De Log4Shell-fout waardoor websitebeheerders zich haastten om servers te patchen, zelfs toen criminelen de aanvallen opvoerden, heeft nu broers en zussen.
Een tweede fout werd gevonden in hetzelfde registerhulpprogramma, een dat ervoor kan zorgen dat websites crashen, en de ontwikkelaars van het hulpprogramma hebben snel een patch uitgebracht die beide fouten verhelpt.
De nieuwe bug, gecategoriseerd als CVE-2021-45046 Maar het heeft geen pakkende naam, het misbruikt dezelfde functies van Log4Shell, bekend als CVE-2021-44228.
Het stelt aanvallers in staat om een denial of service – een crash – te veroorzaken in Log4j, dezelfde tool die door Log4Shell wordt misbruikt. Dit kan er op zijn beurt toe leiden dat websites die Log4j gebruiken crashen of crashen.
De eerste patch om Log4Shell te stoppen, versie 2.15.0 van Log4j, stopt deze nieuwe aanval niet. Dus de Apache Software Foundation, die Log4j onderhoudt, is gisteren (13 december) uitgebracht Log4j versie 2.16.0, die een van de functies uitschakelt die de twee defecten mogelijk maken en de andere functionaliteit verwijdert.
Log4j crash zal waarschijnlijk niet dezelfde verwoestende effecten hebben als Log4Shell. De vorige fout stelde aanvallers in staat om kwaadaardige code te injecteren in of gevoelige informatie te stelen van elke webserver die Log4j ergens in zijn programma’s had.
Deze nieuwe bug kan de webserver laten crashen, wat vervelend is en kostbaar kan zijn als zakelijke transacties worden stopgezet, maar zal hoogstwaarschijnlijk geen blijvende schade veroorzaken.
Wat te doen met Log4Shell
Er wordt aangenomen dat honderdduizenden, zo niet miljoenen, webservers zijn getroffen door Log4Shell, en alle versies van de Java-runtime-omgeving zijn getroffen. De enige permanente oplossing is om Log4j bij te werken.
Holland’ Nationaal Cyber Security Centrum Publiceer een lijst met bedrijfssoftware waarvan wordt aangenomen dat deze het risico loopt van Log4Shell, die ook software bevat waarvan is vastgesteld dat deze niet kwetsbaar is voor de aanval.
Bekende namen op de lijst zijn onder meer Amazon, Broadcom, Cisco, Citrix, Dell, HPE, Huawei, IBM, McAfee, Microsoft, Netflix, Oracle, Red Hat, Siemens en Trend Micro.
Zoals beschreven in ons vorige verhaal, zijn de meeste Windows-pc’s, Macs en mobiele apparaten niet kwetsbaar voor aanvallen met Log4Shell, tenzij de apparaten een Java-runtime-omgeving gebruiken. (Microsoft Patch dinsdagen voor december dekken ze niet.)
Spelers die Minecraft Java Edition gebruiken, gebruiken natuurlijk Java, en ze hebben vorige week een patch voor Minecraft gekregen. gisteren, Bitdefender Ik meldde dat ik twee campagnes zag die op afstand ransomware en Trojaanse paarden plaatsten op Windows-machines waarop Java al was geïnstalleerd.
Maar nogmaals, Java is niet geïnstalleerd op Windows of macOS. Linux-desktops zijn kwetsbaarder, net als veel van hen. Ubuntu heeft al Log4Shell-identificatiepatches vrijgegevenEn andere Linux-distributies hebben dit mogelijk ook gedaan.
Vanwege de enorme hoeveelheid financiële en persoonlijke gegevens die worden bewaard op webgerichte servers, zoals creditcards, bankgegevens, e-mails, inloggegevens, foto’s en andere persoonlijke gegevens, is het risico op gegevensinbreuken, identiteits- en kredietdiefstal nooit zijn hoger dan ooit tevoren.
Evenzo kunnen criminelen Log4Shell gebruiken om websites te corrumperen om malware te verspreiden of om het te gebruiken bij phishing-aanvallen om uw persoonlijke gegevens te stelen.
Dit is het perfecte moment om een van de beste wachtwoordmanagers te gaan gebruiken, enkele van de beste antivirussoftware te installeren, uw kredietbestanden te bevriezen en uw kredietrapporten te controleren.
“Denker. Liefhebber van eten. Woedend bescheiden musicaholic. Levenslange ontdekkingsreiziger. Twitter-liefhebber. Professionele student.”