Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

29/12/2021

Nieuw beveiligingslek in Log4j maakt remote code execution mogelijk

Read the original article here
Software Security

Er is een nieuwe kwetsbaarheid in Log4j gevonden waardoor in bepaalde gevallen remote code execution (RCE) mogelijk is. De Apache Software Foundation heeft vanavond een beveiligingsupdate uitgebracht (Log4j 2.17.1) om het probleem, aangeduid als CVE-2021-44832, te verhelpen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 6.6.

Het beveiligingslek is aanwezig in Log4j2 versies 2.0-beta7 tot en met 2.17.0 (op versies 2.3.2 en 2.12.4 na) en doet zich voor wanneer een aanvaller het logging-configuratiebestand kan aanpassen en vervolgens een malafide configuratie kan aanmaken waarbij er wordt verwezen naar een Java Naming and Directory Interface (JNDI) URI die code uitvoert. Doordat een aanvaller het configuratiebestand moet kunnen aanpassen is de impact van de kwetsbaarheid lager beoordeeld dan eerdere RCE-kwetsbaarheden in Log4j.

Beheerders wordt aangeraden om te updaten naar Log4j 2.3.2 (voor Java 6), 2.12.4 (voor Java 7) of 2.17.1 (voor Java 8 en nieuwer). De afgelopen drie weken zijn er vier kwetsbaarheden in Log4j gevonden:

CVE-2021-45105 - Denial of Service - CVSS Score 5.9

CVE-2021-44832 - Remote Code Execution - CVSS Score 6.6

CVE-2021-45046 - Remote Code Execution - CVSS Score 9.0

CVE-2021-44228 - Remote Code Execution - CVSS Score 10.0

Gisterenavond kwam de Apache Foundation met een beveiligingsupdate voor een nieuwe kwetsbaarheid in Log4j, aangeduid als CVE-2021-44832, waardoor het in bepaalde gevallen mogelijk is voor een aanvaller om op afstand code op het systeem uit te voeren. Nu zijn er meer details over het beveiligingslek openbaar gemaakt.

De kwetsbaarheid doet zich alleen voor wanneer een aanvaller controle over de configuratie van Log4j heeft. Daardoor is de impactscore van dit beveiligingslek met een 6.6 lager dan andere kwetsbaarheden in Log4j waardoor remote code execution mogelijk is.

Log4j beschikt over een feature om een remote configuratiebestand te laden. Daarnaast is het mogelijk om Log4j zo te configureren dat het via een Java Naming and Directory Interface (JNDI) op afstand een database laadt. In plaats van een database is het echter ook mogelijk om malafide code op te geven die vervolgens door Log4j wordt uitgevoerd.

Beveiligingsonderzoeker Yaniv Nizry van securitybedrijf Checkmarx rapporteerde het probleem op 27 december aan Apache, dat gisterenavond Log4j versie 2.17.1 uitbracht waarin het probleem is verholpen.

Wilt u zelf met de technologie van Checkmarx werken? Cert2Connect is official partner van Checkmarx

Naar onze Checkmarx pagina's
21/12/2021

Apache-oprichter: we moeten software van nature wantrouwiger maken

Read the original article here
Software Security

Het is nodig om software van nature wantrouwiger te maken en van meer veiligheidsgordels te voorzien, zo stelt Dirk-Willem van Gulik, één van de oprichters van de Apache Software Foundation en één van de eerste ontwikkelaars van de Apache-webserver in een interview met het Financieele Dagblad.

Van Gulik was betrokken bij de grote kwetsbaarheid in Log4j. Apache werd door het Alibaba Cloud Security Team over het beveiligingslek ingelicht. "We overlegden snel met onze experts over de ernst en met onze researchers over een oplossing", vertelt hij aan het FD. "Het is niet eens een echte programmeerfout, meer een foute instelling van de software."

De medeoprichter van Apache coördineerde de bekendmaking en uitrol van de beveiligingsupdate. "We wilden het pas openbaar maken als er een "fix" klaarligt bij onze experts. Tegelijk wil je niet dat softwareleveranciers het lek met juridische trucs geheim houden. Of dat inlichtingendiensten, die zo'n lek gebruiken, het nog even stil willen houden."

Veiligheidsgordels

Volgens Van Gulik heeft het incident verschillende zaken duidelijk gemaakt, waaronder dat de expertise van commerciële cybersecurity-experts 'te wensen overlaat'. Verder pleit hij voor het inbouwen van meer veiligheidsgordels. "Als iemand een veiligheidsinstelling wil veranderen, moet de software vragen: "Weet je het zeker?“ En bij het antwoord moet niet staan ”Ja”, maar “Ja, ik weet dat ik dom ben en ik weet het nog steeds zeker"."

Daarnaast vindt Van Gulik dat software van nature wantrouwiger moet worden gemaakt. "Apache wordt gebruikt door banken. Die hebben een competente securityafdeling. Maar je ziet steeds vaker dat de beveiliging wordt uitbesteed aan de laagste bieder. Zo wordt het gevaarlijk. Dit moet echt een wake up call zijn. Daar wordt de wereld ook beter van."

Controleer zelf uw software en de dependencies met Checkmarx. Kwetsbaarheden bij de bron in de kiem smooren.

Vraag ons naar Checkmarx
13/12/2021

Cyberwaakhond waarschuwt voor gevaarlijk beveiligingslek

Read the original article here
Software Security

Een ernstige kwetsbaarheid in wereldwijd gebruikte software leidt tot grote ongerustheid. Technisch experts vrezen voor een golf van aanvallen met gijzelsoftware.

Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Justitie en Veiligheid, waarschuwt dat de computersystemen van bijna alle bedrijven en instellingen geraakt kunnen worden. Het lek maakt het voor hackers kinderlijk eenvoudig om de systemen binnen te dringen.

"Dit is echt heel groot", zegt Jeroen van der Ham, onderzoeker bij het NCSC. "We hebben vrijdagavond actief meldingen uitgestuurd naar de Rijksoverheid en naar vitale infrastructuur, zoals de financiële markt, spoorwegen en internetproviders."

Ronald Prins, directeur van computerbeveiligingsbedrijf Hunt & Hackett, verwacht "dat we de komende tijd heel grote aanvallen met ransomware voorbij zien komen". Gijzelsoftware is een middel van hackers om computernetwerken te blokkeren en gegevens te stelen. Ze eisen losgeld om het netwerk weer vrij te geven.

Logboeksoftware

Het nieuwe lek zit in Apache Log4j, software die door bijna alle bedrijven wordt gebruikt voor het bijhouden van digitale logboeken. De software registreert bijvoorbeeld welke gebruikersnamen er op een website inloggen en wanneer.

"Regeltje voor regeltje zie je zo de hele dag door wat er op je server gebeurt", zegt Prins. "Het is software wat op ontzettend veel servers zit. En wat iedereen aanzet, want het is best handig."

Via het Apache-lek kunnen hackers makkelijk toegang krijgen tot bedrijfssystemen. Prins: "Dat is een heel simpel trucje, iedereen kan het. En daarmee is het ook best wel een groot gevaar."

'Hackers zijn al binnen'

Apache, de maker van de logboeksoftware, heeft inmiddels een update uitgebracht die het lek moet dichten. Het NCSC adviseert nu die update zo snel mogelijk te installeren.

"IT-beheerders moeten goed opletten dit weekend dat ze die patches meteen installeren", zegt Victor Gevers. Hij leidt het Dutch Institute for Vulnerability Disclosure, een groep vrijwillige hackers die zoekt naar veiligheidsrisico's bij bedrijven en instellingen. "En een tijdelijke oplossing kan zijn om belangrijke, kritische systemen van het internet af te koppelen."

Voor sommige bedrijven komt de patch waarschijnlijk te laat, zegt Prins. "Ik denk dat bij veel bedrijven al hackers binnen zijn. Dat merk je nu nog niet, maar over een aantal weken zul je zien welke bedrijven in korte tijd geraakt zijn en mogelijk te maken krijgen met ransomware-aanvallen."

Wat kunt u doen?

Tijdens het ontwikkel process kunt u SCA van Checkmarx inzetten om de software dependencies van de nieuwe build te controleren en zien of u een andere versie van log4j moet gebruiken.

Echter de kans is groot dat u een kwetsbare versie van log4j in uw omgeving hebt draaien. Met Cymulate emerging threats kunt u deze opsporen, nadat u de kwetsbare server heeft gelokaliseerd kunt u de lateral movement module van Cymulate inzetten om te zien welke systemen bereikbaar zijn vanuit de kwetsbare server. Deze systemen dienen goed gecontroleerd te worden waarvoor u de Cymulate endpoint security module in kunt zetten. 

 

Neem contact op met onze experts
Load more