Kritiek veiligheidsprobleem Apache

Kritiek veiligheidsprobleem Apache software: wat betekent dit voor uw bedrijf?

Op donderdag 9 december 2021 werd een Zero-day exploit openbaar gemaakt in de populaire Java logging library Log4j. Deze wordt vaak gebruikt om logging-informatie van software, toepassingen, hardware-apparaten enz. te creëren en op te slaan. Een Zero-day kwetsbaarheid is een fout in beveiligingssoftware die onbekend is voor iemand die de kwetsbaarheid zou willen verhelpen, zoals een ontwikkelaar. Als een hacker zich ervan bewust wordt en het weet uit te buiten voordat het kan worden gepatcht, wordt het een "Zero-day exploit". Er is nu een patch beschikbaar voor deze kwetsbaarheid, maar er bestaat nog steeds een risico op verdere aanvallen vanuit een ongepatchte toegang.

De betrokken versies van Log4j zijn 2.0 - 2.14.1, de kwetsbaarheid is verholpen in versie 2.15.0.

Hoe groot is het risico?

Dit is een bijzonder gevaarlijke kwetsbaarheid omdat aanvallen op afstand kunnen worden uitgevoerd, geen authenticatie vereist is en er volledige toegang kan worden gegeven tot de aangevallen server/het aangevallen apparaat. Bovendien is misbruik gemakkelijk (met slechts één regel code) en worden er al proof of concept-aanvallen online gepubliceerd. De impact van verdere aanvallen is potentieel groot, aangezien deze logbibliotheek op grote schaal wordt gebruikt, en te vinden is in een breed scala van apparaten en software van verschillende bedrijven: Apache Struts en Tomcat, Solr, Linux-distributies, Blackberry Symantec, Apple enz.

Wie is het meest getroffen?

Helaas is er geen specifiek type bedrijf dat sneller getroffen zal worden dan een ander en is het voor een bedrijf moeilijk om te zien of het kwetsbaar is.  Hoewel de kwetsbaarheid misschien niet in uw eigen versie van de software zit die u gebruikt, is het bijvoorbeeld heel goed mogelijk dat apparaten die u gebruikt (zoals VPN-apparaten, cloudproviders, enz.) de kwetsbaarheid wel hebben. Aangezien dit een Apache-bibliotheek is, is de kans groter dat deze op Linux-servers draait; het is echter een Java-kwetsbaarheid en Java kan op meerdere platforms draaien. Daarom kunnen zowel Windows-, Linux- als Apple-servers kwetsbaar zijn.

Wat moet u doen?

• Controleer of uw IT-/beveiligingsteam en al uw leveranciers op de hoogte zijn van de recente log4j-kwetsbaarheid, ook bekend als CVE-2021-44228 of log4shell.
• Beoordeel uw blootstelling aan deze kwetsbaarheid voor intern ontwikkelde applicaties.
• Praat met uw hardware/software/cloud-leveranciers en beoordeel of hun diensten zijn getroffen.
• Zorg voor een plan om updates uit te rollen na beoordeling van het bovenstaande.
• Zorg ervoor dat u monitoring uitvoert en dat de betrokken medewerkers alert zijn op eventuele aanvallen in de komende maanden die kunnen plaatsvinden als u kwetsbaar was/is.
• Apache heeft hier een beveiligingswaarschuwing gepubliceerd om deze kwetsbaarheid aan te pakken en heeft een patch uitgebracht om de kwetsbaarheid te verhelpen (2.17).

Lees verder (let op: dit zijn externe links die niet door Hiscox zijn goedgekeurd of doorgelicht):

• Extra details van Lunasec.
• Lijst van meer dan 180 verkopers met links naar hun richtlijnen (samengesteld door Franse beveiligingsonderzoeker).
• Lijst met bijna 1.000 diensten en kun kwetsbaarheden (bron: NCSC).

Kijk voor de meest recente informatie op de website van het NCSC.