Nederlandse Log4Shell-scantool dankzij DIVD en DTACT

De scantool spit Java-archiefbestanden door op de loggingtool Log4j die in oudere versies van de 2.x-reeks van buitenaf hackbaar is. Daarbij heeft deze scanner (divd-2021-00038--log4j-scanner) weet van de recent uitgebrachte tweede spoedpatch voor Log4j: versie 2.16.0. In die update is de misbruikbare functionaliteit geheel verwijderd.

Nog 'erg alpha'

De scansoftware, die is te downloaden op ontwikkelaarsplatform GitHub, verkeert momenteel nog in een zeer vroeg ontwikkelstadium. De makers waarschuwen dat het nog 'erg alpha' is en dat gebruikers voorzichtig moeten zijn als ze de applicatie gebruiken. "We hebben het getest in een flink aantal gevallen en het lijkt correct te werken", vermeldt het readme-bestand.

De code voor de scanner staat op naam van Remco Verhoef, die medeoprichter en 'chief hacking officer' is van DTACT. Dat bedrijf biedt securitydiensten waaronder SOC/SIEM (Security Operations Centre / Security Information & Event Management) en cloudsecuritymonitoring. DTACT is één van de partners van vrijwilligersorganisatie DIVD (Dutch Institute for Vulnerability Disclosure). De kwetsbaarhedenmelders bij die Nederlandse stichting mogen het Raven-dataverwerkingsplatform van DTACT kosteloos gebruiken. "We betalen niet in licentievergoedingen, maar in feedback", aldus de DIVD.

Log4j zit in veel ICT-producten

Uit deze samenwerking is nu ook een openbare, gratis scantool gekomen voor de grote Log4Shell-kwetsbaarheid in de wijdverbreid gebruikte Log4j-software. Doordat die loggingtool input van buitenaf accepteert en niet goed filtert, kunnen kwaadwillenden op afstand eigen code uitvoeren op systemen waar die Java-tool draait. Dit kunnen ook serverapplicaties en hardware-appliances van derden zijn, want veel commerciële ICT-leveranciers hebben Log4j omarmd en opgenomen in hun producten.