De ernst van de kwetsbaarheid in Log4j is allesbehalve theoretisch. Cybercriminelen scan havens over de hele wereld om manieren te vinden om deze te exploiteren. Beveiligingsonderzoekers observeerden honderdduizenden aanvallen.
De afgelopen dagen heeft Check Point Software 470,000 pogingen herkend scan bedrijfsnetwerken wereldwijd. De scans worden onder meer uitgevoerd om servers te vinden die externe HTTP-verzoeken toestaan. Dergelijke servers zijn gevoelig voor misbruik van de beruchte kwetsbaarheid in de Java-bibliotheek Log4j. Als een server HTTP-verzoeken toestaat, kan een aanvaller de server pingen met een enkele lijn die naar een externe server verwijst met Java-instructies voor de uitvoering van malware. Als de gepingde server is verbonden met een Java-applicatie die Log4j verwerkt, verwerkt de Java-applicatie de regel als een commando om de malware uit te voeren. Onderaan de regel voert de server van het slachtoffer uit wat een aanvaller beveelt. Beveiligingsorganisatie Sophos zegt honderdduizenden aanvallen te hebben geïdentificeerd.
Herkenbare gezichten
Eerder schreven wij een verhelderend artikel over de bovengenoemde technische werking van de kwetsbaarheid in Log4j. De grootste voorwaarde voor misbruik is de mogelijkheid om Java-applicaties te bereiken die Log4j bevatten. In sommige gevallen is dit kinderspel. Apple gebruikte bijvoorbeeld iCloud Log4j om de namen van iPhones op te nemen. Door de modelnaam van een iPhone in iOS te veranderen naar een instructie voor Java bleek het mogelijk om de servers van Apple te kraken.
In andere gevallen zijn toepassingen minder gemakkelijk te beïnvloeden. De grootste dreiging komt van aanvallers met ervaring, kennis en bestaande technieken. Beveiligingsonderzoekers van Netlab360 zetten twee loksystemen (honeypots, red.) op om met Log4j aanvallen op Java-applicaties uit te lokken. Zo lokten de onderzoekers negen nieuwe varianten van bekende malwaretypen, waaronder MIRAI en Muhstik. De malwaresoorten zijn ontworpen om Log4j te misbruiken. Een veelvoorkomend aanvalsdoel is de versterking van botnets voor cryptomining en DDoS-aanvallen. Check Point Software voerde een soortgelijk onderzoek uit op grotere schaal. De afgelopen dagen registreerde de veiligheidsorganisatie 846,000 aanvallen.
Verdediging
Het is duidelijk dat cybercriminelen kwetsbare versies van Log4j opsporen en exploiteren. De meest aan te raden verdediging is en blijft het inventariseren van alle Log4j-applicaties in een omgeving. Indien de leverancier van de applicatie waarin Log4j wordt gebruikt een vernieuwde versie heeft uitgebracht, is patchen aan te raden. Als dat niet het geval is, is uitschakelen de veiligste optie. Het NCSC houdt een overzicht bij van de kwetsbaarheid van software waarin Log4j is verwerkt.
Het is momenteel alles behalve raadzaam om zelf softwaremaatregelen te ontwikkelen of de werking van Log4j aan te passen. De kwetsbaarheid kent variaties. Onder meer Microsoft heeft meerdere varianten gedetecteerd van de regel die wordt gebruikt om Java-applicaties te instrueren malware uit te voeren. Check Point spreekt van ruim 60 mutaties.