Wie zich de afgelopen tijd enigszins bezig heeft gehouden met IT, kon er niet omheen: de beveiligingslek van Log4j. Maar wat is deze tool precies? Wat is er misgegaan in de beveiliging? En misschien nog wel belangrijker: wat zijn de gevaren van deze kwetsbaarheid voor jouw organisatie? Security Consultant Ronny Roethof geeft antwoord op de belangrijkste vragen. 

Even terug naar het begin: wat is Log4j? 

Log4j (kort voor logging for Java) is een open source tool die sinds 2001 gebruikt wordt om gebeurtenissen in Java-applicaties bij te houden. Denk hierbij aan het loggen van gebruikersidentiteiten en inlogpogingen. “Over het algemeen wordt Log4j niet gebruikt bij kleinere websites, maar juist bij grote, complexe omgevingen”, vertelt Roethof. “Maar, wie nu denkt met een simpele website automatisch veilig te zijn, heeft het mis. Log4j wordt al jaren door verschillende softwareleveranciers gebruikt. Denk aan VMware, Cisco, Lenovo, Fortinet en RedHat. De kans is dus groot dat Log4j alsnog in een van jouw apps of platforms zit verwerkt”.  

De kwetsbaarheid van Log4j: Log4Shell 

Als zoveel grote softwareleveranciers en bedrijven gebruik maken van Log4j, zou je denken dat deze goed beveiligd is. Niets bleek minder waar toen Alibaba Cloud op 9 december naar buiten bracht de kwetsbaarheid te hebben ontdekt. Teksten die bedoeld waren om gelogd te worden, werden door Log4j geïnterpreteerd als commando en uitgevoerd. “Log4j leest de logbestanden in Java-taal en kan verbinding maken met andere tools. Precies bij die verbinding zit de kwetsbaarheid”, legt Roethof uit. “Met een simpele tekst die wordt geïnterpreteerd als commando, kun je Log4j contact laten maken met een andere server. Log4j luistert dus eigenlijk te goed. Er zit geen validatie op en Log4j toetst niet of het commando wel correct is. Zo kun je dus probleemloos bijna iedere server binnendringen.” Inmiddels heeft de kwetsbaarheid de naam Log4Shell gekregen en blijken al duizenden bedrijven kwetsbaar te zijn voor een ransomware-aanval. Naast bedrijven als Tesla en Apple heeft zelfs de Belgische defensie inmiddels een Log4Shell-melding gemaakt. Tevens hebben diverse organisaties, zoals Gemeente Almere en Hof van Twente, hun dienstverlening gedeeltelijk moeten staken in afwachting van een oplossing. 

Wat betekent Log4j voor mijn organisatie?

Als het aan het Nationaal Cyber Security Centrum (NCSC) ligt, moeten we ons niet alleen zorgen maken over de kans op deze kwetsbaarheid, maar ook over de risico’s ervan. Log4Shell is door het NCSC inmiddels ingeschaald op HIGH/HIGH. Oftewel een hoge kans op grote schade. “Als ergens binnen jouw bedrijf Log4j misbruikt wordt, heb je grote kans slachtoffer te worden van een ransomware-aanval”, legt Roethof uit. “Organisaties moeten dus goed controleren of ze Log4j hebben draaien. Als de kwetsbaarheid inderdaad in een van je systemen blijkt te zitten, is het belangrijk te achterhalen waar deze precies zit en dat onderdeel te patchen.” Klanten van AnyLinQ zijn hier reeds over geïnformeerd en kunnen de laatste updates lezen op onze website 

Wilt u controleren of uw organisatie vatbaar is voor Log4Shell? Doe dan de scan voor Windows of Linux, of neem voor een uitgebreidere securitycheck contact op met Ronny Roethof via [email protected]