Het Nationaal Cyber Security Center heeft de hulp ingeroepen van 275 private beveiligingsspecialisten vanwege beveiligingslek Apache Log4j, dat talloze organisaties kwetsbaar maakt voor cybercrime. Apache Log4j wordt wijdverspreid gebruikt en biedt criminelen relatief makkelijk toegang tot computersystemen.

Het NCSC ontvangt inmiddels meldingen dat de kwetsbaarheid actief wordt misbruikt. Fabrikant Apache heeft weliswaar een update uitgebracht, die het lek dicht, maar in de praktijk duurt het lang voordat organisaties een dergelijke update installeren. Soms gebeurt het helemaal niet. Vanwege het grote risico van maatschappelijke ontwrichting heeft de overheidsinstantie daarom voor het eerst alle belangrijke cyberbeveiligingsbedrijven bijeengeroepen om te overleggen hoe deze crisis moet worden aangepakt.

Mogelijke gevolgschade niet in te schatten
Apache Log4j is een java log-tool die door zeer veel applicaties en diensten wordt gebruikt om bijvoorbeeld bij te houden welke gebruikers hebben ingelogd. De kwetsbaarheid maakt het mogelijk voor kwaadwillenden om op afstand willekeurige code uit te voeren met de rechten van de bovenliggende applicatie. Omdat niet is in te schatten welke rechten de bovenliggende applicatie heeft en doordat de aanvaller willekeurig code op afstand kan injecteren en uitvoeren is de mogelijke gevolgschade niet in te schatten, waardoor het NCSC de impact inschaalt als HIGH/HIGH. Dat betekent een hoge kans en hoge impact.

Actueel beeld
Het NCSC is bezig om een zo breed en actueel mogelijk beeld te verkrijgen van mogelijke gerelateerde kwetsbare software. Om een zo actueel mogelijk beeld te geven van getroffen systemen en beschikbare patches, houdt het NCSC een lijst bij op GitHub. Hierin staan de kwetsbaarheden in kwetsbare applicaties vermeld. Geadviseerd wordt om deze lijst regelmatig te controleren op updates. Op Github is naast een lijst van software en patches ook een overzicht van tools, IoC’s en Yara-rules te vinden.

Moeilijk na te gaan
Een uitdaging is dat het niet eenvoudig is om na te gaan of systemen kwetsbaar zijn. Zelfs veel softwareleveranciers weten niet of hun producten gebruik maken van het kwetsbare onderdeel. Die moeten dat weer navragen bij de fabrikant van de gebruikte componenten. Het veel gebruikte VMware bleek wel kwetsbaar, maar dat is met een update afgelopen weekend verholpen. Criminelen kunnen de kwetsbaarheid wel opsporen en vervolgens een ‘achterdeurtje’ installeren, dat ook na beveiligingsupdates nog toegang tot het netwerk verschaft. Via dat achterdeurtje kunnen zij ongeautoriseerd toegang krijgen tot de systemen, maar bijvoorbeeld ook ransomware installeren. Verder gebeurt het dat dergelijke achterdeurtjes via illegale marktplaatsen te koop worden aangeboden.