log4j 2.16 kwetsbaar voor DoS-aanvallen, dringende patch 2.17 aanbevolen

De impact van de beruchte kwetsbaarheid in Java-bibliotheek Log4j sleept voort. Hoewel het grootste probleem werd opgelost met een dringende patch 2.16, ook deze versie blijkt vatbaar voor misbruik. Beveiligingsonderzoekers vonden een ingang voor Denial of Service (Van) aanvallen. log4j 2.17 is gepubliceerd om het item te sluiten.

Apache, ontwikkelaar van de Java-bibliotheek, adviseert organisaties de noodpatch toe te passen. Dat advies geldt voor de derde keer sinds de bibliotheek kwetsbaar werd bevonden.

Anderhalve week geleden, beveiligingsonderzoekers van het cloudbeveiligingsteam van Alibaba hebben een methode onthuld om applicaties te misbruiken met Log4j. Log4j wordt gebruikt in toepassingen om gebeurtenissen te loggen. Het bleek mogelijk om applicaties met de bibliotheek van buitenaf te benaderen met instructies voor het uitvoeren van malware. Misbruik duurt niet veel meer dan een handomdraai. Voeg daarbij het geschatte voorkomen van de bibliotheek in de meeste bedrijfsomgevingen en u begrijpt de omvang van de ramp waarmee het wereldwijde IT-landschap wordt geconfronteerd.

Softwareontwikkelaars zoals Fortinet, Cisco, IBM en tientallen anderen gebruiken de bibliotheek in hun software. Hun ontwikkelaars hebben in het weekend van december overuren gemaakt 11 om de eerste noodpatch voor de kwetsbaarheid te verwerken en te leveren aan gebruikersorganisaties. Precies dezelfde drift werd verwacht van de IT-teams binnen deze organisaties. Er vonden wereldwijd honderdduizenden aanvalspogingen plaats. Iedereen moest overschakelen naar 2.15 zo snel mogelijk – tot 2.15 bleek ook kwetsbaar te zijn.

Bepaalde configuraties van de bibliotheek bleven mogelijk in versie 2.15. Het gebruik van deze configuraties hield de kwetsbaarheid in stand. Versie 2.16 maakte de configuraties onmogelijk, een nieuwe patch garanderen. Vaak tot ergernis van al overwerkte IT-teams. Echter, het kan altijd erger, omdat 2.16 heeft ook een aandoening.

Terug naar start

De massale wereldwijde aandacht voor het probleem leidde tot massaal wereldwijd onderzoek. Apache, ontwikkelaar van de bibliotheek, kan twee dagen lang niet op adem komen zonder dat een beveiligingsbedrijf wijst op een nieuwe, dringend probleem.

In het kort, het blijkt dat het mogelijk is om tientallen versies van log4j uit te voeren – inclusief 2.16 – met één regel (snaar) om een ​​eeuwige lus te starten die de applicatie laat crashen. De voorwaarden waaraan een omgeving moet voldoen om misbruikt te kunnen worden zijn uitgebreid. Zo omvangrijk dat de praktische ernst van het probleem wordt betwist. De patch wordt officieel aanbevolen, maar niet iedereen is overtuigd.

Nog een keer, niet elke instantie van Log4j is kwetsbaar, maar alleen gevallen waarin de bibliotheek op aangepaste instellingen draait. Een potentiële aanvaller heeft ook gedetailleerd inzicht nodig in hoe Log4j werkt. Een contrast met de initiaal, gemakkelijk toegankelijke kwetsbaarheid.