Een veelgebruikt stukje software in webservers bevat een ernstige kwetsbaarheid, waardoor veel organisaties kans lopen om gehackt te worden. Er is een oplossing beschikbaar, maar het probleem is dat organisaties lang niet altijd weten dát ze gevaar lopen.
Het gaat om software met de naam Apache Log4j. Dit programma wordt massaal door bedrijven en organisaties gebruikt om bij te houden wat er op hun webservers gebeurt. In dit logboek kan van alles staan, bijvoorbeeld wanneer gebruikers ergens inloggen of waar in de systemen foutmeldingen worden gegeven, zodat beheerders ze kunnen oplossen.
In Log4j werd een kwetsbaarheid gevonden waarvan inmiddels publiekelijk bekend is hoe die misbruikt kan worden. En dat is relatief makkelijk, zegt cybersecurityexpert Ronald Pool van Crowdstrike. “Een beetje scriptkiddie kan dat.”
De Nationaal Cyber Security Coördinator schreef zaterdag dat de software zeer breed in gebruik is bij grote en kleine organisaties in binnen- en buitenland. Mogelijk hebben of krijgen honderdduizenden organisaties er last van. De Vereniging Nederlandse Gemeenten (VNG) waarschuwde maandag al dat waarschijnlijk elke gemeente in Nederland Log4j in zijn systemen gebruikt.
Lek kan leiden tot gijzelingen van computers en meer
Het beveiligingslek kan grote gevolgen hebben. Onder meer omdat Log4j zo’n veelgebruikt programma is, zegt Jornt van der Wiel van cyberbeveiligingsbedrijf Kaspersky. “Maar ook omdat hackers in systemen kunnen komen zonder dat daarvoor menselijke interactie nodig is. Cybercriminelen hoeven bijvoorbeeld niet eerst een mailtje te sturen met een schadelijke link, maar kunnen direct naar binnen via de kwetsbaarheid.”
Aanvallers kunnen de rechten van webservers vervolgens misbruiken voor verschillende doeleinden, afhankelijk van hoe verregaand de rechten zijn. Hackers die via het lek binnendringen zouden bijvoorbeeld computersystemen kunnen gijzelen in ruil voor losgeld. Ook kunnen zogeheten coin miners worden geïnstalleerd. Daarmee wordt continu rekenkracht van computers gebruikt om bijvoorbeeld bitcoins aan te maken voor de crimineel die het programma heeft geïnstalleerd.
Niet elke organisatie kent Log4j
De kwetsbaarheid is ook riskant omdat veel organisaties mogelijk niet weten dat ze gevaar lopen. “Veel bedrijven weten niet eens wat voor software ze allemaal gebruiken”, zegt Van der Wiel. Zo kan een bedrijf software gebruiken van een derde partij, waarin Log4j wordt gebruikt. Dat is dan niet direct zichtbaar.
Pool adviseert bedrijven en organisaties om leveranciers van hun software proactief te vragen of zij gebruikmaken van Log4j. Het cybersecuritybedrijf Northwave heeft daarnaast een programma beschikbaar gesteld om te controleren of een server kwetsbaar is voor het lek.
Belangrijk om snel te updaten
Log4j-maker Apache heeft overigens al een update uitgebracht waarmee de kwetsbaarheid in de software wordt verholpen. Het Nationaal Cyber Security Centrum (NCSC) raadt beheerders van webservers aan om die zo snel mogelijk te installeren.
Toch zal de update er niet voor iedereen op tijd komen. Cybersecurityexperts zien dat hackers al massaal misbruik proberen te maken van het lek. Het is op dit moment nog onduidelijk hoeveel cybercriminelen er al bij bedrijven zijn binnengekomen voordat die de update hadden geïnstalleerd. Dat zal de komende tijd duidelijker worden.
De meeste consumenten zullen overigens niet direct door de kwetsbaarheid geraakt worden, denkt Van der Wiel. Maar hij sluit het niet helemaal uit. “Want misschien wordt misbruik gemaakt van een server waarop gegevens van jou staan. En dan kunnen criminelen daar mogelijk bij.”
