Onrust over geclaimd nieuw gat in nieuwste Log4j-versie

Beveiligingsexperts reageren verontrust - en ook sceptisch - op de claim van een security-onderzoeker dat er een RCE-kwetsbaarheid zit in de nieuwste versie van Log4j. Die loggingtool heeft de afgelopen tweeëneenhalve week in rap tempo diverse updates gekregen, oorspronkelijk vanwege een gat waarmee kwaadaardige code op afstand kan worden uitgevoerd (remote code execution, RCE). AG Connect heeft contact opgenomen met de onderzoeker en zijn werkgever.

Jasper BakkerredacteurMeer van deze auteur

De tweet waarin security-onderzoeker Yaniv Nizry zijn claim doet, bevat een screenshot waarin een deel te zien is van wat schijnbaar een mailreply is op melding van zijn vondst. Die mail is (volgens het gedeelde screenshot) door middel van cc ook gestuurd aan het securityteam voor loggingsoftware bij de Apache Foundation. De eerder al kwetsbaar bevonden Log4kj-software valt onder die opensourcestichting.

Kijken naar fix

De geclaimde mail bedankt afzender Nizry voor zijn melding en laat weten dat er gekeken wordt om het te fixen. "We zullen een bijbehorende CVE publiceren", vermeldt de screenshot van de reply nog. Vooralsnog is er geen publieke informatie over een eventueel nieuwe beveiligingsgat in Log4j. Bovendien is het kinderlijk eenvoudig om een screenshot te maken waarmee een dergelijke mailwisseling gefaked kan worden.

Stay tuned for a blogpost ;) pic.twitter.com/D56WpVsuF3
— Yaniv Nizry (@YNizry) December 28, 2021

Nizry is echter wel een security-onderzoeker, die in dienst is bij beveiligingsbedrijf Checkmarx. De in de tweet toegezegde blogpost is op dit moment niet te vinden op de blogsite van zijn werkgever. AG Connect heeft langs meerdere wegen vragen afgevuurd op de onderzoeker en op Checkmarx.

'Daar gaat het weekend'

Ondertussen reageren andere security-experts verontrust, en ook sceptisch. Victor Gevers van de Nederlandse 'kwetsbaarhedenjagers' DIVD (Dutch Institute for Vulnerability Disclosure) retweet Nizry's bericht met de korte toevoeging: "En daar gaat het weekend". Gevers en andere DIVD-vrijwilligers zijn al weken druk bezig met Log4j en de verschillende kwetsbaarheden daarin plus de verschillende spoedpatches daarvoor.

And there goes the weekend. https://t.co/nhLno9WfHV
— Victor Gevers (@0xDUDE) December 28, 2021

AG Connect heeft Gevers gevraagd wat zijn inschatting is van de ernst en validiteit van deze claim. Hij reageert dat de 2.17.0-release van Log4j nog enorm jong is. Die update is op 17 december uitgekomen, met spoed. Die nieuwste versie staat nu in de release history van Apache Logging Services nog aangeduid met 2021-MM-dd.

Gevers uit de hoop dat het een onterechte melding is waardoor 2.17.0 nog 'houdbaar' zou zijn. "We zijn nog steeds bezig met het scannen op de vorige kwetsbaarheid. En deze worden nog steeds gevonden. Dus er nu weer iets boven op in het publieke domein zou nu echt heel ongelegen komen." Een openlijke onthulling zou het hek van de dam gooien.

Of slechts hype?

Security-expert Kevin Beaumont reageert sceptisch. Hij merkt op dat Nizry's Twitter-account nogal kaal is en dat er helemaal geen blogpost is nu. Mogelijk is het dus slechts hype. AG Connect heeft ook contact opgenomen met de mogelijke afzenders van de reply die security-onderzoeker Nizry in zijn getweette screen deels showt. Dit lijkt een van de leden te zijn van het projectteam van Apache Logging Services.