Groot aantal applicaties getroffen door kritieke kwetsbaarheid in Log4j
De kritieke kwetsbaarheid in logsoftware Log4j raakt een groot aantal applicaties, waaronder die van VMware, ElasticSearch, Red Hat, Atlassian, Amazon, Apache, Oracle en tal van andere programma's en leveranciers. Microsoft is bezig met een onderzoek en het Nationaal Cyber Security Centrum (NCSC) heeft inmiddels op GitHub een overzicht van kwetsbare Log4j-applicaties en te nemen stappen gepubliceerd. De lijst zal de komende dagen nog verder worden aangevuld, aangezien tal van applicaties van Apache Log4j gebruikmaken.
De impact van de kwetsbaarheid, aangeduid als CVE-2021-44228, is op een schaal van 1 tot en met 10 met een 10 beoordeeld. Log4j laat ontwikkelaars allerlei informatie binnen hun applicatie loggen. In bepaalde gevallen kan er data afkomstig van gebruikersinvoer worden gelogd. Een aanvaller kan via een speciaal geprepareerd request, dat door Log4j wordt gelogd, vervolgens via verschillende diensten, zoals het Lightweight Directory Access Protocol (LDAP), Secure LDAP (LDAPS), Remote Method Invocation (RMI) en Domain Name Service (DNS), kwaadaardige code op de server uitvoeren waarop Log4j draait.
"De kwetsbaarheid is wat complex: hoewel sommige producten kwetsbaar zijn, wil dit niet zeggen dat de kwetsbaarheid succesvol is te misbruiken aangezien dit afhankelijk is van verschillende pre- en postcondities, zoals de gebruikte Java virtual machine, de huidige configuratie, etc.", aldus het Zwitserse Government Computer Emergency Response Team (GovCERT.ch). De overheidsinstantie waarschuwt dat het Log4j-lek tegen de vitale infrastructuur kan worden ingezet, maar zijn hier nog geen meldingen over binnengekomen. Bij de huidige aanvallen is voor zover bekend alleen malware geïnstalleerd voor cryptomining en het uitvoeren van ddos-aanvallen.
Log in op je server en doe
sudo lsof|grep log4j
En kijk welke versie er actief is als deze er is.
Elasticsearch gebruikt het bijvoorbeeld ook en logstash stuurt de exploit code gewoon door naar ES.
Er is een hele waslijst aan software wat gebruik maakt van log4j en nee dat heeft niets te maken met Apache webserver behalve dat het door dezelfde stichting onderhouden wordt.
Als je dit al niet doorhebt, ondanks dat in het nieuws duidelijk wordt gemeld wat Log4j is en de informatie ook zonder dat makkelijk te vinden is, dan lukt het je kennelijk niet om te beoordelen of een kwetsbaarheid wel of niet op jou betrekking heeft. De conclusie dat je niet kwetsbaar bent trek je niet op basis van inzicht in wat hier gaande is. Als je inderdaad niet kwetsbaar bent dan heb je per ongeluk de goede conclusie getrokken.
Vraag jezelf eens ernstig af of je wel in huis hebt wat je nodig hebt om op een verantwoorde manier een webserver te draaien.
Het gaat dus verder dan alleen Apache, zoals hierboven ook al aangegeven.
Het gaat dus verder dan alleen Apache, zoals hierboven ook al aangegeven.
De lijst is nog niet volledig en moet aangevuld worden. Het NCSC roept bedrijven en instellingen op om aanvullende informatie te delen, bijvoorbeeld over de versie van Log4j die zij gebruiken.
https://nos.nl/artikel/2409263-internetwaakhond-deelt-lijst-met-software-die-kwetsbaar-is-voor-hackers
Het gaat dus verder dan alleen Apache, zoals hierboven ook al aangegeven.
Als je dit al niet doorhebt, ondanks dat in het nieuws duidelijk wordt gemeld wat Log4j is en de informatie ook zonder dat makkelijk te vinden is, dan lukt het je kennelijk niet om te beoordelen of een kwetsbaarheid wel of niet op jou betrekking heeft. De conclusie dat je niet kwetsbaar bent trek je niet op basis van inzicht in wat hier gaande is. Als je inderdaad niet kwetsbaar bent dan heb je per ongeluk de goede conclusie getrokken.
Vraag jezelf eens ernstig af of je wel in huis hebt wat je nodig hebt om op een verantwoorde manier een webserver te draaien.
Inderdaad en dat gejammer over de webserver Hijawatta of zoiets die ook gebruikt kan worden slaat al helemaal nergens op. De getroffen omgeving is Java EE en de webserver is maar een klein onderdeeltje daarvan, wat er in dit geval ook nog helemaal los van staat ook. Je moet natuurlijk een webserver hebben die als applicatieserver dienst kan doen (waardoor 'Hiawatha' sowieso al afvalt dus houd op met dat ding hier te spammen) maar het probleem zit in een logging bibliotheek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.