Er is een ernstige kwetsbaarheid ontdekt in Apache Log4j, een Java log-tool die in zeer veel applicaties wordt gebruikt. Omdat niet in te schatten is welke rechten de bovenliggende applicatie heeft en doordat de aanvaller willekeurig code op afstand kan injecteren en uitvoeren is de mogelijke gevolgschade niet in te schatten, waardoor het NCSC de impact inschaalt als HIGH/HIGH. Dat betekent dat de kans groot is dat cybercriminelen hier misbruik van maken en de mogelijke schade die hieruit voortvloeit groot kan zijn.

Omdat wij het belangrijk vinden om je accuraat te voorzien van informatie die essentieel is voor de bescherming van jouw ICT-omgeving ontvang je deze belangrijke melding, inclusief het advies van onze IT-Security specialisten.

Het risico

De kwetsbare Log4j wordt vaak gebundeld met andere softwarepakketten wordt tevens vaak gebruikt in combinatie met Apache software. Deze specifieke CVE treft alle versies van Log4j van 2.0-beta9 tot 2.14. Om misbruik te maken van de bekendgemaakte kwetsbaarheid behoeft een aanvaller zich niet vooraf te identificeren maar kan er zonder gebruik te maken van gebruikersnaam/wachtwoord code worden uitgevoerd met dezelfde rechten als de bovenliggende applicatie.

Naam: Log4Shell
CVE*: CVE-2021-44228

* (CVE = Common Vulnerabilities and Exposures, een databank met informatie over IT kwetsbaarheden)

Ons advies

Op dit moment is niet inzichtelijk welke applicaties en diensten allemaal gebruik maken van Log4j, maar het is aannemelijk dat applicaties en diensten die gebruik maken van of geheel geschreven zijn in Java, geschreven zijn met Log4j als logging-module. Wanneer deze applicatie gebruikers-input verwerkt waarin url-achtige constructies (zoals Jdni:ldap) voorkomen, kan worden aangenomen dat deze applicatie daarmee kwetsbaar is voor misbruik. Belangrijk om te weten is dat ook andere systemen (zoals storage units) gebruiken kunnen maken van de kwetsbare module.

Een actueel overzicht van beschikbare updates is te vinden op de GitHub van het NCSC. [Link]. Belangrijk: op deze pagina worden als eerst nieuwe beschikbare updates gemeld. Wij adviseren je dringend om zeer regelmatig te bekijken of er applicaties worden getoond die jouw organisatie gebruikt.

Apache heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Versie 2.16 is beschikbaar bij Apache zelf [Link]

Source code patches die de kwetsbaarheid verhelpen zijn te verkrijgen via de GitHub van het Log4j project [Link]

Als mitigerende maatregel kan de applicatie opnieuw opgestart worden met de directive ‘log4j2.formatMsgNoLookups’ naar ’true’ gezet door ‐Dlog4j2.formatMsgNoLookups=True” aan het JVM commando toe te voegen waarmee de tool wordt gestart. Dit kan echter gevolgen hebben voor de werking van de applicatie, als deze afhankelijk is voor lookups bij het verwerken en weergeven van data.

Gezien de complexiteit van de updates wordt geadviseerd dit te laten verzorgen door een gespecialiseerde IT-consultant.