Audit: Log4j (Log4Shell)

Het zal u vast niet ontgaan zijn dat er de afgelopen tijd veel nieuws naar buiten is gekomen over een nieuw kritiek beveiligingslek in een Java component genaamd log4j.

Op donderdag (9 december) is er een 0-day waargenomen in de populaire java logging library (log4j versie 2). Met de gevonden kwetsbaarheid is het mogelijk om op afstand commando’s uit te voeren op de achterliggende systemen en systemen compleet over te nemen. We noemen dit een remote code execution (RCE) en de aanval wordt ook wel Log4Shell genoemd en heeft het CVE nummer "CVE-2021-44228" gekregen. De nationale cyberwaakhond NCSC heeft de kwetsbaarheid HIGH/HIGH gecategoriseerd omdat de impact zeer hoog is.

Kort samengevat:

  1. Het log4j component zit verweven in talloze applicaties en websites en biedt potentie om één van de grootste risico’s op het gebied van cyber security te worden.
  2. Veel organisaties weten niet waar het component allemaal in zit waardoor patchen en mitigeren een grote uitdaging zal vormen.
  3. Onderzoekers verwachten dat aanvallers snel een worm zullen ontwikkelen waardoor de aanval geautomatiseerd en op grote schaal uitgevoerd kan worden.

Wie wordt er getroffen door de kwetsbaarheid in Log4j?

Bijna alle software heeft wel een mogelijkheid om te loggen (voor ontwikkeling, operationele en beveiligingsdoeleinden), en Log4j is een veelgebruikte component hiervoor.

Voor particulieren is Log4j vrijwel zeker onderdeel van de apparaten en diensten die u dagelijks online gebruikt. Het beste wat u kunt doen om uzelf te beschermen, is ervoor zorgen dat uw apparaten en apps zo up-to-date mogelijk zijn en deze regelmatig blijven bijwerken.

Voor organisaties is het misschien niet meteen duidelijk dat uw webservers, webapplicaties, netwerkapparaten en andere software en hardware gebruikmaken van Log4j. Daarom is het des te belangrijker dat elke organisatie aandacht besteedt aan ons advies en dat van uw softwareleveranciers en de nodige mitigaties uitvoert.

Audit: Log4j (Log4Shell)
Audit: Log4j (Log4Shell)

Tijdens deze Log4j scan controleren wij op de volgende punten:

  1. Wij voeren een vulnerability scan uit vanaf extern en/of intern.
  2. Wij controleren op de meest voorkomende IOC’s (Indicators op compromise)
  3. U krijgt duidelijke rapportages met remediations.
  4. Afhankelijk van de uitkomst van het onderzoek geven we advies over de eventuele vervolgstappen.
  5. (OPTIONEEL) We installeren een agent en monitoren de server 1 maand lang op verdachte activiteiten.
  6. (OPTIONEEL) Wij voeren met de agent een interne vulnerability scan uit op de betreffende server.

Kosten van een log4j scan

De prijs is afhankelijk van de scope, het type audit, de grote van het netwerk, aantal hosts, vlans en subnets. De prijs bij een beperkte scope is € 999,- excl. BTW en zal ongeveer 1 werkdag in beslag nemen.

Is uw bedrijf doelwit geweest van de Log4j kwetsbaarheden?

Secity kan een Log4j-scan uitvoeren en zo onderzoeken of uw bedrijf doelwit is geweest van de Log4j-kwetsbaarheden. Indien wij een kwetsbaar project vinden, wordt er gecontroleerd of alle informatie die met Log4J wordt gelogd informatie bevat die de gebruiker kan manipuleren. Deze informatie omvat URL's, verzoekparameters, headers, of cookies. Als één van deze gelogd wordt, dan is het project kwetsbaar. Wij doen er alles aan om te onderzoeken of uw webapplicatie doelwit is geweest door dieper in de systeemlogs te graven en deze te analyseren. Wilt u meer weten over Log4j of wilt u uw kwetsbaarheid laten controleren? Neem dan vrijblijvend contact met ons op.

Wij kunnen niet wachten u óók te helpen!