image

NCSC: wees tijdens de feestdagen alert op Log4j-aanvallen

vrijdag 24 december 2021, 11:07 door Redactie, 9 reacties

Organisaties en bedrijven moeten tijdens de feestdagen alert zijn op aanvallen via het Log4j-lek, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC). Op dit moment ziet het NCSC naar eigen zeggen kleinschalig misbruik van het lek, maar de verwachting is dat dit misbruik zal toenemen.

"Daarom blijven we waarschuwen voor aanvallen met een potentieel grote impact en adviseren organisaties nog steeds om zich onverminderd voor te bereiden op dergelijke scenario's. Dit advies blijft onverminderd van kracht, ook tijdens de feestdagen", zo laat het NCSC via de eigen website weten.

Volgens securitybedrijf Tenable is tien procent van de onderzochte servers, webapplicaties, containers en IoT-apparaten kwetsbaar. "Eén op de tien bedrijfsservers loopt risico, Eén op de tien webapplicaties en ga zo door. Eén op de tien van bijna elk aspect van onze digitale infrastructuur loopt het risico op misbruik via Log4Shell", zegt onderzoeker Amit Yoran.

Reacties (9)
24-12-2021, 15:42 door Anoniem
Er kan zomaar immers een nieuwe versie komen.
24-12-2021, 18:33 door Anoniem
Als je met Powershell wil controleren of er op je Windows computer een kwetsbare server (zoals van Minecraft) loopt met core jar met de bewuste JndiLookup.class , dan start je in Windows 10 powershell met de toetsen : Windowstoets en X
Open powershell als admin
En tijp dan :
gci -r | where Name -match '.*core.*\.jar$' | foreach {select-string "JndiLookup.class" $_} | select -exp Path

Volgens Oracle is enkel de core jar kwetsbaar.
Een jar-bestand is eigenlijk een zip, die je kan uitpakken met 7zip. Uiteindelijk zal je een map zien, die JndiLookup.class bevat (3 kb).

Een meer uitgebreide scanner vind je hier (hij werkt met de gewone opdrachtprompt als administrator) :

https://github.com/logpresso/CVE-2021-44228-Scanner
Blader naar beneden en download "logpresso-log4j2-scan-2.6.1-win64.7z"
Uitpakken met 7zip, dan open je een opdrachtprompt in de uitgepakte map, en geef je in :
log4j2-scan.exe c:
Wil je ook zipbestanden scannen :
log4j2-scan.exe --scan-zip c:

Vindt de scanner niets dan ben je misschien safe.
24-12-2021, 19:28 door Anoniem
Kan dit ook na manipulatie kwetsbaar zijn op apache-ip-balancer?:
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" proxy
24-12-2021, 21:07 door Anoniem
Happy Sysadmin Christmasdiner pizza
25-12-2021, 15:22 door Anoniem
https://github.com/fox-it/log4j-finder
25-12-2021, 21:46 door Anoniem
Door Anoniem: Kan dit ook na manipulatie kwetsbaar zijn op apache-ip-balancer?:
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" proxy
Nee want Apache is niet zo dom om na het evalueren van %{User-agent} nog weer in die resulterende waarde te gaan kijken of er weer % tekens in staan en dat dan verder te gaan evalueren. Die dommigheid zit in log4j, niet in Apache zelf.
27-12-2021, 10:36 door Anoniem
Maar de Hack-the-F5-kwetsbaarheid werkt wel.
Terwijl aan de andere kan een load-balancer tegen Log4j kan worden ingezet.

Ik begin zo'n beetje te geloven dat goed bekeken alles werkelijk pn*w*d is.
27-12-2021, 11:37 door Anoniem
Oooo.. alleen tijdens de feestdagen. Dat is niet zoveel werk dan.

Ik denk, ik zal maar even alert zijn (we houden de humor erin)
28-12-2021, 10:40 door Anoniem
0-days maken dat je altijd achter de feiten aanloopt, niet alleen tijdens de feestdagen. Als je in controle wilt komen dan mik je je spullen achter een intrusion prevention laag van enige kwaliteit en breng je een SOC dienst (van het niveau dat bij je organisatie past) in stelling.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.