De impact van de beruchte kwetsbaarheid in Java-bibliotheek Log4j sleept voort. Hoewel het grootste probleem is opgelost met urgente patch 2.16, blijkt ook deze versie vatbaar voor misbruik. Beveiligingsonderzoekers vonden een ingang voor Denial of Service (DoS)-aanvallen. Log4j 2.17 is gepubliceerd om het item te sluiten.
Apache, ontwikkelaar van de Java-bibliotheek, adviseert organisaties om de emergency patch toe te passen. Dat advies geldt voor de derde keer sinds de bibliotheek kwetsbaar werd bevonden.
Anderhalve week geleden, beveiligingsonderzoekers van Alibaba's cloud beveiligingsteam heeft een methode onthuld om applicaties met Log4j te misbruiken. Log4j wordt in toepassingen gebruikt om gebeurtenissen te loggen. Het bleek mogelijk om applicaties met de bibliotheek van buitenaf te benaderen met instructies voor het uitvoeren van malware. Misbruik duurt niet veel meer dan een handomdraai. Voeg daarbij het geschatte voorkomen van de bibliotheek in de meeste bedrijfsomgevingen en u begrijpt de omvang van de ramp waarmee het wereldwijde IT-landschap wordt geconfronteerd.
Softwareontwikkelaars zoals Fortinet, Cisco, IBM en tientallen anderen gebruiken de bibliotheek in hun software. Hun ontwikkelaars hebben in het weekend van 11 december overuren gemaakt om de eerste noodpatch voor de kwetsbaarheid te verwerken en aan gebruikersorganisaties te leveren. Precies dezelfde drift werd verwacht van de IT-teams binnen deze organisaties. Wereldwijd vonden honderdduizenden aanvalspogingen plaats. Iedereen moest zo snel mogelijk overschakelen naar 2.15 – tot 2.15 ook kwetsbaar bleek te zijn.
Bepaalde configuraties van de bibliotheek bleven mogelijk in versie 2.15. Het gebruik van deze configuraties bestendigde de kwetsbaarheid. Versie 2.16 maakte de configuraties onmogelijk en garandeerde een nieuwe patch. Vaak tot ergernis van al overwerkte IT-teams. Het kan echter altijd erger, want 2.16 heeft ook een kwaal.
Terug naar start
De massale wereldwijde aandacht voor het probleem leidde tot massaal wereldwijd onderzoek. Apache, ontwikkelaar van de bibliotheek, kan twee dagen niet op adem komen zonder dat een beveiligingsbedrijf wijst op een nieuw, dringend probleem.
Kortom, het blijkt dat het mogelijk is om tientallen versies van log4j – waaronder 2.16 – met één regel (string) te draaien om een eeuwige lus te starten die de applicatie doet crashen. De voorwaarden waaraan een omgeving moet voldoen om misbruikt te worden, zijn omvangrijk. Zo omvangrijk dat de praktische ernst van het probleem wordt betwist. De patch wordt officieel aanbevolen, maar niet iedereen is overtuigd.
Nogmaals, niet elke instantie van Log4j is kwetsbaar, maar alleen gevallen waarin de bibliotheek op aangepaste instellingen draait. Een potentiële aanvaller heeft ook gedetailleerd inzicht nodig in hoe Log4j werkt. Een contrast met de aanvankelijke, gemakkelijk toegankelijke kwetsbaarheid.