image

Microsoft adviseert extra controle Log4j-systemen en verwacht lange nasleep

donderdag 6 januari 2022, 09:53 door Redactie, 11 reacties

Organisaties die van Log4j gebruikmaken doen er verstandig aan om hun systemen extra op eventueel misbruik te controleren, zo adviseert Microsoft. Het techbedrijf verwacht gezien het aantal kwetsbare diensten en software dat het nog lang kan duren voordat alle systemen zijn beveiligd en gepatcht, waardoor continue waakzaamheid van organisaties is vereist.

Door de aard van Log4j zijn niet alleen applicaties kwetsbaar die van de loggingsoftware gebruikmaken, maar ook alle diensten die weer met deze applicaties werken. Daardoor weten organisaties mogelijk niet hoe wijdverbreid het probleem in hun omgeving is, aldus Microsoft. Inmiddels zouden zowel statelijke actoren als doorsnee cybercriminelen misbruik van de Log4j-kwetsbaarheden maken.

Tijdens de laatste week van december bleef het aantal aanvalspogingen hoog, stelt Microsoft verder. "We hebben gezien dat veel aanvallers exploits voor deze kwetsbaarheden aan hun bestaande malwarekits en tactieken toevoegen, van coinminers tot hand-on-keyboard-aanvallen. Organisaties beseffen mogelijk niet hoe hun omgevingen misschien al zijn gecompromitteerd."

Microsoft adviseert dan ook een extra controle van systemen waarop kwetsbare Log4j-versies draaien. Het techbedrijf stelt dat de brede beschikbaarheid van exploitcode en scanningtechnieken een echt en concreet gevaar voor bedrijfsomgevingen vormt. Vanwege de vele software en diensten die zijn getroffen en de snelheid waarmee updates verschijnen en worden toegepast kan het nog lang duren voordat de situatie is verholpen, wat inhoudt dat bedrijven blijvend alert moeten zijn.

Reacties (11)
08-01-2022, 09:19 door Anoniem
Tja, dat is duidelijk. Kosten voor de extra alertheid zijn hoog en eigenlijk hebben de meeste organisaties daar niet de tooling en de mensen (24/7) voor. Wat een ellende. Maar gelukkig kan Microsoft helpen!

Eerst bouwen we samen een brak houten zeilbootje, dan voegen we daar een slap buitenboordmotortje aantoe en varen we samen de grote oceaan op om te kijken naar die schitterende zonsondergang. Dan blijkt er een grote storm te komen (who knew?!). En vervolgens zeggen we dat het levensgevaarlijk is op zee en het wellicht verstandiger is om (voor een zacht prijsje) aan boord te komen van de HMS Azure die toevallig toch in de buurt was...

Wees verstandig: blijf aan wal, stop je kroonjuwelen in de kluis en ga alleen voor de echt noodzakelijke dingen in een klein, maar heel veilig scheepje met een goed getrainde bemanning de zee op.
08-01-2022, 12:21 door karma4
Door Anoniem: Wees verstandig: blijf aan wal, stop je kroonjuwelen in de kluis en ga alleen voor de echt noodzakelijke dingen in een klein, maar heel veilig scheepje met een goed getrainde bemanning de zee op.

In dit geval is microsoft enkel de boodschapper met siem en scanning.
Het werkelijke probleem log4j is dat kleine bootje met goed getrainde bemanning (de bouwers van log4h2) waar iedereen van aannam dat omdat het opens source is andere wel zouden opletten dat het veilig is. Vele scheepjes gezonken.
08-01-2022, 14:43 door [Account Verwijderd]
Weet je wat écht schokkend is? Dat ondanks de invloed van deze log4j ramp op de cijfers het nog steeds afgerond 100% Microsoft software is, als je het over malware hebt. Al dit log4j gedoe blijkt gerommel in de marge van de malwarestatistieken.
08-01-2022, 17:09 door Anoniem
Door Toje Fos: Weet je wat écht schokkend is? Dat ondanks de invloed van deze log4j ramp op de cijfers het nog steeds afgerond 100% Microsoft software is, als je het over malware hebt. Al dit log4j gedoe blijkt gerommel in de marge van de malwarestatistieken.

De werkelijke impact van log4j is nog steeds niet helemaal zichtbaar.
De lijst op https://github.com/NCSC-NL/log4shell/tree/main/software bevat honderden kwetsbare applicaties. Waarschijnlijk zijn er nog vele honderden applicaties kwetsbaar die nog niet op de lijst staan.
Daarnaast waren er natuurlijk ook al vele vulnerabilities in OSS bekend https://www.whitesourcesoftware.com/resources/blog/top-security-open-source-vulnerabilities-2020/

Echt gerommel in de marge zou ik dit niet willen noemen. Er god mag weten hoeveel meer ellende er nog zit in niet ge-reviewde geimporteerde library's.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.
09-01-2022, 10:12 door [Account Verwijderd] - Bijgewerkt: 09-01-2022, 10:14
Door karma4:
Door Anoniem: Wees verstandig: blijf aan wal, stop je kroonjuwelen in de kluis en ga alleen voor de echt noodzakelijke dingen in een klein, maar heel veilig scheepje met een goed getrainde bemanning de zee op.

In dit geval is microsoft enkel de boodschapper met siem en scanning.
Het werkelijke probleem log4j is dat kleine bootje met goed getrainde bemanning (de bouwers van log4h2) waar iedereen van aannam dat omdat het opens source is andere wel zouden opletten dat het veilig is. Vele scheepjes gezonken.

Je projecteert jouw vreemde ideeën over wat de voor- en nadelen van open source zouden zijn op anderen.

Door Anoniem: ... Echt gerommel in de marge zou ik dit niet willen noemen. Er god mag weten hoeveel meer ellende er nog zit in niet ge-reviewde geimporteerde library's.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.

Inderdaad maar het zijn wel typerend de script kiddies die zoiets doen (klakkeloos importeren). De professional kijkt naar hoe een geïmporteerde codebase wordt onderhouden, codekwaliteit, etc.
09-01-2022, 14:18 door Anoniem
Door Toje Fos:
Door Anoniem: ... Echt gerommel in de marge zou ik dit niet willen noemen. En god mag weten hoeveel meer ellende er nog zit in niet ge-reviewde geimporteerde library's.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.

Inderdaad maar het zijn wel typerend de script kiddies die zoiets doen (klakkeloos importeren). De professional kijkt naar hoe een geïmporteerde codebase wordt onderhouden, codekwaliteit, etc.

Op de lijst van getroffen applicaties op Github staan alle gerenomeerde namen uit de industrie. Die laten geen prutsers aan hun product schrijven. Hier is sprake van eeen cultuurprobleem.
10-01-2022, 11:31 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:
Door Anoniem: ... Echt gerommel in de marge zou ik dit niet willen noemen. En god mag weten hoeveel meer ellende er nog zit in niet ge-reviewde geimporteerde library's.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.

Inderdaad maar het zijn wel typerend de script kiddies die zoiets doen (klakkeloos importeren). De professional kijkt naar hoe een geïmporteerde codebase wordt onderhouden, codekwaliteit, etc.

Op de lijst van getroffen applicaties op Github staan alle gerenomeerde namen uit de industrie. Die laten geen prutsers aan hun product schrijven. Hier is sprake van eeen cultuurprobleem.

Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...
10-01-2022, 12:20 door Anoniem
Door Toje Fos:
Door Anoniem:Op de lijst van getroffen applicaties op Github staan alle gerenomeerde namen uit de industrie. Die laten geen prutsers aan hun product schrijven. Hier is sprake van eeen cultuurprobleem.

Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...

Nee, ook de DevOp wereld realiseert zich nu dat er sprake is van een cultuurprobleem.
"Cultural issues are the first thing to overcome, says Red Hat."
https://www.theregister.com/2021/11/19/why_devsecops_is_important/
10-01-2022, 16:14 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos:
Door Anoniem:Op de lijst van getroffen applicaties op Github staan alle gerenomeerde namen uit de industrie. Die laten geen prutsers aan hun product schrijven. Hier is sprake van eeen cultuurprobleem.

Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...

Nee, ook de DevOp wereld realiseert zich nu dat er sprake is van een cultuurprobleem.
"Cultural issues are the first thing to overcome, says Red Hat."
https://www.theregister.com/2021/11/19/why_devsecops_is_important/

Dat verhaal bevestigt mijn verhaal meer dan het jouwe.
11-01-2022, 08:37 door Anoniem
Door Toje Fos:
Door Anoniem:
Door Toje Fos:
Door Anoniem:Op de lijst van getroffen applicaties op Github staan alle gerenomeerde namen uit de industrie. Die laten geen prutsers aan hun product schrijven. Hier is sprake van eeen cultuurprobleem.

Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...

Nee, ook de DevOp wereld realiseert zich nu dat er sprake is van een cultuurprobleem.
"Cultural issues are the first thing to overcome, says Red Hat."
https://www.theregister.com/2021/11/19/why_devsecops_is_important/

Dat verhaal bevestigt mijn verhaal meer dan het jouwe.

Dan heb je het niet goed gelezen . . .
11-01-2022, 10:19 door Anoniem
Door Toje Fos: Weet je wat écht schokkend is? Dat ondanks de invloed van deze log4j ramp op de cijfers het nog steeds afgerond 100% Microsoft software is, als je het over malware hebt. Al dit log4j gedoe blijkt gerommel in de marge van de malwarestatistieken.

Ten eerste is het geen Microsoft software.

Ten tweede heb ik liever 1000 bugs welke geen schade opleveren, dan 1 bug die onherstelbaar veel schade oplevert. Statistisch is het maar in de marge qua aantal issues, qua impact is het vele malen groter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.