Alle seinen in de it-wereld staan op rood. Tal van bedrijven en instellingen hebben hun systemen of delen daarvan offline gezet uit vrees voor een hack. Aanleiding is de vorige week aan het licht gekomen kwetsbaarheid in Apache Log4j, dat geldt als veelgebruikte opensource-serversoftware.
Onder meer de Gemeente Hof van Twente, die een jaar geleden slachtoffer werd van ransomware-aanval, heeft tot deze drastische stap besloten. Een aantal systemen is tijdelijk van internet losgekoppeld. Op Facebook meldt de gemeente dat systemen die nodig zijn voor het uitgeven van een paspoort of rijbewijs, buiten bedrijf zijn gesteld. Ook de gemeentelijke website is offline.
Omroep Flevoland meldt dat ook de gemeente Almere applicaties en websites preventief heeft afgesloten. Het systeem waarmee de ambtenaren inloggen, valt onder deze maatregel. Vandaag beslist de gemeente of hier nog mee wordt doorgegaan. Afgelopen nacht waren de it’ers bezig de systemen te controleren op de aanwezigheid van Log4j en zo nodig beveiligingsupdates te installeren. Het FD meldt dat ook banken tijdelijk applicaties of delen van systemen offline hebben geplaatst. Een woordvoerder van ABN Amro beaamt dit.
Aard van misbruik
Het Nationaal Cyber Security Centrum (NCSC) meldt actief misbruik van de Log4j-kwetsbaarheid in Nederland. De omvang lijkt voorlopig beperkt. Het centrum heeft nog geen details over de aard van het misbruik bekendgemaakt. Aangeraden wordt systemen uit te schakelen totdat een patch beschikbaar is. Aangezien de kwetsbaarheid is te gebruiken voor ransomware-aanvallen adviseert het NCSC om snel de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en backups op orde te hebben.
Het NCSC hamert er ook op detectiemaatregelen in te schakelen. Zowel systemen die al zijn gepatcht als ook kwetsbare systemen moeten op misbruik worden gecontroleerd. Ook systemen zonder internetverbinding lopen risico. Want ook aanvallen van binnenuit zijn mogelijk, zo luidt de waarschuwing.
Maatregelen
Overal in Nederland treffen it-teams maatregelen. Apache Log4j wordt op grote schaal gebruikt om data over applicatiegebruik en webdiensten te loggen. Deze Java-log-tool is in een groot aantal applicaties van uiteenlopende leveranciers ingebouwd. Sinds eind vorige week de kwetsbaarheid bekend werd, werken it’ers met man en macht aan de beveiliging.
Probleem is dat Log4j weggestopt zit in software. Als de component is aangetroffen, moeten de it’ers uitvissen of de leverancier van de software waar Log4j inzit, een oplossing voor het datalek heeft uitgebracht, waarmee de afhankelijkheid van anderen groot is.
Na het bekend worden van de exploit van de Log4j-logboekbibliotheek zijn cybercriminelen bezig mutaties te ontwikkelen om de zwakte beter te benutten. Volgens veiligheidsexperts van Check Point zijn in minder dan een dag al zestig grotere mutaties tot stand gekomen. Deze exploits werken niet alleen over http maar ook over https, de versleutelde versie van http. Hoe meer manieren worden ontwikkeld om de kwetsbaarheid te exploiteren, des meer alternatieven aanvallers krijgen om de beschermende maatregelen te omzeilen die na bekendmaking van het lek zijn bedacht. Threatpost citeert onderzoekers van Checkpoint die stellen dat één beschermingsmuur dan niet voldoende meer is.
Buitengewoon
Extra problematisch is dat de kwetsbaarheid in Log4j buitengewoon eenvoudig is te misbruiken. Via Log4j is de eerste de beste hacker in staat om van afstand malware te installeren of een server over te nemen.
In de eerste fase na bekendwording van de kwetsbaarheid spitste het misbruik zich toe op cryptomining via de computers van slachtoffers. Momenteel zijn aanvallers bezig gevaarlijker malware te installeren op kwetsbare systemen. Onderzoekers van Microsoft hebben installaties van Cobalt Strike waargenomen, een tool van pentesters waarmee hackers wachtwoorden stelen.
Daarmee is tussen aanvallers en verdedigers een wedloop ontstaan die nog lang kan duren. Behalve andere manieren om beschermingsmuren te omzeilen, ontwikkelen aanvallers ook nieuwe tactieken die de kwetsbaarheid doen toenemen. De schaal waarop wordt aangevallen, is zeer groot. Volgens Check Pont was gisteren veertig procent van alle bedrijfsnetwerken wereldwijd aangevallen. Nagenoeg elke organisatie gebruikt Java, terwijl Log4j een van de populairste tools is. Dit verklaart waarom de kwetsbaarheid gemakkelijk uitgroeit tot het grootste veiligheidsprobleem van dit jaar.
IBD en afwegingskader
De informatiebeveiligingsdienst (IBD) heeft een handig afwegingskader gemaakt die in een oogopslag laat zien wat organisaties moeten doen. Elke instelling moet namelijk zelf afwegen of systemen dienen te worden uitgeschakeld, aldus woordvoerder Remco Groet.
Situaties kunnen sterk verschillen. De eerste vraag is of Log4j kwetsbaar is. Luidt het antwoord bevestigend dan is het de vraag of een update mogelijk is. Blijkt dat niet het geval dan moet je weten hoe kritiek het systeem voor de business is.
Is zo’n systeem niet kritiek dan kan je het beter uitzetten. Is dat wel het geval dan moet je een afweging maken. Men moet bereid zijn de consequenties te nemen aangezien het systeem onveilig is.