Log4J Log4Shell

Beveiligingsonderzoeker Marcus Hutchins heeft een kritieke kwetsbaarheid gevonden in open-source logging bibliotheek Log4J.

De kwetsbaarheid heeft de naam Log4Shell gekregen en betekent dat miljoenen logs van bekende applicaties vrij op het internet staan. Heel wat grote namen zoals Apple iCloud, Amazon, Twitter, Steam en Minecraft gebruiken Log4J voor logging om zo de prestaties van hun apps te analyseren. De bibliotheek is heel populair bij grote bedrijven maar zit nu dus met een beveiligingsprobleem.

Log4J

Volgens Ars Technica en The Verge zijn beide kwetsbaarheden gevonden door beveiligingsonderzoeker Marcus Hutchins. Die kennen we onder andere van de WannaCry malware. Hij omschrijft de beveiligingsfout als kritiek omdat alle logs en info van miljoenen applicaties gewoon vrij beschikbaar zijn.

Dat wil zeggen dat gebruikers met slechte bedoelingen zomaar code kunnen uitvoeren waarmee ze data van bedrijven en hun gebruikers kunnen ophalen. De uitvoer van die code is volgens Hutchins zo eenvoudig als het versturen van een bericht of het aanpassen van de naam van je iPhone. Zo is een groep aanvallers er al in geslaagd om via de code een automatisch bericht in een chatbox te zetten en ook het triggeren van kwaadwillige code op de servers van Apple blijkt zeer eenvoudig te zijn.

Log4J zou intussen wel al een oplossing hebben voor de kwetsbaarheid en ook diensten als Minecraft en Cloudflare hebben al oplossingen uitgerold om hun gebruikers te beschermen.