Log4Shell is de naam die is gegeven aan een kritieke zeroday-kwetsbaarheid die donderdag aan het licht kwam toen het in het wild werd uitgebuit in compromissen met externe code tegen Minecraft servers. De bron van de kwetsbaarheid was Log4J, een hulpprogramma voor logboekregistratie dat door duizenden, zo niet miljoenen apps wordt gebruikt, inclusief apps die in zowat elke onderneming ter wereld worden gebruikt. De Minecraft servers waren de spreekwoordelijke kanarie in de kolenmijn.
In de vier dagen daarna is het duidelijk dat Log4Shell net zo’n ernstige bedreiging is als ik beweerde, met de lijst met getroffen cloudservices die leest als een who’s who van de grootste namen op internet. Dreigingsanalisten en onderzoekers beoordelen de schade tot nu toe en de vooruitzichten voor de komende weken en maanden nog. Dit is wat u voor nu moet weten.
Wat is Log4J en wat maakt Log4Shell zo belangrijk? Log4J is een open-source op Java gebaseerde logging-tool die beschikbaar is bij Apache. Het heeft de mogelijkheid om netwerkzoekacties uit te voeren met behulp van de Java-naamgeving en directory-interface om diensten te verkrijgen van de Lichtgewicht Directory Access Protocol. Het eindresultaat: Log4j interpreteert een logbericht als een URL, gaat het ophalen en voert zelfs elke uitvoerbare payload uit die het bevat met de volledige rechten van het hoofdprogramma. Exploits worden in tekst geactiveerd met behulp van de ${}-syntaxis, waardoor ze kunnen worden opgenomen in browsergebruikersagenten of andere algemeen geregistreerde attributen.
Dit is hoe exploits eruit zien, zoals geïllustreerd door Juniper Networks-onderzoekers:

Juniper-netwerken
De kwetsbaarheid, bijgehouden als CVE-2021-44228, heeft een prioriteitsclassificatie van 10 op 10. De zeroday is in ieder geval misbruikt negen dagen voordat het opdook.
Vroegste bewijs dat we tot nu toe hebben gevonden #Log4J exploit is 2021-12-01 04:36:50 UTC. Dat suggereert dat het minstens 9 dagen in het wild was voordat het openbaar werd gemaakt. Zie echter geen bewijs van massale uitbuiting tot na de openbaarmaking.
— Matthew Prins 🌥 (@eastdakota) 11 december 2021
Onderzoekers van Cisco’s Talos-beveiligingsteam zeiden dat ze exploits hebben waargenomen begin 2 december.
Wat is er gebeurd sinds Log4Shell afgelopen donderdag opdook? Bijna onmiddellijk, beveiligingsbedrijf Greynoise gedetecteerd actief scannen proberen kwetsbare servers te identificeren. Onderzoekers melden dat deze kritieke en gemakkelijk te misbruiken kwetsbaarheid wordt gebruikt om: cryptomining-malware installeren, Linux-botnets versterken, en het exfiltreren van configuraties, omgevingsvariabelen en andere potentieel gevoelige gegevens van kwetsbare servers.
Wat is de prognose? In het beste geval zullen grote makelaars, banken en handelaren enorme bedragen investeren in overwerkkosten om grote aantallen reeds overwerkte IT-medewerkers te betalen om deze rotzooi tijdens de vakantie op te ruimen. U wilt niet aan het worstcasescenario denken, behalve de inbreuk op Equifax in 2017 en het resulterende compromis van de gegevens van 143 miljoen Amerikaanse consumenten die volgden toen dat bedrijf er niet in slaagde te patchen tegen een vergelijkbare verwoestende kwetsbaarheid.
Klinkt slecht. Wat moet ik doen? Ja het is. Als eindgebruiker kunt u niet veel anders doen dan de services die u gebruikt opjagen en vragen wat ze doen om de gegevens die u hen toevertrouwt veilig te houden. Het nuttigste wat de cloudservices kunnen doen, is: update Log4J. Maar voor grote ondernemingen is het vaak niet zo eenvoudig. Tientallen beveiligingsbedrijven hebben richtlijnen gepubliceerd. Advies van Microsoft en Sophos is: hier en hier.