Beveiligingsonderzoekers hebben donderdag een kritieke, niet-geauthentiseerde remote code execution (RCE) kwetsbaarheid onthuld in log4j2, een populaire en veelgebruikte logging library voor java-applicaties. CVE-2021-44228 krijgt een volle 10.0 op het CVSS-kwetsbaarheidsscoresysteem vanwege een combinatie van hoe triviaal de vulnerability is en hoe schadelijk de impact is.
De kwetsbaarheid heeft betrekking op log4j2’s behandeling van Java Naming and Directory Interface (JNDI) bronnen. JNDI is een naamgevings-API binnen Java die applicaties toelaat om bronnen en objecten te lokaliseren via een naamgevingsindex. Net als een DNS die op een netwerk een hostnaam omzet naar een IP-adres, zet JNDI een objectnaam om naar een object. Als onderdeel van het toevoegen van ondersteuning voor JNDI lookups, interpoleert log4j2 logberichten en probeert JNDI bronnen op te zoeken. Om een lang verhaal kort te maken; een aanvaller met controle over een string die wordt doorgegeven aan de log4j2 logger, kan de applicatie misleiden door een LDAP lookup aan te vragen en een bron van een server onder zijn controle te halen, deze te laden en uit te voeren.
Welke apparaten zijn hier in gevaar?
Het betreft apparaten die een webserver draaien met de log4j2. Dat zijn heel veel producten, denk aan routers, switches, accespoints, camera’s, recorders maar ook Enterprise applicatie, server en sommige gameserver.
Wat kan ik doen om mezelf te beschermen?
Fabrikanten zijn inmiddels bezig met het ontwikkelen van een bescherming tegen deze kwetsbaarheid. Dit duurt bij de ene fabrikant langer dan de ander. Daarom is het voor nu vooral belangrijk dat u voor de apparaten die zo’n webserver en log4j2 draaien, de toegang blokkeert van buitenaf. Concreet houdt dit in dat u zal moeten zorgen dat poorten 80 en 443 geblokkeerd zijn in uw router. Dit zorgt ervoor dat u van buitenaf beschermd bent tegen deze kwetsbaarheid. Als u uw producten echter van buitenaf wilt blijven beheren via poort 80 of 443, is het aan te bevelen een VPN-tunnel op te zetten ter beveiliging.
Houd de websites van de fabrikanten ook goed in de gaten voor e.v.t. Updates die de Log4J2 kwetsbaarheid dichten.
Meer informatie over dit onderwerp of vragen over hoe ON-IT u kan helpen?
Neem dan contact op via https://on-it.net/contact/