image

Securitybedrijven melden grootschalig misbruik Apache Log4j-kwetsbaarheid

zondag 12 december 2021, 18:53 door Redactie, 17 reacties

Securitybedrijven melden grootschalig misbruik van de kwetsbaarheid in Apache Log4j 2 waarvoor afgelopen vrijdag 10 december een beveiligingsupdate verscheen. Het beveiligingslek, aangeduid als CVE-2021-44228 en Log4shell, bevindt zich in Log4j-loggingsoftware waar veel Java-applicaties gebruik van maken. Via de kwetsbaarheid kan een aanvaller controle over de applicatie- of webserver krijgen.

Internetbedrijf Cloudflare stelt dat het 20.000 exploits per minuut blokkeert die van het beveiligingslek misbruik proberen te maken. In de meeste gevallen wordt er gekeken of servers kwetsbaar zijn, zegt onderzoeker John Graham-Cumming. Beveiligingsonderzoeker Kevin Beaumont stelt dat aanvallers via het beveiligingslek cryptominers op servers installeren, die de rekenkracht van het systeem gebruiken voor het delven van cryptovaluta. Securitybedrijf Rapid7 spreekt van grootschalig misbruik.

Het Nationaal Cyber Security Centrum (NCSC) riep organisaties gisterenavond op om de update zo snel mogelijk te installeren. "We zien actief scangedrag in Nederland en verwachten op korte termijn misbruik van de kwetsbaarheid die inmiddels de naam Log4shell heeft gekregen", aldus de overheidsinstantie. De kwetsbaarheid is verholpen in Log4j versie 2.15.0. Deze versie vereist echter Java 8. Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable.

Reacties (17)
12-12-2021, 19:04 door Anoniem
So far today the largest number of scans or exploitation attempts have come from Canada and then the United States.
NL is nummer 3.

https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
12-12-2021, 20:20 door [Account Verwijderd]
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
12-12-2021, 21:17 door Anoniem
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.
12-12-2021, 21:29 door Anoniem
Door Anoniem:
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.

Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?

Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.

Ik zou ergens anders gaan solliciteren.
12-12-2021, 22:15 door Anoniem
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.

Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?

Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.

Ik zou ergens anders gaan solliciteren.

LoL. Wat naief.

Een PvA betekent nog niet dat het ook meteen vervangen is. Alleen dat er over nagedacht is.
Je hebt het in een aantal gevallen over spaghetti-software of complexe (maatwerk) kennissystemen die niet 1-2-3 vervangen kunnen worden. Als er al ergens een stuk vervangende software zomaar aangeschaft kan worden, dan is de implementatie en het koppelen aan de overige software nog een "uitdaging".

Ga maar terug naar het MKB. Dat is simpeler opgezet.
12-12-2021, 23:07 door Anoniem
Kun je dit niet simpel voorkomen door uitgaande LDAP connecties vanaf je server te blokkeren?
(op de webserver op het werk zijn ALLE uitgaande connecties geblokkeerd...)
13-12-2021, 02:22 door Anoniem
Hoeveel thuis routers, van alle thuiswerkers, maken gebruik van log4j?
13-12-2021, 05:46 door Anoniem
Aanval op de bitcoin?
13-12-2021, 05:55 door Anoniem
Root Logger
log.setLevel Properties File
(Level.WARN);
log.trace("Trace Message!");
log.debug("Debug Message!");
log.info("Info Message!");
log.warn("Warn Message!");...
13-12-2021, 07:12 door Anoniem
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Tenable meldt ook drie workarounds die deze bedrijven kunnen toepassen. Ze worden dus niet gedwongen hals over kop naar Java 8 te migreren.

Wat niet wegneemt dat het hoog tijd wordt dat ze tot zich door laten dringen dat bij het gebruik van software ook hoort dat je af en toe naar een nog ondersteunde versie moet migreren om niet in de problemen te komen. Dat vergt dat je een paar jaar vooruit denkt, maar dat is kennelijk al meer dan menigeen als lange termijn beschouwt tegenwoordig.
13-12-2021, 08:43 door Anoniem
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.

Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?

Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.

Ik zou ergens anders gaan solliciteren.
Er zijn bedrijven die de prioriteiten gewoon niet in orde hebben. In het verleden werkte ik voor een bedrijf, dat dat nog kan bestaan dat weet ik niet maar zij vroegen gewoon om ransomware. In het netwerk (dat zij niet goed in orde hadden) stonden nog gewoon de gevallen van randsomware erbij. Als je de ongeencrypte data wilde hebben moest je maar een mailtje sturen naar de fantastische netwerkadmin. Dus ik ben er op een gegeven moment weg gegaan.
13-12-2021, 09:47 door Anoniem
Door Anoniem:
Ik zou ergens anders gaan solliciteren.

Het gras is niet altijd groener aan de overkant, vooral niet bij grote bedrijven.
Maar dat zal je opgeven moment wel leren als je telkens opnieuw gaat solliciteren...
13-12-2021, 09:54 door Anoniem
https://www.nu.nl/tech/6172822/cybercentrum-overheid-publiceert-lijst-van-kwetsbare-apps-door-ernstig-lek.html

"De Apache Log4j-tool wordt gebruikt om logboeken van applicaties bij te houden. Bedrijven doen dat bijvoorbeeld om te bekijken wat er niet goed gaat als een computerprogramma een error geeft. De tool wordt onder andere gebruikt voor de populaire game Minecraft, virusscanner McAfee en door de streamingdienst Netflix."


Oeps.
13-12-2021, 11:21 door Anoniem
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Heb recent nog systemen met Java6 gezien. Dat is niet meer om te lachen.
13-12-2021, 11:45 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Heb recent nog systemen met Java6 gezien. Dat is niet meer om te lachen.

Nee, die staat niet eens meer op de Oracle support roadmap: https://www.oracle.com/java/technologies/java-se-support-roadmap.html. Dat is nog erger dan Windows XP in een geldautomaat.
13-12-2021, 15:42 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.

Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?

Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.

Ik zou ergens anders gaan solliciteren.
Er zijn bedrijven die de prioriteiten gewoon niet in orde hebben. In het verleden werkte ik voor een bedrijf, dat dat nog kan bestaan dat weet ik niet maar zij vroegen gewoon om ransomware. In het netwerk (dat zij niet goed in orde hadden) stonden nog gewoon de gevallen van randsomware erbij. Als je de ongeencrypte data wilde hebben moest je maar een mailtje sturen naar de fantastische netwerkadmin. Dus ik ben er op een gegeven moment weg gegaan.

Stemming makerij, beter lezen er staat dat je java 8 moet hebben om te patchen , niet dat wanneer je patch je default java 7 of lager zou hebben. Om dan zomaar ongefundeerd instanties te te noemen dat die het niet voor elkaar hebben is stemmingmakerij.
13-12-2021, 15:44 door Anoniem
Door Toje Fos:
Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable

OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.

Het probleem is ietsjes groter.

Oracle, IBM, Unit4, Esri, Microsoft, Netflix, McAfee, etc.

Allemaal lopen ze deze kwetsbaarheid in hun systemen/apps te zoeken en alsnog te fixen.
Het is een groot circus.

Dit mag in de top 10 van kwetsbaarheden geplaatst worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.