Aanvalsgolven op wijdverbreid Log4j-gat zijn begonnen

Nadat de afgelopen dagen zeker honderdduizenden keren is geprobeerd om misbruik van het zogeheten Log4Shell-gat te maken, is dat nu aan het slagen. Beveiligingsleverancier Sophos meldt dat de scans eerst werden uitgevoerd door security-onderzoekers en door potentiële aanvallers om te zien wat er mogelijk was. Maar nu zijn kwaadwillenden er in geslaagd om kwaadaardige software binnen te krijgen bij kwetsbare organisaties.

'Directe' en onwetende gebruikers

De loggingtool Log4j, wat valt onder de opensourcestichting Apache Foundation, doet dienst bij vele bedrijven en organisaties. Dit zijn dan zowel partijen die Log4j zelf en direct gebruiken, als ook partijen die applicaties of appliances gebruiken waarin de loggingsoftware wordt benut. Terwijl de kwetsbaarheid is ontdekt in de populaire openwereldgame Minecraft, is Log4j ook in gebruik bij bijvoorbeeld Amazon, Akamai, Apple, Cloudflare, Tesla en Twitter.

Dat betreft dan de 'directe gebruikers' die bewust voor gebruik van deze tool hebben gekozen. Daarnaast is er een grote groep bedrijven die - al dan niet onwetend - Log4j 'in huis' heeft, via software en/of hardware van ICT-leveranciers .Het Nederlandse NCSC (Nationaal Cyber Security Centre) heeft een lánge lijst van leveranciers gepubliceerd op Github waarbij de kwetsbare loggingtool van toepassing is.

Ook securityleveranciers zelf

Op die lijst staan bekende namen als Atlassian, APC, Broadcom, Check Point, Cisco, Citrix, Commvault, Dell/EMC, Fortinet, Huawei, IBM, Ivanti, Jamf Nation, JetBrains, Kaseya, McAfee, Microsoft, MongoDB, NetApp, Nutanix, Okta, Oracle, Palo Alto Networks, Pulse Secure, QlikTech International, Red Hat, RSA, SonicWall, Sophos, Splunk, Trend Micro, Veaam en VMware. In deze niet complete opsomming, van de lijst die volgens het NCSC zelf "nog lang niet volledig" is, staat ook enkele securityleveranciers. Daarnaast komen in de lijst ook ICT-leveranciers voor zoals Pulse Secure en Kaseya die in de afgelopen tijd al zijn getroffen door diepgaande, verreikende beveiligingsgaten.

De nu op gang komende aanvallen op het wijdverbreide Log4j kunnen die eerdere security-incidenten mogelijk doen verbleken. Misbruik maken van het Log4Shell-gat (soms ook Shell4log genoemd) is namelijk zeer eenvoudig: één regel code volstaat. "Zelfs een onervaren hacker kan met succes een aanval uitvoeren door deze kwetsbaarheid", aldus securityleverancier Kaspersky. Beveiligingsbedrijf Check Point noemt het "een van de ernstigste gaten van de afgelopen jaren".

Laatstgenoemde leverancier heeft in de afgelopen dagen meer dan 800.000 pogingen gezien om via het gat binnen te komen op uiteenlopende serversoftware bij diverse bedrijven en organisaties. Bijna de helft van die pogingen kwam van "bekende kwaadwillende groepen". Ook het in Delft gezetelde Fox-IT ziet een "enorme hoeveelheid scan-activiteit" van mensen die zoeken waar de zwakke plekken zitten. "Dit maakt het in de meeste gevallen ondoenlijk om elke afzonderlijke aanvalspoging te onderzoeken."

Cryptomining nu, ransomware later?

Volgens securityfirma Sophos wordt het gat onder meer gebruikt om coinminers te installeren. Deze malware benut de rekenkracht van systemen waarop het staat om cryptografische berekeningen uit te voeren voor het aanmaken van virtuele valuta. Dit 'ontginnen' (mining) van cryptogeld komt dan ten goede aan cybercriminelen, die er niet de hardware- of stroomrekening voor hoeven te betalen.

Sophos zegt dat er ook aanwijzingen zijn dat kwaadwillenden voorbereidingen nemen om ransomware te verspreiden via het Log4Shell-lek. Daarvoor worden nu alvast programma's geïnstalleerd waarmee cybercriminelen later toegang kunnen krijgen tot de kwetsbare computersystemen. Zo'n backdoor kan het patchen van het eigenlijk gat in Log4j overleven en vereist dus grondig scannen van ICT-omgevingen. De vrees leeft dan ook dat er na enige tijd nog een golf aan ransomware-aanvallen gaat komen.