image

Nieuwe kwetsbaarheid in Apache Log4j maakt dos-aanval mogelijk

woensdag 15 december 2021, 09:33 door Redactie, 18 reacties

In Apache Log4j is een nieuwe kwetsbaarheid gevonden waardoor het mogelijk is om denial of service (dos)-aanvallen uit te voeren tegen servers waarop Log4j draait. Afgelopen maandag verscheen er al een beveiligingsupdate voor de kwetsbaarheid (CVE-2021-45046), waarvan de impact veel kleiner is dan het beveiligingslek (CVE-2021-44228) dat vorige week uitgebreid in het nieuws kwam en aanvallers de controle over kwetsbare servers kan geven.

Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 3,7 beoordeeld en is aanwezig in alle Log4j-versies van 2.0-beta9 tot en met 2.12.1 en 2.13.0 tot en met 2.15.0.

Beheerders wordt aangeraden om te updaten naar Log4j versie 2.12.2 of 2.16.0 die afgelopen maandag verscheen. In Log4j 2.16.0 staat toegang tot de Java Naming and Directory Interface (JNDI) API standaard aangeschakeld en moeten JNDI-lookups expliciet worden ingeschakeld. Verder is de message lookups feature volledig verwijderd en is de toegang tot protocollen standaard beperkt.

Reacties (18)
15-12-2021, 09:36 door Anoniem
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Hoppa. Werkt goed hier.
15-12-2021, 10:46 door Anoniem
Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.
15-12-2021, 10:59 door [Account Verwijderd]
Door Anoniem: Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.

Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen:

Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken.
15-12-2021, 11:07 door Anoniem
Lijkt me minder erg dan.
15-12-2021, 12:03 door Anoniem
Door Toje Fos:
Door Anoniem: Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.

Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen:

Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken.

Ik suggereer helemaal niet dat het om Microsoft rotzooi gaat, alleen dat het om (ondoordachte) rotzooi gaat.
Daar sta ik kennelijk ook niet alleen in. Het is niet voor niets dat hele volksstammen zijn blijven hangen op log4j
versie 1.x en nu geen probleem hebben. Die 2.x is gewoon bloatware.
15-12-2021, 12:39 door Anoniem
Door Toje Fos:
Door Anoniem: Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.

Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen:

Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken.
Afgezien de hele wereld momenteel heel druk bezig is met dit issue en dat men vaak geen idee heeft, waar dit nu gebruikt wordt in de omgeving.

Ik heb al heel wat paniek bij klanten voorbij zien komen. En waar net geupdate is, kunnen we nu weer beginnen, omdat de eerste fix niet goed werkte.
15-12-2021, 13:23 door Anoniem
15-12-2021, 13:28 door Anoniem
Door Anoniem:
Door Toje Fos:
Door Anoniem: Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.

Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen:

Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken.

Ik suggereer helemaal niet dat het om Microsoft rotzooi gaat, alleen dat het om (ondoordachte) rotzooi gaat.
Daar sta ik kennelijk ook niet alleen in. Het is niet voor niets dat hele volksstammen zijn blijven hangen op log4j
versie 1.x en nu geen probleem hebben. Die 2.x is gewoon bloatware.
Dat deed je wel alsof het exchange software is. Versie 2 had alleen een feature toegevoegd wat een foute keuze is gebleken. Is nu ongedaan gemaakt. De tijd zal leren of het een exchange klucht wordt. Op voorhand suggeren is niet professioneel.
15-12-2021, 13:55 door Anoniem
Door Anoniem: Het is niet voor niets dat hele volksstammen zijn blijven hangen op log4j versie 1.x en nu geen probleem hebben.

Let op: Het risico van versie 1.x is stuk lager maar kunnen wel degelijk geraakt zijn.
15-12-2021, 14:27 door Anoniem
Door Anoniem: Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.
Ja, dat is inderdaad opvallend. Logisch is het ook, want zodra een kwetsbaarheid wordt gevonden, gaan anderen natuurlijk op zoek of er meer kwetsbaarheden verborgen zitten in de betreffende module.
15-12-2021, 14:53 door [Account Verwijderd] - Bijgewerkt: 15-12-2021, 14:54
Door Anoniem:
Door Anoniem:
Door Toje Fos:
Door Anoniem: Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.

Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen:

Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken.

Ik suggereer helemaal niet dat het om Microsoft rotzooi gaat, alleen dat het om (ondoordachte) rotzooi gaat.
Daar sta ik kennelijk ook niet alleen in. Het is niet voor niets dat hele volksstammen zijn blijven hangen op log4j
versie 1.x en nu geen probleem hebben. Die 2.x is gewoon bloatware.
Dat deed je wel alsof het exchange software is. Versie 2 had alleen een feature toegevoegd wat een foute keuze is gebleken. Is nu ongedaan gemaakt. De tijd zal leren of het een exchange klucht wordt. Op voorhand suggeren is niet professioneel.

Exact, precies dat.
15-12-2021, 16:04 door _R0N_
Door Toje Fos:
Door Anoniem: Tja zo gaat het meestal de laatste tijd: door een of ander lek komt de aandacht op een bepaalde module te liggen en blijkt dat ineens grote rotzooi te zijn waar lek na lek uitkomt... dit is vast niet het laatste wat we van log4j horen en daarna zijn andere modules met vergelijkbare functionaliteit aan de beurt.

Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen:

Volgens de Apache Software Foundation was de update voor de kwetsbaarheid CVE-2021-44228 in bepaalde niet-standaard configuraties onvolledig. Daardoor zouden aanvallers met controle over bepaalde invoerdata een denial of service kunnen veroorzaken.

Nou moet je niet ineens doen alsof dit minder erg is dan een lek in Windows, dit is het grootste probleem van meer dan 10 jaar.
En de Apache Software Foundation is slechts een sponsor van dit project wat in feite een zolderkamer product is.Sterker nog de functie die nu misbruikt (volgens CVE-2021-44228) wordt is er op verzoek in gezet en omdat er geen overkoepelende club is die dingen controleert is het gewoon geimplementeerd.
De aanvullende CVE is er omdat mensen met een nog antiekere versie stiekem nieuwere functionaliteit includen die dus te misbruiken is.

Je kunt er op rekenen dat dit nog een hele lange tijd blijft doormodderen aangezien vele software boeren deze module als standaard meeleveren.
Eigenlijk kun je zeggen dat juist wat de sterke kant van open source is, het kunnen controleren van code door iedereen, onderuit gaat aangezien niemand dat heeft gedaan blijkbaar. Nu moeten 2 jongens op een zolderkamer een stukje code gaan fixen dat op meer dan een miljard computers gebruikt wordt.

Log4j recap
- two random unpaid folk maintain the code
- a random requested the vuln/feature in 2013
- major IT and security vendors rely on that code
- problem was publicised by teens in Minecraft video game
- scope of problem still unclear days later
15-12-2021, 19:31 door karma4
Door Toje Fos: ... Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen: ..
Het betreft open source, iedereen kon het zien en jarenlang zag niemand het maar iedereen ging het uit gemak op de raarste plekken er tussen zetten. Iemand anders zou de veiligheid wel garanderen.

Dit zal zich blijven herhalen omdat de uitgangspunten en gedrag niet veranderen.
Wat zal het volgende grote ernstige lek zijn?
15-12-2021, 19:34 door karma4
Door Anoniem: Let op: Het risico van versie 1.x is stuk lager maar kunnen wel degelijk geraakt zijn.
Ik zie dat het daar anders is maar krijg de vinger en niet op. Heb je meer dan een veronderstelling? JNDI is er niet..
15-12-2021, 20:51 door [Account Verwijderd]
Door karma4:
Door Toje Fos: ... Nou nee, dat is hier niet aan de hand en probeer nou niet te suggereren dat het om Microsoft rotzooi gaat. Wat er wel aan de hand is staat toch duidelijk in de tekst van het artikel hierboven. Laat ik het speciaal voor jou nog eens uitkauwen: ..
Het betreft open source, iedereen kon het zien en jarenlang zag niemand het maar iedereen ging het uit gemak op de raarste plekken er tussen zetten. Iemand anders zou de veiligheid wel garanderen.

Ik weet niet waarover je het hebt.

Door karma4: Dit zal zich blijven herhalen omdat de uitgangspunten en gedrag niet veranderen.
Wat zal het volgende grote ernstige lek zijn?

Geen idee.
16-12-2021, 10:05 door _R0N_
Door karma4:

Dit zal zich blijven herhalen omdat de uitgangspunten en gedrag niet veranderen.
Wat zal het volgende grote ernstige lek zijn?

Er zijn nog mensen die dit niet serieus nemen en zeggen "Mijn server hangt niet aan het internet", de komende tijd krijgen we nog veel gevolgschade te zien.
16-12-2021, 12:08 door Anoniem
Door _R0N_: Er zijn nog mensen die dit niet serieus nemen en zeggen "Mijn server hangt niet aan het internet",

Een goede strategie tegen aanvallen van buitenaf, maar niet tegen een "inside job" van een "disgruntled employee".
16-12-2021, 15:28 door _R0N_
Door Anoniem:
Door _R0N_: Er zijn nog mensen die dit niet serieus nemen en zeggen "Mijn server hangt niet aan het internet",

Een goede strategie tegen aanvallen van buitenaf, maar niet tegen een "inside job" van een "disgruntled employee".

Ook geen goede strategie voor aanvallen van buiten.
Log4j heeft een functie, parsen van logfiles. Stel je hebt een paar webservers, niets bijzonders nginx die wat websites host.
De logs worden geshipped naar een server die niet aan het blote internet hangt maar wel logstash en elasticsearch gebruikt om je logs in op te slaan. Als logstash en elasticsearch niet gepatched zijn parsen die dus gewoon de code die in de logs opgeslagen zijn op je nginx doosje, je elasticsearch server gaat dus gewoon een remote shell connectie opzetten met de buitenwereld.

Dat gebeurd dus gewoon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.