De impact van de beruchte kwetsbaarheid in Java library Log4j sleept voort. Hoewel het grootste probleem met spoedpatch 2.16 werd verholpen, blijkt ook deze versie vatbaar voor misbruik. Securityonderzoekers vonden een ingang voor Denial of Service-aanvallen (DoS). Log4j 2.17 is gepubliceerd om de ingang te dichten.

Apache, ontwikkelaar van de Java library, adviseert organisaties om de spoedpatch toe te passen. Dat advies geldt voor de derde keer sinds de library kwetsbaar is bevonden.

Anderhalve week terug onthulden securityonderzoekers van Alibaba’s cloud securityteam een methode om applicaties met Log4j te misbruiken. Log4j wordt in applicaties gebruikt om gebeurtenissen te loggen. Het bleek mogelijk om applicaties met de library van buitenaf te benaderen met instructies voor de uitvoering van malware. Misbruik vergt weinig meer dan een handomdraai. Tel je daarbij op dat de library naar schatting in de meeste bedrijfsomgevingen voorkomt, dan begrijp je de schaal van de ramp waar het wereldwijde IT-landschap voorstaat.

Softwareontwikkelaars als Fortinet, Cisco, IBM en tientallen anderen gebruiken de library in hun software. Hun developers werkten in het weekend 11 december overuren om de eerste spoedpatch voor de kwetsbaarheid te verwerken en bij gebruikende organisaties aan te bieden. Van de IT-teams binnen deze organisaties werd precies dezelfde drift verwacht. Honderdduizenden aanvalspogingen vonden wereldwijd plaats. Iedereen moest zo snel mogelijk over op 2.15 – totdat ook 2.15 kwetsbaar werd bevonden.

Bepaalde configuraties van de library bleven in versie 2.15 mogelijk. Het gebruik van deze configuraties hield de kwetsbaarheid in stand. Versie 2.16 maakte de configuraties onmogelijk, wat een nieuwe patch waarborgde. Vaak tot ergernis van reeds overwerkte IT-teams. Toch kan het altijd erger, want ook 2.16 heeft een kwaal.

Tip: Log4Shell – ongekende impact, harde lessen voor software-ontwikkelaars

Terug bij af

De massale, wereldwijde aandacht voor het probleem nodigde massaal, wereldwijd onderzoek uit. Apache, ontwikkelaar van de library, lijkt geen twee dagen op adem te kunnen komen zonder dat een securitybedrijf op een nieuw, dringend probleem wijst.

In het kort blijkt het mogelijk om tientallen versies van log4j – waaronder 2.16 – met een regel (string) te voeren om een eeuwige loop te starten die de applicatie crasht. De voorwaarden waaraan een omgeving moet voldoen om misbruikt te worden zijn uitgebreid. Dusdanig uitgebreid dat de praktische ernst van het probleem wordt omstreden. De patch wordt officieel aangeraden, maar niet iedereen is overtuigd.

Opnieuw is niet elke instantie van Log4j kwetsbaar, maar uitsluitend gevallen waarbij de library op aangepaste instellingen draait. Ook heeft een potentiële aanvaller gedetailleerd inzicht in de werking van Log4j nodig. Een tegenstelling van de aanvankelijke, laagdrempelige kwetsbaarheid.