Apache Log4j Vulnerability

“A remote code execution vulnerability in Apache Log4j. It is remotely exploitable without authentication.”

Vrij vertaald wil dit zeggen dat iemand met minder goede bedoelingen code of commando’s kan uitvoeren op een server waarop Apache Log4j in gebruik is. Dit zónder dat daarvoor een wachtwoord of een andere vorm van beveiliging vereist is.

Aangezien Apache Log4j verweefd is in talloze applicaties en websites wereldwijd, is de impact aanzienlijk, zowel voor grote als kleine bedrijven. Het wereldbekende spel Minecraft was de eerste, maar zeker niet de laatste grootschalige app die getroffen is. LunaSec, een Open Source Data Security Platform, geeft bijvoorbeeld aan dat ook clouddiensten van Steam en Apple iCloud zijn aangetast.

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt dat de manier van misbruik zich verder zal ontwikkelen in zijtakken. Om misbruik van je server of webapplicatie tegen te gaan, is het dus cruciaal om toekomstige updates zo snel mogelijk te installeren.

Misschien. Het probleem doet zich namelijk niet voor op alle servers, enkel servers waarop Apache Log4j gebruikt wordt. Log4j is een standaard logging systeem voor Java applicaties. Heb je een applicatie die in Java ontwikkeld werd, dan is er dus hoogstwaarschijnlijk wel een probleem.

Daarnaast heb je mogelijk een probleem als je gebruik maakt van bijvoorbeeld Solr of Elastic search, zoekmachines die vaak gebruikt worden door Drupal of dergelijke systemen.

Er is de mogelijkheid om de vatbare functionaliteit uit te schakelen. Dit hebben we zo snel mogelijk in orde gebracht voor de omgevingen die volledig in ons beheer zijn. Door de zwakke schakel uit te schakelen, kan er dus geen misbruik meer gemaakt worden. Dit impliceert wel dat je hierdoor logging functionaliteit verliest. In de praktijk zal dit haast nooit een probleem geven, gezien logging geen functionele impact hoort te hebben op je applicatie.

We lijsten even op wat jij kan doen om je applicaties te beschermen:

• Maak een back-up van al je kritieke data.
• Updaten, updaten en nog eens updaten! Zorg dat je zeker de laatste updates installeert die dit probleem gaan tackelen.
• Als je jouw server niet zelf onderhoudt, neem je best contact op met de beheerder.
• Hou de communicatie van je softwareleveranciers goed in de gaten.

Wil je in de technische details duiken? Dan zijn dit originele rapport van CVE en deze blog van Juniper het lezen waard.

Heb je specifieke vragen voor ons? Aarzel dan zeker niet om contact op te nemen!