Overslaan en naar de inhoud gaan

Nederlandse Log4Shell-scantool dankzij DIVD en DTACT

Zoeken in ICT-omgevingen of er sprake is van kwetsbare versies van Log4j wordt nu geholpen door een gratis tool van Nederlandse bodem. Vrijwilligersorganisatie DIVD en securitymonitoringbedrijf DTACT hebben een scanner ontwikkeld en stellen die als open source beschikbaar op GitHub.
Datalek, hack
© CC0/Pixabay License
CC0/Pixabay License

De scantool spit Java-archiefbestanden door op de loggingtool Log4j die in oudere versies van de 2.x-reeks van buitenaf hackbaar is. Daarbij heeft deze scanner (divd-2021-00038--log4j-scanner) weet van de recent uitgebrachte tweede spoedpatch voor Log4j: versie 2.16.0. In die update is de misbruikbare functionaliteit geheel verwijderd.

Nog 'erg alpha'

De scansoftware, die is te downloaden op ontwikkelaarsplatform GitHub, verkeert momenteel nog in een zeer vroeg ontwikkelstadium. De makers waarschuwen dat het nog 'erg alpha' is en dat gebruikers voorzichtig moeten zijn als ze de applicatie gebruiken. "We hebben het getest in een flink aantal gevallen en het lijkt correct te werken", vermeldt het readme-bestand.

De code voor de scanner staat op naam van Remco Verhoef, die medeoprichter en 'chief hacking officer' is van DTACT. Dat bedrijf biedt securitydiensten waaronder SOC/SIEM (Security Operations Centre / Security Information & Event Management) en cloudsecuritymonitoring. DTACT is één van de partners van vrijwilligersorganisatie DIVD (Dutch Institute for Vulnerability Disclosure). De kwetsbaarhedenmelders bij die Nederlandse stichting mogen het Raven-dataverwerkingsplatform van DTACT kosteloos gebruiken. "We betalen niet in licentievergoedingen, maar in feedback", aldus de DIVD.

Log4j zit in veel ICT-producten

Uit deze samenwerking is nu ook een openbare, gratis scantool gekomen voor de grote Log4Shell-kwetsbaarheid in de wijdverbreid gebruikte Log4j-software. Doordat die loggingtool input van buitenaf accepteert en niet goed filtert, kunnen kwaadwillenden op afstand eigen code uitvoeren op systemen waar die Java-tool draait. Dit kunnen ook serverapplicaties en hardware-appliances van derden zijn, want veel commerciële ICT-leveranciers hebben Log4j omarmd en opgenomen in hun producten.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in