Log4j wordt actief misbruikt, er kunnen ernstige complicaties optreden volgens CERT NZ

De veelgebruikte Java-logboekbibliotheek, log4j, is actief gebruikt, volgens een update van CERT NZ en Catalyst.

Er wordt gezegd dat het programma momenteel een niet-gecertificeerde RCE-kwetsbaarheid bevat als een door de gebruiker bestuurde string wordt gelogd. Hierdoor kan een aanvaller volledige controle krijgen over de getroffen server en toegang krijgen tot kritieke gegevens.

Gebruikers hebben gemeld dat het systeem actief in het wild wordt uitgebuit en dat er proof-of-concept-code is gepubliceerd.

Momenteel zegt CERT NZ dat systemen en services die gebruikmaken van de Java-logboekbibliotheek, Apache log4j tussen versies 2.0 en 2.14, zijn aangetast. Dit omvat veel toepassingen en services die zijn geschreven in Java, die een groot gebied bestrijken en meerdere toegangspunten.

Als een van deze bestanden tussen versies 2.0 en 2.14 kwetsbaar is, is er een waargenomen risico. Als de logbestanden van services die de getroffen log4j-versies gebruiken, door de gebruiker gecontroleerde tekenreeksen bevatten, duidt dit op een compromis.

CERT NZ zegt dat de beste manier om schade te voorkomen is om log4j-versies te upgraden naar log4j-2.15.0.

Als de inbreuk zich voordoet, is hun beste tip om de strategie te beperken, de instelling van log4j2.formatMsgNoLookups te wijzigen in true door het volgende toe te voegen: “Dlog4j2.formatMsgNoLookups = True” aan de JVM-opdracht om uw toepassing te starten.

Catalyst zegt dat ze niet op de hoogte waren van zijn of op host gebaseerde systemen die waren gecompromitteerd op het moment van de adviserende waarschuwing.

“We hebben klantsystemen geprioriteerd op basis van hun belang en risico’s, en corrigeren ze om het potentieel voor misbruik te verminderen”, zegt het bedrijf.

Ze merkten ook op dat de huidige beveiligingsmaatregelen helpen om extra schade en risico’s te voorkomen.

“Systemen achter WAF’s (Web Application Firewalls), zoals die van Cloudflare en Fastly, implementeren ook mitigaties.”

Beveiligingsplatform LunaSec heeft een update op zijn blog uitgebracht die het als een ernstig beveiligingsprobleem bestempelt.

Gezien hoe alomtegenwoordig deze bibliotheek is, de impact van de exploit (volledige controle over de server) en hoe gemakkelijk deze te exploiteren is, is de impact van deze kwetsbaarheid zeer ernstig. We noemen het “Log4Shell”, zeggen ze.

Verschillende services zijn al kwetsbaar gebleken voor deze exploit. Er is al ontdekt dat clouddiensten als Steam, Apple iCloud en applicaties als Minecraft gevaar lopen. LunaSec zegt dat zelfs “het is aangetoond dat alleen het veranderen van de naam van de iPhone een kwetsbaarheid in de servers van Apple veroorzaakt”.

Ze zeggen ook dat soortgelijke kwetsbaarheden al eerder zijn uitgebuit bij inbreuken zoals de Equifax-gegevensinbreuk in 2017.

CERT NZ, Catalyst, LunaSec en verschillende andere rapportagebureaus blijven advies geven en het probleem volgen.