Verschillende nieuwssites over informatiebeveiliging berichtten over de ontdekking van een kritieke kwetsbaarheid: CVE-2021-44228 in de Apache Log4j-bilbiotheek (met een CVSS-score van 10 op 10 wat betreft de ernst ervan). Miljoenen Java-toepassingen gebruiken deze bibliotheek om foutmeldingen te loggen. Tot overmaat van ramp maken aanvallers nu al actief misbruik van deze kwetsbaarheid. Daarom raadt de Apache Foundation alle ontwikkelaars aan om de bibliotheek bij te werken naar versie 2.15.0, en als dat niet mogelijk is, een van de methoden te gebruiken die worden beschreven op de Apache Log4j Security Vulnerabilities-pagina.
Waarom CVE-2021-44228 zo gevaarlijk is
CVE-2021-44228, ook wel Log4Shell of LogJam genoemd, is een kwetsbaarheid van het Remote Code Execution (RCE)-type. Als aanvallers erin slagen deze kwetsbaarheid op een van de servers uit te buiten, krijgen ze de mogelijkheid om willekeurige code uit te voeren en mogelijk de volledige controle over het systeem over te nemen.
Wat CVE-2021-44228 bijzonder gevaarlijk maakt, is het gemak waarmee het kan worden uitgebuit: zelfs een onervaren hacker kan met succes een aanval uitvoeren via deze kwetsbaarheid. Volgens de onderzoekers hoeven aanvallers de applicatie alleen maar te dwingen om één string naar het logboek te schrijven, en daarna zijn ze in staat om hun eigen code in de applicatie te uploaden dankzij de message lookup substitution-functie.
Werkende Proofs of Concept (PoC) voor de aanvallen via CVE-2021-44228 zijn al beschikbaar op het internet. Het is dan ook niet verwonderlijk dat cyberbeveiligingsbedrijven nu al massale netwerkscans naar kwetsbare toepassingen en aanvallen op honeypots registreren.
Deze kwetsbaarheid werd ontdekt door Chen Zhaojun van het Alibaba Cloud Security Team.
Wat is Apache Log4J en waarom is deze bibliotheek zo populair?
Apache Log4j maakt deel uit van het Apache Logging Project. Over het algemeen is het gebruik van deze bibliotheek een van de gemakkelijkste manieren om fouten te loggen, en dat is dan ook de reden waarom de meeste Java-ontwikkelaars hem gebruiken.
Veel grote softwarebedrijven en online diensten gebruiken de Log4j-bibliotheek, waaronder Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, en nog veel meer. Omdat de bibliotheek zo populair is, verwachten sommige informatiebeveiligingsonderzoekers de komende dagen een aanzienlijke toename van het aantal aanvallen op kwetsbare servers.
#Log4Shell pic.twitter.com/1bKDwRQBqt
— Florian Roth (@cyb3rops) December 10, 2021
Welke versies van de Log4j-bibliotheek zijn kwetsbaar en hoe kunt u uw server tegen aanvallen beschermen?
Bijna alle versies van Log4j zijn kwetsbaar, vanaf 2.0-beta9 tot en met 2.14.1. De eenvoudigste en meest effectieve beschermingsmethode is het installeren van de meest recente versie van de bibliotheek, 2.15.0. U kunt die op de projectpagina downloaden.
Als het bijwerken van de bibliotheek om een of andere reden niet mogelijk is, raadt Apache Foundation aan een van de mitigatiemethoden te gebruiken. In het geval van Log4J-versies van 2.10 t/m 2.14.1 adviseren ze om de log4j2.formatMsgNoLookups-systeemeigenschap in te stellen, of de LOG4J_FORMAT_MSG_NO_LOOKUPS-omgevingsvariabele op true te zetten.
Om eerdere versies van Log4j (van 2.0-beta9 t/m.10.0) te beschermen, raden de ontwikkelaars van de bibliotheek aan om de JndiLookup class van het classpath te verwijderen: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class.
Daarnaast raden we aan om beveiligingsoplossingen op uw servers te installeren. In veel gevallen zal dit u in staat stellen om de lancering van schadelijke code tijdig te detecteren, waardoor de aanval gestopt kan worden.