apache server log4j log4shell lek kwetsbaarheid ddos
Log4j

Weer 'ernstig' lek in serversoftware, daags na dichten vorig lek

17 december 2021 om 15:57
Laatste update: 17 december 2021 om 15:57

Er blijkt een ernstig lek te zitten in de update die gemaakt is als oplossing voor de ernstige kwetsbaarheid die vorige week werd aangetroffen in veelgebruikte software voor servers.

Opnieuw gaat het om een kwetsbaarheid in Log4j: logboeksoftware die wordt gebruikt door veel Apache-webservers om bijvoorbeeld veranderingen en foutmeldingen bij te houden. De vorige kwetsbaarheid werd eind vorige week aangetroffen, en enkele dagen later verholpen met een update.

Die update bevat op zijn beurt ook weer een lek, bleek een dag later al. De ernst van zulke lekken wordt uitgedrukt op een schaal van 1 tot 10, via de veelgebruikte CVSS-standaard.

Het eerste lek van vorige week scoorde op die schaal een 10: ernstiger kon dus niet. Het tweede lek, na de update, kreeg in eerste instantie een score van 3,7. Dat is nu bijgesteld: de update krijgt een score van 9 uit 10.

Ernstiger dan gedacht

De score is zo sterk gestegen omdat het nieuwe lek in eerste instantie alleen misbruikt leek te kunnen worden voor relatief onschadelijke DDoS-aanvallen. Nu blijkt het lek ook te misbruiken om code uit te voeren op servers, net zoals bij het eerdere lek, meldt de organisatie achter de software. Als kwaadwillenden ongemerkt code uitvoeren, zijn de risico's groot.

Belangrijk verschil met het vorige lek: de nieuwe kwetsbaarheid is niet zomaar op alle systemen te misbruiken, maar alleen op "bepaalde niet-standaard configuraties".

Weer nieuwe update

Inmiddels is er weer een update verschenen voor Log4j, die beide lekken verhelpt. Het gaat om versie 2.16.0 van Log4j. Het wordt serverbeheerders aangeraden die update zo snel mogelijk te installeren.

Beveiligingsbedrijf Lunasec merkt op dat de eerdere updates onvoldoende zijn, zelfs met handmatige aanpassingen.

Minecraft

Microsoft heeft inmiddels ook een eigen waarschuwing rond de kwetsbaarheden afgegeven. De lekken raken onder meer de game Minecraft en de diensten Microsoft Defender for IoT en Events Hub Extension.

Consumenten kunnen weinig doen

Hoewel de dreiging groot is voor beheerders van servers die ook door consumenten veel gebruikt worden, kunnen consumenten zelf weinig doen. Over het algemeen is het gevaar voor consumenten ook relatief klein. Hun data op servers zou gestolen kunnen worden, maar normaal gesproken is zulke data zelfs bij diefstal niet zomaar uit te lezen. Wel geldt de vuistregel: gebruik bij elke login een uniek wachtwoord. Zo kan je als consument de schade door datadiefstal sterk beperkten.

Het oplossen van de kwetsbaarheden zou opnieuw kunnen zorgen voor tijdelijke onbereikbaarheid. Eerder deze week haalden bijvoorbeeld enkele Nederlandse gemeenten hun servers en daarmee websites offline, om misbruik van de lekken te voorkomen.

Kijk ook: Datacenters in de polder - wat zijn de bezwaren?