Log4j2: de perfecte supply chain attack?

De populaire logbibliotheek Apache Log4j bleek onlangs een ernstige zero-day-kwetsbaarheid te bevatten. Cybercriminelen kunnen hierdoor zonder toestemming malafide code uitvoeren op het systeem en vervolgens de volledige server van een organisatie overnemen. Organisaties die Apache Log4j2 gebruiken op hun servers of in webapplicaties om de logfunctionaliteit te ondersteunen en geen updates hebben doorgevoerd, lopen hierdoor een flink risico.

Hoewel we een dergelijke groot lek nog niet eerder hebben gezien, was er nog niet zolang geleden de supply chain aanval op Solarwinds. Bij deze aanval kwamen cybercriminelen achter een kwetsbaarheid binnen het SolarWinds Orion Platform. De aanvallers wisten met behulp van hun malafide code door te dringen in één van de DLL-bestanden op het Orion-platform. Zo konden zij verbinding maken met command- en controleservers (C2), waarmee ze zelf aanvalscommando’s op afstand konden uitvoeren. Deze aanpak zorgde ervoor dat zij ongezien de netwerken van gedupeerden konden binnendringen en lange tijd hun gang konden gaan.

Hoewel beide cyberaanvallen een andere basis hebben, zijn ze vergelijkbaar. Net als bij SolarWinds gaat het bij Log4j2 om een supply chain attack. Alleen moeten we bij Log4j2 nog maar afwachten wat de volledige impact zal zijn, omdat deze perfecte supply chain aanval nog heel veel onontdekte gevolgen zal krijgen. Ik verwacht dan ook dat we de komende maanden onze handen vol gaan hebben! Om te voorkomen dat bedrijven en andere organisaties schade oplopen, is het belangrijk om de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren. Het CERT.be en de NCSC hebben al checklists ontwikkeld waar je rekening mee moet houden als organisatie.

Log4j2 komt niet als een verrassing

De Log4j2-aanval kwam voor sommigen als een verrassing, voor ons was dat niet het geval. Dat supply chain-aanvallen ook in de toekomst zullen blijven toenemen, hadden we bij G Data vorig jaar al voorspeld. Softwaredevelopers, de overheid en cyberbeveiligingsprofessionals zullen daarom moeten leren van deze tegenslagen en deze kans gebruiken om de cyberbeveiliging te verbeteren. Want deze aanval zal zeker niet de laatste zijn.

Het grootste probleem is dat de meeste organisaties nog steeds geen robuust plan hebben voor supply chain attacks. Om deze te voorkomen, is het belangrijk om precies te weten wie toegang heeft tot de gevoelige gegevens van een organisatie, zodat de toegang beperkt kan worden tot geselecteerde gebruikers, voor specifieke doeleinden. Van derden moet worden verlangd dat ze deze informatie openlijk delen. Organisaties moeten ook nadenken over wat ze moeten doen als ze stoppen met een leverancier. Als data op straat komen te liggen of bij de verkeerde personen terecht komen, kan dit ook zorgen voor de nodige risico’s. In ieder contract met een leverancier moet daarom zijn opgenomen wat er gebeurt met de data en gevoelige gegevens na beëindiging van het contract.

Partners die samenwerken, kunnen cyberveiligheidsvoorschriften ontwikkelen om de risico’s te beperken. Maak bijvoorbeeld afspraken over hoe je gedeelde netwerken en je eigen netwerk beveiligt. Overweeg ook om beveiligingscontroles en periodieke audits op te nemen in leverancierscontracten, zodat leveranciers aan dezelfde controleniveaus voldoen als jouw onderneming. Uiteraard kan het soms misgaan. Organisaties doen er daarom goed aan om zich hierop voor te bereiden door een incident response plan te ontwikkelen. In een dergelijk plan staan de stappen die moeten worden gezet als er sprake is van een cyberincident, diefstal of verlies. Zorg er voor dat alle risico’s in kaart zijn gebracht en dat er een lijst is met alle sleutelpersonen (ook die van partners) en verantwoordelijken. Op deze manier is het mogelijk om snel in te grijpen en verdere schade te voorkomen.

Breng ook de beveiliging van de iot-apparaten binnen het bedrijf in kaart. Bij veel iot-apparaten kunnen diagnoses voor een slimme fabricagetool automatisch naar de fabrikant worden gestuurd om voorspellend onderhoud uit te voeren. Het is misschien een zeer gewaardeerde dienst, maar het maakt organisaties kwetsbaar voor aanvallen. Gartner verwacht bovendien dat iot-devices op korte termijn betrokken zullen zijn bij 25 procent van de aanvallen op bedrijven, wat betekent dat extra voorzorgsmaatregelen moeten worden genomen om ze te beveiligen.

Zorg ook voor de juiste mix van beveiligingsoplossingen en wees er zeker van dat al je apparaten volledig geüpdatet en gepatched zijn. Moderne securityoplossingen werken met intelligente mechanismen zoals heuristiek, gedragsanalyse en een exploitbeveiliging. Op deze manier krijgen nieuwe malware en zero-day exploits minder kans. Verwijder, vooral op servers, ook altijd de software die niet meer wordt gebruikt. Dergelijke software wordt meestal ook niet geüpdatet, waardoor er kwetsbaarheden kunnen ontstaan. Bovendien zullen veel bedrijven zich niet hebben gerealiseerd dat er bij Log4j2 veel softwareupdates in korte tijd moeten worden uitgevoerd. Veel kleine bedrijven zullen dit niet zelf kunnen doen, zij zullen dus ondersteuning van een specialist moeten vragen. Monitor daarnaast het netwerk regelmatig, weet wie waar toegang heeft tot het netwerk en welke apparatuur toegang heeft tot de systemen.

Moeten we stoppen met open source software?

Hoewel deze bovenstaande maatregelen helpen, kunnen we nooit een 100 procent veiligheid garanderen. Het is daarom belangrijk om extra alert te zijn en ervoor te zorgen dat er een balans is tussen solide securitytechnologie en cyberbewustwording. Misschien moeten we onszelf, als industrie, ook de vraag stellen waarom modules zo kwetsbaar zijn. Deze Log4j-bug heeft eens te meer aangetoond dat grote bedrijven over de hele wereld sterk afhankelijk zijn van vrije open-source software. Dat is allemaal mooi en aardig, maar we zien steeds vaker dat leden van de open-source gemeenschap vaak verontwaardigd zijn over het feit dat ze niet genoeg of zelfs niets betaald krijgen. Bovendien worden er allerlei lagen software over elkaar heen gebouwd waardoor bedrijven het overzicht verliezen. Vergelijk het met een weg door de stad waar men een laag asfalt overheen heeft gegoten. Dat rijdt zachter en vlotter, maar de fundamentele problemen onder die kasseien kan je maar beter goed in kaart gebracht hebben. Is dit wellicht het sleutelprobleem? En moeten we misschien stoppen om open source software te gebruiken in professionele software?

Daarnaast denk ik dat ook de overheid meer kan ondernemen. Het is essentieel dat cybersecurity in ons openbare debat wordt opgenomen, zodat het publiek deze incidenten beter begrijpt. De overheid zal daarom actie moeten ondernemen om leerlingen al op jonge leeftijd les te geven in cyberhygiëne. Hierdoor zullen mensen niet alleen alerter zijn voor cybercriminaliteit, maar het zal ook helpen om jongeren te interesseren voor een baan in cybersecurity. De behoefte aan security-professionals is enorm groot en we moeten jonge mensen aanmoedigen om zich voor het vak te interesseren. Bovendien zal het ook die jongeren aanmoedigen om meer te gaan ontwerpen en programmeren op de security-by-design manier.

Om toekomstige supply chain-aanvallen zoals Log4j2 te voorkomen, zal iedere schakel binnen onze maatschappij beter moeten samenwerken. Hoewel er bij de Log4j-aanval inmiddels allerlei initiatieven zijn opgedoken, die allemaal lovenswaardig zijn, is er ook een wildgroei aan adviezen ontstaan. Dit maakt het voor bedrijven erg lastig om de juiste oplossing te vinden. Het zou daarom goed zijn om een wereldwijde organisatie op te zetten die coördineert wat er moet gebeuren, waardoor we in de toekomst beter kunnen inspelen op dergelijke incidenten en indringers sneller ontdekt worden.