Beheer

Security
Wormen

Log4Shell-worm in de maak

Malwaremakers werken aan worm voor groot Log4j-gat.

Wormen © CC0 Pixabay.com,  41330
20 december 2021

Malwaremakers werken aan worm voor groot Log4j-gat.

Het gevaar van de kritieke kwetsbaarheid Log4Shell in de wijdverbreid gebruikte Log4j-tool dreigt nog wat groter te worden. De eerste tekenen zijn waargenomen van een mogelijke worm die het ernstige beveiligingsgat kan gaan misbruiken. Volautomatische verspreiding van malware zou dan mogelijk zijn via geïnfecteerde systemen.

Zelfreplicerende malware kan zich net zoals een biologische worm splitsen en dan als volwaardig wezen weer verder gaan. Het gevaar bij digitale wormen is dat zij zichzelf dan kunnen verspreiden waardoor infecties in exponentieel tempo kunnen toenemen, net zoals bij een biologisch virus zoals COVID-19. Het is nog niet duidelijk of de in ontwikkeling zijnde worm ook net zo effectief zal zijn. Enkele security-onderzoekers reageren sceptisch op de nu ontdekte code.

Wel/niet werkende worm

"De code werkt helemaal niet, en zelfs als het zou werken, zou het zichzelf niet propageren", oordeelt malwarekenner Marcus Hutchins (beter bekend als MalwareTech). Hij is in 2017 wereldwijd bekend geworden doordat hij de toen rondgaande WannaCry-worm tijdelijk wist af te remmen. Later is Hutchins opgepakt en aangeklaagd in de Verenigde Staten voor eerdere hackingactiviteiten in verband met de berichte bankingmalware Kronos. Uiteindelijk is de Brit er met een relatief milde straf afgekomen, omdat hij zijn leven heeft gebeterd.

Security-onderzoeker Vess (aka VessOnSecurity) heeft de code van de geclaimde Log4j-worm en komt tot soortgelijke conclusies als Hutchins. De ontdekte malware zou gekoppeld zijn aan het beruchte Mirai-botnet dat IoT-apparaten (Internet of Things) infecteert. De Mirai-malware is oorspronkelijk geen worm. Hutchins en Vess constateren dat de geclaimde Log4j-worm afhankelijk is van een centrale LDAP-server, waarvoor het IP-adres is vastgelegd (hard-coded) in de ontdekte nieuwe exploitcode.

Amateurwerk of startschot?

Vess uit echter wel twijfels over het niet-werken van de code, die is ontdekt door een Chileense security-onderzoeker. Hij reageert op de scepsis van zijn collega's en erkent dat het een basale exploit is, maar stipt daarbij aan dat het al wel in verkeerde handen is. Terwijl Hutchins concludeert dat de code een slecht staaltje werk is van waarschijnlijk amateurs, kan het nu een race tegen de klok zijn voordat beter onderlegde cybercriminele developers met een wel werkende worm komen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.