Afgelopen vrijdag werd een kwetsbaarheid ontdekt in Apache Log4j 2 en sindsdien staat de hele Cyber security wereld in overdrive. De kwetsbaarheid treft zo’n beetje alle computersystemen ter wereld en is ook vrij eenvoudig te misbruiken. Het Nationaal Cyber Security Centrum (NCSC) noemt het zelfs een kwestie die de nationale veiligheid kan raken. Wat is Log4j en wat is er nu precies aan de hand?
Wat is Log4j?
Log4j is een stukje software die ontwikkelaars kunnen insluiten in hun eigen software om logs mee te maken. Vrijwel alle software gebruikt logs om bij te houden wat er precies gebeurd in de applicatie. In een logbestand noteren wij bijvoorbeeld welke gebruikers inloggen, op welk tijdstip en vanaf welk IP. We loggen ook wanneer er een foutmelding wordt veroorzaakt en welke acties daaraan vooraf gingen. Met de informatie in deze logfiles kunnen we fouten snel opsporen.
Er zijn meerdere oplossingen om logs te maken. Het is een beetje afhankelijk van het platform waarop iets gebouwd is om te bepalen welke logtool daarbij past. En daar zit meteen het grote probleem van deze kwetsbaarheid. Log4j wordt zo’n beetje in alle Java gebaseerde software gebruikt en Java is één van de populairste programmeertalen ter wereld. Het is werkelijk OVERAL.
Het beveiligingslek in Log4j
Normaal gesproken worden dingen die je logt als ‘platte tekst’ op de server opgeslagen. Ook al zou je data loggen waar een stukje code in verwerkt zit, dan kan dat onmogelijk uitgevoerd worden. Zie een log als een simpel tekstbestand. Als je daar code in zet wordt het niet uitgevoerd, maar zie je gewoon de code als tekst. Niks aan de hand.
Er is een kwetsbaarheid in Log4j die het mogelijk maakt om door een specifiek stukje tekst te laten loggen, code vanaf een externe bron op te halen en uit te voeren is. En dat bleek ook nog eens heel erg eenvoudig. De Nederlandse security onderzoeker Cas van Cooten hernoemde zijn iPhone naar dat specifieke stukje tekst en zag een antwoord van de Apple iCloud servers terug komen. Hiermee had hij dus een opening gecreëerd.
En dan nu het slechte nieuws
Log4j zit dus in heel veel software verwerkt. Ongetwijfeld ook in software die jij gebruikt. Daarbij is het ook nog eens heel eenvoudig om deze kwetsbaarheid te misbruiken. En dan moet het slechtste nieuws nog komen. Jij, als eindgebruiker, kan hier helemaal niks aan doen. Je kunt niet nagaan of Log4j verwerkt zit in de software die je gebruikt en je kunt ook niets doen om misbruik te voorkomen. De leverancier van jouw software moet een patch uitbrengen om het lek te dichten. Die moet jij dan natuurlijk wel zo snel mogelijk uitvoeren.
Wil je weten of jouw software kwetsbaar is en of daar een patch voor uitgebracht is? Kijk dan op de software lijst in de Github van het NCSD (Nationaal Cyber Security Centrum). Deze wordt continue bijgewerkt.
Hoe zit het met jouw website of webapplicatie bij Smeders
Wij nemen beveiliging erg serieus. Afgelopen weekend is er dan ook hard gewerkt om de impact op onze systemen na te gaan. De systemen waar Log4j in verwerkt zit hebben we inmiddels allemaal gepatcht. In een deel van onze infrastructuur is helemaal geen Log4j aanwezig. Ook in WordPress is Log4j niet aanwezig. Uiteraard houden we de ontwikkelingen nauw in de gaten en ondernemen we direct actie als dat nodig is.
Heb je nog vragen? Neem gerust contact op.
