Ga direct naar de inhoud

Log4shell: kwetsbaarheid in Log4j. Wat weten we nu?

Apache Log4j 2.jpg

Het pandemiejaar 2021 laat ons op de valreep nog extra schrikken met Log4shell: een gevaarlijke kwetsbaarheid in de Apache Log4j. Het gaat daarbij niet om een bug, die het cybercriminelen makkelijker maakt om computers te hacken. Maar om iets waardoor wereldwijd de deuren van computers openstaan. Wat is er aan de hand? En wat kunt u eraan doen? ESET Nederland vertelt u er alles over.

Wat is Log4j?

Wat Log4j is, zit in de naam besloten: ‘Log for Java’. Het is een logtool, een stukje code dat gebeurtenissen registreert (logt), die de programmeertaal Java uitvoert. Daarmee ontstaat een logboek van meldingen waarmee IT’ers kunnen checken of alles werkt zoals de bedoeling is. 

Java wordt onder meer gebruikt voor webapplicaties. Maar het kan ook gaan om systemen zonder internetverbinding.

Tot zover is er niets aan de hand. Maar er gebeurt ook iets wat niet is voorzien: als Log4j een gebeurtenis meldt, interpreteert Java dat als een instructie van een ontwikkelaar. Java probeert die gebeurtenis dus uit te voeren, bijvoorbeeld inloggen op een systeem. Dat biedt hackers de mogelijkheid om die gebeurtenissen te manipuleren en hun eigen (schadelijke) code te laten uitvoeren. Ze kunnen daarmee bijvoorbeeld gegevens stelen, computers gijzelen of zelfs hele systemen overnemen.

 

Is daar geen oplossing voor?

De oplossing lijkt voor de hand te liggen: verwijder Log4j of pas de code aan. Alleen is dat niet zo eenvoudig: Log4j is opensourcesoftware, dus software die iedereen kan en mag gebruiken. Omdat ontwikkelaars stukjes code en programmaonderdelen als bouwstenen van elkaar overnemen – want waarom het wiel opnieuw uitvinden – kan de logtool onderdeel zijn van een applicatie zonder dat u dat weet. 

Deze manier van werken heeft nu als groot nadeel dat niet bekend is welke applicaties en systemen allemaal Log4j gebruiken. Zie het als digitaal asbest: het is niet altijd duidelijk waarin het zit en daarom is het nodig de boel flink open te breken om het te vinden. En dan nog is het maar de vraag of het makkelijk te verwijderen is. Java is namelijk overal. Zo wordt de computertaal onder meer gebruikt voor webapplicaties. Maar het kan zelfs gaan om systemen zonder internetverbinding.

 

Wat zijn de gevolgen?

Er is nog meer onzekerheid, want ook de gevolgen van deze kwetsbaarheid zijn niet bekend. Er is nu wel veel onrust in IT-land, maar de fout in Log4j is niet van nu: al in september 2013 verscheen de eerste kwetsbare versie van de logtool. Hoeveel schade er sindsdien door de eerder onopgemerkte kwetsbaarheid is aangericht, valt niet vast te stellen. Maar nu die kwetsbaarheid bekend is, werpen cybercriminelen zich massaal op Log4j. Dat komt ook naar voren uit de gegevens die wij hebben:

  • Onze klantdata laten meer dan 10.000 aanvalspogingen zien bij Nederlandse organisaties. In heel Nederland zal het zeker om meer dan 100.000 aanvalspogingen per dag gaan.
  • Nederland staat hierbij in de top 5 van landen met de meeste aanvallen, na de Verenigde Staten, het Verenigd Koninkrijk, Turkije en Duitsland.

 

Wat is het risico voor u als ondernemer?

Het risico dat ook uw systeem gevaar loopt is aanwezig, bijvoorbeeld omdat uw organisatie de inloggegevens van gebruikers logt met Log4j. Het is niet ondenkbaar dat de logtool in de meeste zakelijke omgevingen voorkomt.

Een groot risico vormt maatwerksoftware: een applicatie die een organisatie zelf heeft ontwikkeld. Deze is vaak lastiger aan te passen en heeft soms achterdeurtjes die niet goed kunnen.

Aan de andere kant: hoewel Log4j het makkelijk maakt om binnen te dringen in systemen, wil dat nog niet zeggen dat dit ook lukt. Er is meer voor nodig om binnen te komen en bijvoorbeeld malware te installeren. Grote commerciële softwareleveranciers kennen bovendien het klappen van de zweep en hebben de kwetsbaarheid al snel verholpen in updates. Een groter risico vormt maatwerksoftware, zoals u die bijvoorbeeld ziet in ziekenhuizen, bouwbedrijven en gemeenten. Een applicatie die een organisatie zelf heeft ontwikkeld, leunt vaak op de kennis van een paar (soms oud-)medewerkers en is daarom vaak lastiger aan te passen. Zo’n applicatie heeft soms achterdeurtjes die niet goed dicht te krijgen zijn.

 

Wat kan u er als ondernemer aan doen?

Tot zover wat we er nu van weten. Nu naar het belangrijkste: wat kunt u doen tegen de Log4shell? Apache heeft een patch uitgebracht om de kwetsbaarheid te verhelpen. Maar dat is een beetje een pleister op de wond. Technisch is het probleem dan wel verholpen, maar praktisch bent u er dan vaak nog niet, omdat immers niet altijd bekend is waar Log4j wordt gebruikt.

Inventariseer daarom welke applicaties mogelijk gebruikmaken van de logtool. Zorg zo snel mogelijk voor een patch voor die kwetsbare applicatie en een update naar de recentste, veilige versie. Blokkeer bovendien verdachte IP-adressen door de firewall aan te passen. En update natuurlijk naar de recentste Log4j-versie.

Opsporen en updaten

Het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid monitort de situatie. Op hun website  vindt u een lijst van applicaties die kwetsbaar zijn, en tips en tools om Log4j op te sporen. Op Github staan scripts die u kunt gebruiken om Log4j te vinden en misbruikpogingen te detecteren in verschillende systemen, zoals Windows en Linux.

 

Geen paniek

Probeer in ieder geval paniekreacties te voorkomen, zoals het uitzetten van commerciële applicaties. Dit zal namelijk niet de laatste kwetsbaarheid zijn waarop u een antwoord moet hebben. Het is voor organisaties daarom beter om niet steeds ad hoc of uit paniek een ‘oplossing’ te bedenken. In plaats daarvan is het verstandig om een gestructureerd proces te ontwikkelen dat het mogelijk maakt om snel te reageren op kwetsbaarheden. Houd bovendien data en systemen goed gescheiden.

Weten welke gevolgen het Log4j-issue voor uw cyberverzekering heeft? Lees ons artikel 'Log4shell: ben ik goed verzekerd?'

ESET

ESET Nederland - IT Security

ESET is uw kennispartner op het gebied van IT-security. In ruim 25 jaar is ESET uitgegroeid tot een wereldwijd merk met meer dan honderd miljoen gebruikers in 180 landen. ESET helpt consumenten en bedrijven hun volledige digitale wereld te beveiligen. Dat doen ze door inzicht te bieden, gedegen advies te geven en services op het gebied van IT-security te verlenen. Vanuit de Nederlandse vestiging in Sliedrecht, is een team van enthousiaste experts dagelijks bezig hun inzichten en kennis over de laatste ontwikkelingen op IT-beveiligingsgebied over te brengen op klanten. Zo kunnen deze zich beter wapenen tegen cybercrime-bedreigingen.

Meer voor

Ook interessant