Onlangs waarschuwde het Nationaal Cyber Security Centrum (NCSC) voor een zeer kritiek lek voor Apache Log4j-software voor webservers. Dit lek maakt het mogelijk netwerken binnen te dringen en ransomware-aanvallen uit te voeren. Inmiddels is een patch beschikbaar. De aangetroffen kwetsbaarheid in de Apache Log4j-software (CVE-2021-44228), die inmiddels de naam Log4shell heeft meegekregen, maakt het mogelijk om de rechten voor webservers te compromitteren. De aangevallen software maakt het onder meer mogelijk te registeren welke gebruikersnamen op websites inloggen en wanneer. Het NCSC deelt een lijst van kwetsbare Log4j applicaties op Github, inclusief stappen die je kunt ondernemen om je organisatie te wapenen tegen deze kwetsbaarheden.
Op basis van vragen van klanten kunnen we gerust meedelen dat OneDesk Mobile geen afhankelijkheden heeft met Java en Apache webservers en er dus geen verhoogd risico is op basis van de Log4j (CVE2021-44229) kwetsbaarheden.
Uiteraard adviseren we wel om de lijst te toetsen aan gebruikte webapplicaties en de adviezen van het Nationaal Cyber Security Centrum op te volgen.
Hackmethode
De hack wordt veroorzaakt doordat de JNDI-eigenschappen in configuratie-settings, logbestanden en parameters niet tegen door hackers gecontroleerde LDAP- en andere JNDI-gerelateerde endpoints beschermen. Hierdoor is het voor hackers eenvoudig de logbestanden of de parameters van deze bestanden op afstand over te nemen en vervolgens via LDAP-servers code te verspreiden wanneer de zogenoemde message lookup is aangezet.
Ransomware eenvoudig te verspreiden
Voor hackers wordt het op deze manier eenvoudig ransomware te verspreiden en netwerken aan te vallen. Volgens experts is het zeer aannemelijk dat hackers inmiddels via deze hackmethode in bedrijfsnetwerken aanwezig zijn en een golf van ransomware-aanvallen valt te verwachten.
De Nederlandse cyberwaakhond geeft bedrijven aan zeer alert op de gevonden kwetsbaarheid te zijn. Het NCSC geeft aan dat de hackmethode al in Nederland actief is. Opgeroepen wordt zo snel mogelijk Apache patches te installeren.
Detectie-tool
Cybersecuritysspecialist Northwave heeft inmiddels een detectie-tool ontwikkeld waarmee bedrijven de kwetsbaarheid in Apache Log4j kunnen ontdekken. Deze tool checkt op kwetsbare systemen die payload-injectie in de User-Agent header gebruiken en dit doen als onderdeel van een HTTP GET-verzoek. Hierbij wordt gekeken naar inkomende DNS-verzoeken met een speciaal aangemaakte UUID. In plaats van het uitrollen van een LDAP-server, levert het kijken naar inkomend DNS-verkeer meer op dat kwetsbare systemen worden ontdekt die filtering voor uitgaand verkeer aan hebben staan. Uitgaand DNS-verkeer is vaak toegestaan, zo blijkt uit de praktijk.
De specialisten van Northwave geven bij de tool wel een belangrijke disclaimer af. Hun tool checkt alleen User Agent en HTTP GET. Hierdoor ontstaan mogelijk false negatives in gevallen waar andere headers, meer specifiek onder meer inputvelden, tot doel moeten worden gemaakt als onderdeel van een HTTP GET-verzoek. In deze gevallen raden de securityexperts aan andere checks uit te voeren.
Verwijzingen naar meer informatie
Groot aantal applicaties getroffen door kritieke kwetsbaarheid in Log4j – Security.NL
Duitsland geeft code rood af wegens Log4j-lek, VS komt met patch-deadline – Security.NL
Securitybedrijven melden grootschalig misbruik Apache Log4j-kwetsbaarheid – Security.NL
Kwetsbaarheid in Apache Log4j 2 maakt remote code execution mogelijk – Security.NL
