Tweede spoedpatch uit voor Log4Shell

Het Log4Shell-gat (ook wel Shell4log of LogJam genoemd) houdt sinds afgelopen vrijdag securityprofessionals, beheerders en ook IT-leveranciers flink bezig. Na publieke onthulling van de kwetsbaarheid zijn in rap tempo escalaties gekomen voor de ernst van dit gat. Kwaadwillenden kunnen via de loggingtool eigen code uitvoeren op het systeem waar die Java-software draait. Exploitcode waarmee dit valt te doen, is geopenbaard en vervolgens verfijnd. Bovendien is lang niet altijd duidelijk of bekend in welke ICT-producten Log4j aanwezig is.

Zoektocht en patchwerk

Cybercriminelen hebben inmiddels al aanvalscampagnes opgezet. Dit nadat er een beperkende maatregelen (mitigations) en een eerste patch zijn uitgebracht, waarmee Log4j op versienummer 2.15.0 is gekomen. Nu is daar snel achteraan versie 2.16.0 gevolgd, plus nog een .2 toevoeging voor de 2.12-versie van de kwetsbare tool. Laatstgenoemde draait op Java 7, terwijl eerstgenoemde draait op Java 8. De nieuwste patch voor Log4j verwijdert in z'n geheel de functionaliteit waarmee die loggingsoftware van buitenaf valt te misbruiken voor het uitvoeren van commando's op systemen.

Die hackbare systemen lopen enorm uiteen qua soort en leverancier, doordat Log4j door veel leveranciers is verwerkt in hun producten. Het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid heeft een uitgebreide lijst gepubliceerd op GitHub, die het nog bijwerkt. Het is voor securitymensen en beheerders dus zoeken naar Shell4log en misbruik daarvan. Dit in tegenstelling tot geruchtmakende gaten van de afgelopen tijd, zoals in beheersoftware van Kaseya en SolarWinds of in VPN-software van Pulse Secure en Fortinet of mail- en agendaserver Exchange van Microsoft of remote-werksoftware van Citrix.

Al gecompromitteerd?

Security-experts merken nu ook op dat de kans groot is dat veel organisaties al zijn gecompromitteerd. Nu patchen - of nog moeten wachten op patches van Log4j-gebruikende leveranciers - zou dus slechts nieuw misbruik voorkomen. Mogelijk dat kwaadwillenden al zijn binnengedrongen en eigen backdoors of slapende malware hebben geplaatst. De vrees voor ransomware die op gegeven moment geactiveerd wordt, is dan ook flink.