Hoe erg is de Log4j/Log4Shell-kwetsbaarheid?

In dit blog leggen wij uit hoe deze aanvallen werken en wat organisaties kunnen doen om deze kwetsbaarheid te verhelpen en de schade te beperken.

Prioriteitsniveau: hoog

De bug heeft een score gekregen van 10/10 door het CVSS scoringssysteem. Dit is het hoogste prioriteitsniveau, slechter wordt het niet. Het toeschrijven van zo’n hoge score komt door verschillende factoren:

• Log4j wordt gebruikt voor miljoenen Java-applicaties - van kleine corporate apps tot breder geïmplementeerde software en zelfs hele organisaties, zoals iCloud, Cloudflare, Minecraft, Red Hat, Twitter, IBM, Steam, Tesla en Cisco.
• Het is relatief eenvoudig om de onderliggende "improper input validation"-fout te misbruiken. Het vereist enkel dat een aanvaller een kwetsbare applicatie dwingt om een bepaalde tekenreeks te loggen. Omdat apps veel soorten events registreren, zijn er verschillende manieren om dit te doen. Het kan zo simpel zijn als het typen van een bericht in een chatbox.
• Exploitatie kan vervolgens leiden tot het uitvoeren van externe code op de gecompromitteerde server, wat het mogelijk maakt voor aanvallers om malware te downloaden en aanvallen uit te voeren.
• Aanvallers zijn actief op zoek naar kwetsbare systemen om te misbruiken.

Er zijn inmiddels al verschillende soorten aanvallen gesignaleerd, waaronder het installeren van coin miners, het blootleggen van AWS-keys, het inzetten van Cobalt Strike voor ransomware en meer. Het Nationaal Cyber Security Centrum (NCSC) gaf dit weekend al een waarschuwing af en adviseert organisaties met klem om de beschikbare update zo snel mogelijk te installeren.

Wat nu?

Volgens het CISA zouden organisaties de volgende acties moeten ondernemen om zichzelf te beschermen:

• Zoek waar Log4j draait in de omgeving.
• Patch onmiddellijk door te upgraden naar Log4j versie 2.15.0, of pas beperkingen voor leveranciers toe.
• Maak een lijst met alle extern gerichte apparaten waarop Log4j is geïnstalleerd.
• Zorg ervoor dat security operations (SecOps)-teams elke waarschuwing met betrekking tot Log4j uitvoeren.
• Installeer een web-app-firewall met regels die automatisch worden bijgewerkt, om de alert overload op SecOps-teams te verminderen.

Spoor snel kwetsbare applicaties op

Om de schade te beperken heeft Trend Micro een online tool ontwikkeld die organisaties kunnen inzetten om hun omgeving te scannen en mogelijk kwetsbare applicaties te identificeren. De tools is gratis te gebruiken. Daarnaast delen wij in deze video hoe Trend Micro Vision One omgaat met de Log4j-kwetsbaarheid.

Wilt u meer weten over de Log4Shell-kwetsbaarheid en op de hoogte blijven van het laatste nieuws? Sluit dan op 15 december 10:00 aan bij de live webinar waarbij verschillende Trend Micro-experts, zoals Rense Buijen (Technical Director bij Trend Micro en onderdeel van het Incident Response-team), een overzicht zullen geven van de exploit, evenals hoe u deze kunt identificeren en of u kwetsbaar bent.

Meer informatie over Log4j en hoe om te gaan met Log4j is op onze Trend Micro site beschikbaar.

Door Pieter Molen, Technical Director Benelux bij Trend Micro