Nieuwe Log4j-kwetsbaarheid veel ernstiger dan eerst gedacht

[Captain Kirk]

Een nieuwe kwetsbaarheid in Apache Log4j die deze week werd gevonden is veel ernstiger dan eerst werd gedacht. In eerste instantie leek het erop dat het beveiligingslek, aangeduid als CVE-2021-45046, alleen een denial of service (dos)-aanval mogelijk maakt. Nu blijkt dat remote code execution tot de mogelijkheden behoort, waardoor een aanvaller in bepaalde gevallen kwetsbare servers kan overnemen.

Vorige week werd er werreldwijd gewaarschuwd voor een kritiek beveiligingslek in Log4j, dat inmiddels bekendstaat als Log4Shell en CVE-2021-44228. De impact van dit beveiligingslek werd op een schaal van 1 tot en met 10 met een 10.0 beoordeeld en werd verholpen met Log4j versie 2.15.0. Een aantal dagen later bleek dat deze versie het beveiligingslek CVE-2021-45046 bevatte. In bepaalde gevallen maakt dit het lek mogelijk voor aanvallers om een dos-aanval uit te voeren. De impact van deze kwetsbaarheid, verholpen in Log4j 2.16.0, is veel kleiner en werd beoordeeld met een 3.7.

De impactscore is vandaag echter aangepast naar een 9.0, omdat in bepaalde niet-standaard configuraties remote code execution mogelijk is. Het grote beveiligingslek in Log4j van vorige week werd veroorzaakt doordat een aanvaller de logsoftware door middel van een message lookup kwaadaardige code kon laten downloaden en uitvoeren.

Om dit te voorkomen werden in Log4j 2.15.0 remote verbindingen in message lookups, bijvoorbeeld een verbinding naar een server van de aanvaller, geblokkeerd. Verder werden message lookups standaard uitgeschakeld. Onderzoekers hebben nu ontdekt dat op andere plekken in de code van Log4j message lookups nog steeds mogelijk zijn, meldt securitybedrijf Lunasec. Daardoor kan een aanvaller kwetsbare servers nog steeds kwaadaardige code laten uitvoeren. Organisaties wordt dan ook aangeraden om te updaten naar versie 2.16.0.

 

bron: https://www.security.nl