Kritieke kwetsbaarheid in Log4j: onderneem nu actie!

Het beveiligingslek kan hackers de kans geven om controle te krijgen over elke op Java-gebaseerde server met internet en om remote code execution (RCE) uit te voeren. Toch moet ook rekening worden gehouden met interne servers die door de kwetsbaarheid kunnen worden getroffen.

Een gedetailleerde blik op CVE-2021-44228: "Een aanvaller die logberichten of logberichtparameters kan controleren, kan willekeurige code uitvoeren die van LDAP-servers is geladen wanneer vervanging van message lookup is ingeschakeld."

De effecten van deze kwetsbaarheid zullen naar verwachting zeer verstrekkend zijn. Volgens het NCSC kan de volledige omvang nog niet worden gekwantificeerd. Er zijn al berichten dat hackers het internet afspeuren om servers te identificeren die kwetsbaar zijn voor uitbuiting.

Omschrijving

• De kwetsbaarheid zorgt ervoor dat criminele groeperingen op afstand code in software kunnen uitvoeren met rechten van een bovenliggende applicatie.
• De bovenliggende applicatie is in dit geval de applicatie die gebruikmaakt van Log4j, waardoor niet in te schatten is welke rechten deze bovenliggende applicatie heeft. Het NCSC heeft de impact mede daarom ingeschaald op hoog en de eerste meldingen van actief misbruik zijn al gezien.
• De kwetsbaarheid is bevestigd in Log4j 2.0 t/m 2.14.1. Log4j 1.x is niet onderzocht, deze versie is al sinds 2015 end-of-life en wordt dus niet meer ondersteund door Apache.
• De kwetsbaarheid is bij updaten naar versie 2.17 verholpen.

De lijst met betrokken producten wordt voortdurend bijgewerkt. De volgende bronnen geven een overzicht:

• NCSC-NL: https://github.com/NCSC-NL/log4shell/tree/main/software#a
• VMware: https://www.vmware.com/security/advisories/VMSA-2021-0028.html
• NetApp: https://security.netapp.com/advisory/ntap-20211210-0007/
• Cisco: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd
• Atlassian: https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html
• Citrix: https://support.citrix.com/article/CTX335705
• Commvault: https://community.commvault.com/technical-q-a-2/log4j-been-used-in-commvault-1985?postid=11745#post11745
• Cybereason: https://www.cybereason.com/blog/cybereason-solutions-are-not-impacted-by-apache-log4j-vulnerability-cve-2021-44228
• Dell: https://www.dell.com/support/kbdoc/de-at/000194372/dsn-2021-007-dell-response-to-apache-log4j-remote-code-execution-vulnerability
• F5: https://support.f5.com/csp/article/K19026212
• Microsoft: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
• Red Hat: https://access.redhat.com/security/cve/cve-2021-44228
• SonicWall: https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0032
• Sophos: https://www.sophos.com/en-us/security-advisories/sophos-sa-20211210-log4j-rce
• Trend Micro: https://success.trendmicro.com/solution/000289940

Het Nationaal Cyber Security Center (NCSC) houdt een pagina bij met een lijst met applicaties die Apache Log4j gebruiken.

Het securityteam van Bechtle AG onderzoekt hoe we klanten maximaal kunnen beschermen. We blijven alert en houden continu updates van de verschillende overheden en leveranciers in de gaten.

Wens je graag meer informatie of heb je hulp nodig? Neem onmiddellijk contact met ons op. Wij kijken graag met je mee!