Log4shell – Wat is het, hoe lossen we het op en waarom hebben organisaties er last van?
Expertblogs
Afgelopen vrijdag is er een kritieke kwetsbaarheid gevonden in Apache Log4j, een populair onderdeel van een softwareproduct. De kwetsbaarheid heeft de naam Log4Shell gekregen. Specialisten gebruiken de software voor het registreren van gebeurtenissen, ook wel loggen genoemd. Zo kan het onderdeel Log4j bijvoorbeeld gebruikt worden om het te registeren als iemand inlogt op een website. Maar de Log4j software zit in vele honderden, zo niet duizenden andere softwareproducten en applicaties. Specialisten vergelijken het daarom met suiker: in bijna alles wat je koopt in de supermarkt zit wel suiker. Soms is dat overduidelijk, zoals bijvoorbeeld bij snoep. Maar soms is het veel minder duidelijk en verwacht je het niet meteen, bijvoorbeeld bij brood of bij vleeswaren. Daarom is het moeilijk om te zien hoe veel misbruik er is en kan de schade heel groot zijn.
Hoe kunnen aanvallers toegang krijgen?
Door het misbruiken van de kwetsbaarheid kunnen aanvallers het organisaties erg moeilijk maken. Log4shell laat aanvallers namelijk hun eigen code gebruiken. Met deze code kunnen zij de server opdrachten geven. Maar de aanvallers hebben meestal geen goede bedoelingen met deze code en nemen soms de server helemaal over. Dan kan alleen de aanvaller nog op de server. De eigenaar kan dan niet meer bij zijn bestanden of gegevens.
Wat als de kwetsbaarheid wordt misbruikt?
Als de aanvaller een server eenmaal heeft overgenomen, kan hij op verschillende manieren misbruik maken. Bijvoorbeeld door onderdelen van een systeem te vergrendelen. De eigenaar kan dan geen gebruik meer maken van zijn systeem, totdat er geld is betaald aan de aanvaller. Dit noemen we ransomware. Aanvallers kunnen ook persoonsgegevens en bedrijfsgeheimen stelen of processen verstoren. Op dit moment hebben we nog geen signalen ontvangen dat aanvallers dit ook doen. Wat aanvallers wel al doen, is op onderzoek uitgaan: ze kijken of organisaties een goed doelwit zouden zijn voor een (toekomstige) aanval. Hiervoor gebruiken ze ook weer software.
Aanvallen voorkomen
Omdat we zien dat aanvallers druk bezig zijn met het scannen naar zwakke plekken bij organisaties, vragen we organisaties zich voor te bereiden op een aanval. Want dat we nu nog geen groot misbruik zien, betekent niet dat het nooit komt. Het kan zijn dat aanvallers ervoor kiezen op een later moment alsnog toe te slaan. Organisaties kunnen op verschillende manieren een aanval voorkomen. Ze kunnen hun systemen updaten, pogingen tot misbruik van Log4j stoppen of (tijdelijk) hun systemen uitzetten.
Waarom kunnen we niet alle misbruik zien?
Ondanks dat er voor organisaties veel manieren zijn om kwetsbaarheden op te sporen, is het lastig om een volledig beeld te krijgen van het mogelijke misbruik. Systeem-eigenaren weten namelijk niet altijd of en welke van hun systemen Log4j hebben. Daarnaast zorgt Log4shell ervoor dat het voor aanvallers heel makkelijk is om hun sporen uit te wissen.
Voorbereiden op misbruik
Organisaties kunnen zich op verschillende manieren voorbereiden. Eerst moeten zij kijken of Log4j gebruikt wordt in hun netwerk. Niet alleen in systemen die verbonden zijn met het internet, maar ook systemen zonder internetverbinding lopen risico. De meeste methoden die gebruikt worden om de controle te doen zijn nog niet 100% betrouwbaar. Vervolgens kunnen organisaties contact opnemen met hun softwareleverancier om te kijken of er een update is die de kwetsbaarheid kan oplossen. Is deze er niet, dan kan de organisatie besluiten of het mogelijk is het systeem uit te zetten tot er wel een oplossing is. Tot slot kan een organisatie ook extra software installeren die helpt bij het ontdekken en tegengaan van misbruik. We vragen organisaties ook om te zorgen dat ze een plan klaar hebben voor als er een aanval wordt uitgevoerd.
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.