Wat is de Log4j Exploit en wat kunt u doen om veilig te blijven?

Hackers kunnen de controle over miljoenen servers overnemen, ze afsluiten of ze dwingen malware te spuwen vanwege veelgebruikte foutcode. Dit is hoe het gebeurde en wat je kunt doen om jezelf te beschermen.

De Log4j-exploit, door sommigen Log4Shell of CVE-2021-44228 genoemd, is de afgelopen weken in het nieuws geweest. Het is slecht! Het is overal! Maar wat is het eigenlijk? Hoe kwam het op miljoenen servers terecht? En hoe kun je jezelf beschermen tegen de gevolgen van dit beveiligingslek?

Dat zijn geen gegevens – dat is code!

De kern van het probleem met Log4j is een verwarring tussen eenvoudige gegevens en uitvoerbare opdrachten. Kwaadwillende codeurs hebben dit soort verwarring vrijwel altijd uitgebuit.

In de tijd van DOS-gebaseerde computervirussen werden programma’s op schijf eenvoudig rechtstreeks in het geheugen gekopieerd en gestart. Vroege virussen voegden zich toe in de vorm van een gegevensblok aan het einde van het hostprogramma. Door een byte of twee aan het begin van het programma aan te passen, zorgden ze ervoor dat DOS de viruscode uitvoerde voordat het programma werd gestart. En het virus voegde zich toe aan meer programma’s tijdens zijn korte run.

Windows-programma’s, portable executable (PE) programma’s genoemd, zijn veel geavanceerder. Verschillende blokken met informatie worden in het juiste geheugengebied geladen en die blokken zijn gemarkeerd als code of gegevens. Toch slaagden kwaadwillenden in aanvallen die de uitvoering van wat gegevens moesten zijn, dwongen. Moderne Windows-versies gebruiken Data Execution Prevention (DEP) en Address Space Layout Randomization(ASLR) om dergelijke aanvallen te verijdelen.

Java en Open-Source

Log4j is geschreven in Java, wat betekent dat het niet intrinsiek beschermingen heeft zoals DEP en ASLR. Aan de andere kant is het een open-source pakket. Dat betekent dat iedereen (nou ja, iedereen met codeervaardigheden) de broncode kan lezen, eventuele bugs kan herkennen en kan bijdragen aan het verbeteren van het pakket.

De theorie is dat open-source code veiliger is omdat het door veel ogen is onderzocht en omdat er geen mogelijkheid is dat een achterdeur of een andere ongewenste functie zich in de code verbergt. Wanneer de betrokken bibliotheek zeer gevoelig is, misschien met betrekking tot codering,wordt het echt serieus onderzocht. Maar blijkbaar kreeg deze eenvoudige log-writing module onvoldoende aandacht.

Waarom is het overal?

Wanneer er een beveiligingslek is in een besturingssysteem of een populaire browser, heeft dit meestal alleen invloed op de gebruikers van dat besturingssysteem of die browser. De uitgever werkt een nieuwe versie die het gat dicht, een update uitbrengt en alles is goed.

Log4j is anders. Het is geen besturingssysteem, of een browser, of zelfs een programma. Het is eerder wat codeurs een bibliotheek noemen, of een pakket, of een codemodule. Het dient één doel: een logboek bijhouden van wat er op een server gebeurt.

Mensen die code schrijven, willen zich concentreren op wat hun programma uniek maakt. Ze willen het wiel niet opnieuw uitvinden. Ze vertrouwen dus op eindeloze bibliotheken met bestaande code, zoals Log4j. De Log4j-module is afkomstig van Apache, de meest gebruikte webserversoftware. En daarom is het te vinden op miljoenen servers.

Wie is hier het slachtoffer?

Hier is een belangrijk punt. Aanvallen met behulp van de kwetsbaarheid in Log4j zijn niet op u gericht. Een hacker die het dwingt om een regel tekst te loggen die een opdracht wordt, is gericht op het installeren van malware op de server. Microsoft meldt dat door de staat gesponsorde hackers het gebruiken, waarschijnlijk om ransomware te pushen. Apple, Cloudflare, Twitter, Valve en andere grote bedrijven zijn getroffen.

Je hebt misschien een YouTube-video gezien (of afgeroomd) waarin een beveiligingsonderzoeker demonstreerde dat je een Minecraft-server overnam met niets meer dan in-game chat. Dat betekent niet dat het de spelers die betrokken waren bij de chat beïnvloedde. Het betekent dat de onderzoeker de server dwong om willekeurige code uit te voeren.

Maar ontspan nog niet. Een hacker die willekeurige code op de getroffen server kan uitvoeren, heeft onbeperkte opties. Natuurlijk kan een ransomware-aanval op de eigenaar van de server behoorlijk lucratief zijn, net als het coöpteren van de server om bitcoin-mining te doen. Maar het is ook mogelijk dat de hacker de server ondermijnt, waardoor deze malware toebrengt aan bezoekers van websites die op die server worden gehost.

Wat kan ik doen?

De Log4j-exploit is slechts een van de vele beveiligingslekken die worden uitgebuit door slechte acteurs. De catalogus met uitgebuite kwetsbaarheden van de CISA vermeldt 20 die alleen al in december zijn gevonden. Als je goed kijkt, zie je dat sommige al zijn opgelost, maar anderen hebben een oplossing die pas zes maanden of langer moet worden uitgevoerd. Weinigen zullen natuurlijk de impact van de Log4j-exploit hebben.

Wat betreft de bescherming tegen Log4j aan de serverkant, het is lachwekkend eenvoudig. Er is een instelling die bepaalt of het logboekregistratiesysteem gegevens als code kan interpreteren. Het uitschakelen van die schakelaar doet het werk. Natuurlijk heeft Apache een update uitgebracht voor de codemodule, maar sommige onderzoekers melden dat de enige significante verandering in de update is dat deze schakelaar standaard uit staat.

Zoals opgemerkt, is Log4j code die is ontworpen voor servers en de exploitaanval heeft invloed op servers. Toch kunt u indirect worden getroffen als een hacker het gebruikt om een server uit te schakelen die belangrijk voor u is, of probeert de server te gebruiken voor drive-by downloads of andere malware-aanvallen.

Er is niets dat u kunt doen om de impact van een serververwijdering te voorkomen, maar u kunt zich tegen die secundaire aanvallen beschermen door een krachtig antivirusprogramma te installeren en het up-to-date te houden. Draag uw steentje bij door alert te blijven op phishing-fraude, met behulp van een wachtwoordbeheerder en uw internetverkeer via een Virtual Private Network of VPN te laten lopen. Als u uw eigen gegevens, apparaten en verbindingen beveiligd houdt, is het onwaarschijnlijk dat u wordt beïnvloed door de gevolgen van een Log4j-exploitaanval.

Bron: pcmag