Kwetsbaarheid in Log4j van Apache

15-12-2021 12:00

Kwetsbaarheid in Log4j van Apache

Wellicht heb je het voorbij zien komen: een grote kwetsbaarheid in een stuk software met ongekend grote impact. Het gaat om een kwetsbaarheid in een bibliotheek die op wereldwijde schaal wordt gebruikt: Log4j van Apache.

Wellicht heb je het voorbij zien komen: een grote kwetsbaarheid in een stuk software met ongekend grote impact. Het gaat om een kwetsbaarheid in een bibliotheek die op wereldwijde schaal wordt gebruikt: Log4j van Apache. Deze software draait in Java en wordt gebruikt om meldingen (bijvoorbeeld van incidenten) te loggen. Normaal een prima functionaliteit om problemen in kaart te brengen en software te verbeteren. Maar in dit geval zorgt juist deze bibliotheek voor een kwetsbaarheid waarbij jouw systeem in het ergste geval compleet overgenomen kan worden door hackers. 

Deze kwetsbaarheid staat intussen bekend als CVE-2021-44228, Log4Shell of LogJam. Softwarebedrijven zijn op dit moment druk bezig uit te zoeken of en op welke manieren ze mogelijk kwetsbaar zijn en communiceren hierover zodra de oplossing bekend is en hoe je met het probleem om dient te gaan.  

Wat is de impact van deze lek? 

De exacte impact is nog niet duidelijk. Maar dat dit incident de potentie heeft om een van de grootste IT-rampen van de afgelopen jaren te worden, staat buiten kijf. Het probleem ligt vooral in het feit dat er zo veel systemen – die rechtstreeks met het internet verbonden zijn – geraakt worden. En wanneer er een oplossing is gevonden, moet alles nog uitgerold en geïmplementeerd worden. De ervaring leert dat dit proces enige tijd in beslag neemt voordat alle betrokken systemen up-to-date zijn. En dan zijn er ook nog een aantal systemen die überhaupt kampen met achterstallig onderhoud, om diverse redenen. Bijvoorbeeld door het niet updaten van systemen.  

Wat kunnen we de komende tijd verwachten?  

De consequenties van deze kwetsbaarheid vinden we terug in verschillende hoeken. Ook in hoeken waar nu nog geen focus op ligt. Want, iedereen wil kijken naar wat dichtbij gebeurt. Naar de korte termijn. Maar ook het Darkweb wordt met dit incident geraakt, en mogelijk met grote gevolgen. Op het Darkweb – ondergrondse internetwereld – draait het vooral om anonimiteit. Door misbruik te maken van de kwetsbaarheid in dit verhaal kan bijvoorbeeld de identiteit van deze servers én mogelijk ook van de eigenaren blootgelegd worden. Nu denk je misschien, wat maakt dat uit? Maar juist voor bijvoorbeeld belangrijke onderwerpen zoals persvrijheid is het Darkweb een krachtig middel voor het publiceren van informatie. De impact op deze mensen kan met een kwetsbaarheid als deze desastreus zijn.  

Wat kun jij doen?

De eerste stap is het bepalen of de bibliotheek van Log4j van Apache intern in gebruik is. Hiervoor kun je deze website gebruiken. Hier vind je een overzicht met alle grote leveranciers die over deze kwetsbaarheid een standpunt hebben ingenomen. Zie je een leverancier in dit rijtje die bij jouw organisatie bekend is? Kijk dan wat er wordt aangeraden om te doen. 

Ben je erachter gekomen dat je gebruikmaakt van een kwetsbaar systeem? Kijk dan ook of er reeds misbruik is gemaakt. Dit doe je door het systeem te controleren op vreemd gedrag. Bijvoorbeeld een hoge CPU-load. Maar ook door het nakijken van de logfiles. Bij twijfel, schakel in een vroeg stadium de leverancier in en vraag om hulp. 

En voor de lange termijn? Maak gebruik van een WAF. Een firewall die verkeer van webapplicaties filtert. Hier gaan we binnenkort dieper op in!