Log4j

Weer 'ernstig' lek in serversoftware, daags na dichten vorig lek

17 december 2021 16:57

Er blijkt een ernstig lek te zitten in de update die gemaakt is als oplossing voor de ernstige kwetsbaarheid die vorige week werd aangetroffen in veelgebruikte software voor servers.

Opnieuw gaat het om een kwetsbaarheid in Log4j: logboeksoftware die wordt gebruikt door veel Apache-webservers om bijvoorbeeld veranderingen en foutmeldingen bij te houden. De vorige kwetsbaarheid werd eind vorige week aangetroffen, en enkele dagen later verholpen met een update.

Die update bevat op zijn beurt ook weer een lek, bleek een dag later al. De ernst van zulke lekken wordt uitgedrukt op een schaal van 1 tot 10, via de veelgebruikte CVSS-standaard.

Het eerste lek van vorige week scoorde op die schaal een 10: ernstiger kon dus niet. Het tweede lek, na de update, kreeg in eerste instantie een score van 3,7. Dat is nu bijgesteld: de update krijgt een score van 9 uit 10.

Ernstiger dan gedacht

De score is zo sterk gestegen omdat het nieuwe lek in eerste instantie alleen misbruikt leek te kunnen worden voor relatief onschadelijke DDoS-aanvallen. Nu blijkt het lek ook te misbruiken om code uit te voeren op servers, net zoals bij het eerdere lek, meldt de organisatie achter de software. Als kwaadwillenden ongemerkt code uitvoeren, zijn de risico's groot.

Belangrijk verschil met het vorige lek: de nieuwe kwetsbaarheid is niet zomaar op alle systemen te misbruiken, maar alleen op "bepaalde niet-standaard configuraties".

Miniatuurvoorbeeld
Lees ook:

Groot lek in serversoftware, cybercentrum waarschuwt bedrijven

Weer nieuwe update

Inmiddels is er weer een update verschenen voor Log4j, die beide lekken verhelpt. Het gaat om versie 2.16.0 van Log4j. Het wordt serverbeheerders aangeraden die update zo snel mogelijk te installeren.

Beveiligingsbedrijf Lunasec merkt op dat de eerdere updates onvoldoende zijn, zelfs met handmatige aanpassingen.

Minecraft

Microsoft heeft inmiddels ook een eigen waarschuwing rond de kwetsbaarheden afgegeven. De lekken raken onder meer de game Minecraft en de diensten Microsoft Defender for IoT en Events Hub Extension.

Miniatuurvoorbeeld
Lees ook:

'Cyberhuurlingen' vielen 50.000 Facebook-accounts aan

Consumenten kunnen weinig doen

Hoewel de dreiging groot is voor beheerders van servers die ook door consumenten veel gebruikt worden, kunnen consumenten zelf weinig doen. Over het algemeen is het gevaar voor consumenten ook relatief klein. Hun data op servers zou gestolen kunnen worden, maar normaal gesproken is zulke data zelfs bij diefstal niet zomaar uit te lezen. Wel geldt de vuistregel: gebruik bij elke login een uniek wachtwoord. Zo kan je als consument de schade door datadiefstal sterk beperkten.

Het oplossen van de kwetsbaarheden zou opnieuw kunnen zorgen voor tijdelijke onbereikbaarheid. Eerder deze week haalden bijvoorbeeld enkele Nederlandse gemeenten hun servers en daarmee websites offline, om misbruik van de lekken te voorkomen.

Bright blok

Volg Bright voor meer tech:​​

Kijk onze video's

Volg ons op Instagram, Twitter en Facebook

En luister de podcast

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore

Dit is een artikel van