Day Exploited in the Wild (Log4Shell)
- Cybereason: Releases Vaccine to Prevent Exploitation of Apache Log4Shell Vulnerability (CVE-2021-44228)
- Security Advisories / Bulletins linked to Log4Shell (CVE-2021-44228)
- Status andere bekende fabrikanten
- Statements fabrikanten
Schrijf je in voor T-Updates
Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail
More than 1,000 organisations have already joined us.
