Reactie Apache Log4j-kwetsbaarheid van Sean Gallagher, Sophos

Honderdduizenden pogingen gedetecteerd om op afstand code uit te voeren met behulp van de Log4Shell-kwetsbaarheid

| Sophos | 2 min | 13 december 2021 9:54

/Artikelen/Opinie

it weekend werd bekend dat er een kritieke kwetsbaarheid is gevonden in de Apache Log4j-software. Onderstaand een reactie van Sean Gallagher, Senior Threat Researcher bij Sophos op dit nieuws.

“Sinds 9 december heeft Sophos honderdduizenden pogingen gedetecteerd om op afstand code uit te voeren met behulp van de Log4Shell-kwetsbaarheid. Aanvankelijk waren dit Proof-of-Concept (PoC) exploittests door onder meer beveiligingsonderzoekers en potentiële aanvallers, evenals vele online scans op de kwetsbaarheid. Dit werd al snel gevolgd door pogingen om coin miners te installeren, waaronder het Kinsing miner botnet. De meest recente informatie suggereert dat aanvallers het beveiligingslek proberen te misbruiken door de keys die door Amazon Web Service-accounts worden gebruikt, bloot te leggen. Er zijn ook tekenen dat aanvallers het beveiligingslek proberen te misbruiken om tools voor externe toegang in slachtoffernetwerken te installeren, mogelijk Cobalt Strike, een belangrijk hulpmiddel bij veel ransomware-aanvallen.

“De Log4Shell-kwetsbaarheid vormt een ander soort uitdaging voor IT-teams. Veel softwarekwetsbaarheden zijn beperkt tot een specifiek product of platform, zoals de ProxyLogon- en ProxyShell-kwetsbaarheden in Microsoft Exchange. Zodra IT-teams weten welke software kwetsbaar is, kunnen ze deze controleren en patchen. Log4Shell is echter een bibliotheek die door veel producten wordt gebruikt. Het kan daarom aanwezig zijn in alle uithoeken van de infrastructuur van een organisatie, bijvoorbeeld in-house ontwikkelde software. Het vinden van alle systemen die kwetsbaar zijn vanwege Log4Shell moet een prioriteit zijn voor beveiligingsteams.

“Sophos verwacht dat de snelheid waarmee aanvallers de kwetsbaarheid benutten en gebruiken de komende dagen en weken alleen maar zal toenemen en diversifiëren. Zodra een aanvaller de toegang tot een netwerk heeft veiliggesteld, kan elke infectie volgen. Daarom moeten IT-beveiligingsteams, naast de software-update die al door Apache is uitgebracht in Log4j 2.15.0, een grondige beoordeling van de activiteit op het netwerk uitvoeren om eventuele sporen van indringers op te sporen en te verwijderen, zelfs als het er alleen maar uitziet als hinderlijke commodity-malware.”

Hoe vind je dit artikel?

SlechtMatigRedelijkGoedUitstekend

Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item

Over Sophos

Als wereldwijde leider in next-gen cybersecurity beschermt Sophos (LSE: SOPH) organisaties tegen de meest geavanceerde cyberdreigingen. Aangedreven door SophosLabs, een wereldwijd team voor threat intelligence en data science, beschermen de cloudgebaseerde en AI-aangedreven oplossingen laptops, servers, mobiele devices en netwerken tegen immer evoluerende cyberaanvaltechnieken waaronder ransomware, malware, exploits en phishing.

Het cloudgebaseerde beheerplatform Sophos Central integreert het volledige portfolio van Sophos’ next-genoplossingen (waaronder de endpointoplossing Intercept X en XG next-gen firewall) in een enkel ‘gesynchroniseerd beveiligingssysteem’ dat via een set API's toegankelijk is.

Disclaimer

Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.