UPDATE - Het Belgische Ministerie van Defensie is gekraakt door het Log4j-lek. Ook bleek er een kwetsbaarheid te zitten in een recente patch, waardoor het gemakkelijk was om een DdoS-aanval uit te voeren.

UPDATE: Op 20 december is bekendgemaakt dat het Belgische Ministerie van Defensie via het Log4j-lek is aangevallen door hackers. Over de omvang van de aanval is nog niets bekend, wel dat de aanval afgelopen donderdag heeft plaatsgevonden en ervoor zorgde dat bepaalde diensten van Defensie tijdelijk offline waren, waaronder de e-mail. Ook blijkt dat de door Apache uitgegeven patches voor het probleem niet waterdicht waren, waardoor nu weer een nieuwe spoedpatch is uitgebracht, versie 2.17.0. In versie 2.16 waren hackers in staat om een ‘denial of service’ (DdoS) te veroorzaken. Bij een DdoS-aanval wordt een server overspoeld door verzoeken van verschillende computers die het moet verwerken. Servers of applicaties kunnen daardoor crashen. In het geval van versie 2.16 waren hackers zelfs in staat om oneindig verzoeken te blijven versturen. Er wordt - nu voor de derde keer - aanbevolen om de nieuwste patch zo snel mogelijk te installeren.

----

Op 12 december riep het Nationaal Cyber Security Centrum (NCSC) 275 cyberbeveiligers bijeen voor een crisisoverleg omtrent de kwetsbaarheid in het Apache Log4j-programma. Log4j is een Java-logtool die wordt gebruikt om ‘logs’ bij te houden van webservers. Een log bevat veel informatie waarmee beheerders snel problemen op kunnen lossen of verdachte activiteit onderzoeken. Het lek, dat inmiddels Log4shell wordt genoemd, heeft van het NCSC een “High/High”- oftewel het hoogte beveiligingsadvies gekregen. Dit betekent dat er een grote kans is op misbruik op korte termijn, wat kan leiden tot aanzienlijke financiële schade. Hackers zijn door de kwetsbaarheid in staat om op afstand willekeurige code in de software te injecteren en deze met beheerdersrechten uit te voeren. 

NCSC NL log4shell

Over de oorsprong van het lek is weinig bekend, behalve dat het werd ontdekt door Chen Zhaojun van het Alibaba Cloud-beveiligingsteam en de oorzaak een fout in het ontwerp van Log4J is. De kwetsbaarheid is zodanig, dat zelfs hackers met weinig ervaring er misbruik van kunnen maken.

Coin miners
Softwarebedrijf Apache heeft inmiddels updates uitgebracht waarmee het lek is gedicht. Het NCSC roept op om deze updates zo snel mogelijk te installeren. De kans is echter groot dat de updates voor velen te laat komen. Volgens het Amerikaanse cyberbeveiligingsbedrijf Check Point zijn er namelijk al meer dan 800.000 inbraakpogingen geweest in de laatste paar dagen. Hoeveel van deze pogingen succesvol zijn geweest, is niet bekend, maar daar zullen we in de komende tijd achterkomen.

De hackers proberen onder andere om coin miners te installeren, programma’s die continu aan het rekenen zijn om cryptogeld aan te maken. Maar een misschien nog gevaarlijkere activiteit is het installeren van gijzelsoftware. Hiermee kunnen cybercriminelen direct of op een later moment toegang krijgen tot de computersystemen van hun slachtoffer. Vervolgens vergrendelen ze deze systemen en de data en eisen ze losgeld om die weer vrij te geven.

Systemen offline
Hoewel het Apache-logprogramma vooral de zakelijke markt bedient, kunnen consumenten er wel degelijk mee te maken krijgen. Zo nemen onder andere gemeenten en onderwijsinstellingen inmiddels voorzorgsmaatregelen door hun systemen deels offline te halen. In Nederland zijn bijvoorbeeld de gemeenten Almere en Hof van Twente hier al toe overgegaan, waardoor dienstverlening tijdelijk beperkt is. Ook Hogescholen en Universiteiten hebben inmiddels bepaalde onderdelen van hun systeem offline gehaald vanwege het lek. In de kerstvakantie van 2019 werd de Universiteit Maastricht nog slachtoffer van ransomware en besloot uiteindelijk om de hackers losgeld te betalen. 

Tip: In de volgende editie van PC-Active, die half januari uitkomt, staat veiligheid centraal. Je leest onder andere hoe je ransomware kunt voorkomen en hoe je erachter komt of jouw computer gehackt is.