Log4j-exploits diversifiëren om populaire app- en servicekwetsbaarheden bloot te leggen, probleem dat waarschijnlijk blijft hangen
Net toen je dacht dat 2021 al erg genoeg was voor cyberbeveiliging, met alle spraakmakende ransomware-aanvallen en massale datalekken die de afgelopen twaalf maanden plaatsvonden, kwam de Log4j-exploit langs en overtrof al het andere.
De laatste rapporten van veiligheidsdiensten geven aan dat de alternatieve manieren om de kwetsbaarheid te misbruiken groeien en muteren, en het is ook waarschijnlijk dat dit probleem ons nog een tijdje zal achtervolgen. De exploit kan kwetsbaarheden aan het licht brengen in enkele van de meest populaire applicaties en services op internet.
Een "perfecte 10" kwetsbaarheid
De Log4j-kwetsbaarheid, met de naam LogShell, geregistreerd als CVE-2021-44228 en met een maximale ernstscore van 10, werd eind november 2021 voor het eerst opgemerkt door Alibaba en wordt sindsdien zwaar uitgebuit. In wezen is het een bug voor het uitvoeren van code op afstand en treft een groot aantal services, variërend van online platforms tot gameclients en -services.
Volgens beveiligingsonderzoekers van Check Point hebben bedreigingsactoren binnen een tijdsbestek van slechts enkele dagen al maar liefst 60+ variaties en wijzigingen van de initiële exploit bedacht. Bovendien zijn er nieuwe manieren geïntroduceerd om Log4j te exploiteren, waaronder exploits met HTTP of HTTPS, waardoor het toch al enorme oppervlak voor aanvallen zelfs nieuwe toegangspunten krijgt die toegankelijk zijn voor nog meer bedreigingsactoren.
De bug werd aanvankelijk voornamelijk misbruikt voor het installeren van crypto-mining-tools op gecompromitteerde systemen en het gebruik van hun bronnen voor illegale mining. Binnen enkele dagen is deze focus echter verschoven naar data-exfiltratie.
Aanhoudende pijnen
De ongelooflijke oppervlakte die de exploit biedt, betekent ook dat zelfs als patches wereldwijd worden uitgerold en toegepast, er nog maandenlang kwetsbare systemen zullen zijn. Log4j is heel gemakkelijk te exploiteren en vereist geen buitensporige hoeveelheid vaardigheden of zeer geavanceerde tools. Tegelijkertijd bevindt het zich in een component die zeer wijdverbreid is en vaak wordt gebundeld met andere diensten en oplossingen. Dit alles maakt Log4j / LogShell een erg vervelend probleem om op te lossen.
Cyberbeveiligingsbedrijf Imperva meldde meer dan een kwart miljoen aanvallen per uur te hebben waargenomen en dat aantal zal naar verwachting toenemen naarmate nieuwe wijzigingen en variaties van de aanval worden ontdekt.