NCSC-waarschuwing: lange lijst van hackbare software door Log4j-gat

Het Nationaal Cyber Security Centre (NCSC) deelt openlijk een lijst van software die vatbaar is voor het grote Log4Shell-beveiligingsgat waarlangs systemen zijn over te nemen. Het gaat om een fout in loggingtool Apache Log4j die verwerkt is in heel veel softwarepakketten en hardware-appliances van veel verschillende leveranciers. Vaak is niet bekend dat dit opensourcecomponent aanwezig is en dus weten veel organisaties niet dat ze nu kwetsbaar zijn. De NCSC-lijst "is nog lang niet volledig".

Jasper BakkerredacteurMeer van deze auteur

Java-mascotte Sun Microsystems — © Oracle

Oracle

Log4j is door zeer veel leveranciers van commerciële websoftware en enterprise-applicaties benut. De kritieke kwetsbaarheid in deze tool is vlak voor het weekend openbaar geworden. Het maakt het voor aanvallers mogelijk om op afstand en zonder authenticatie eigen code uit te voeren (remote code execution, RCE) op kwetsbare systemen. De loggingtool blijkt namelijk specifiek opgestelde input 'op te vatten' als commando's, waardoor kwaadwillenden dan aanvalscode kunnen uitvoeren met de rechten van deze Java-serversoftware.

Lijst aanvullen

Het NCSC heeft op Github een lijst gepubliceerd met applicaties waarvan nu bekend is dat die hackbaar zijn door het grote gat in Log4j. De kwetsbaarheid is Log4Shell gedoopt, maar wordt ook wel Shell4log en LogJam genoemd. "Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan", meldt het NCSC zelf.

Het cybersecurity-orgaan van de Nederlandse overheid heeft partners, organisaties en bedrijven dringend gevraagd om aanvullende informatie te delen op deze Github-pagina. "Dit is een makkelijke manier om dit soort informatie te ontsluiten", aldus het beveiligingsorgaan. De openbare lijst die het NCSC heeft opgesteld en die het dus blijft aanvullen zal ook dienst doen voor scan- en detectiemogelijkheden. Daarbij gaan zogeheten Indicators of Compromise (IoC's) worden toegevoegd.

Aanvallen in aantocht

In de praktijk zijn er namelijk al scans door kwaadwillenden en enkele gevallen van misbruik waargenomen. De eerste scans zouden zelfs vóór de publieke onthulling van dit 0-day beveiligingsgat hebben plaatsgevonden. Verder zijn in de loop van het weekend meer details over Log4Shell bekend geworden en is er proof-of-concept code verschenen waarmee het gat valt uit te buiten.

De verwachting is dan ook dat er op korte termijn een golf - of meerdere verschillende golven - van hackaanvallen komt - of komen, uitgevoerd door verschillende soorten cybercriminelen. Terwijl er voor de eigenlijke Java-tool Log4j nu wel een patch uit is (waarmee de tool uitkomt op versie 2.15.0) is die update daarmee nog niet gelijk doorgevoerd in software die Log4j gebruikt. Daarvoor moeten gebruikende organisaties wachten op de leveranciers van die software. Ondertussen kunnen beheerders wel aan monitoring doen en afschermende maatregelen nemen.