Hoe gevaarlijk is de Log4shell hack voor de industrie?

Het zal niemand ontgaan zijn dat er de laatste tijd veel gesproken is over de Log4shell hack die recent aan het licht kwam. Maar in hoeverre is die hack nu gevaarlijk? We praten er over met Evgeny Goncharov, Head of Industrial Control Systems Cyber Emergency Response Team (ICS CERT) bij Kaspersky.

Laten we beginnen bij het begin: wat is Log4shell precies? “In de populaire Apache Log4j-bibliotheek is een “Remote Code Execution” kwetsbaarheid gevonden”, vertelt Goncharov. “Deze bibliotheek wordt in miljoenen commerciële en open-soure applicaties gebruikt en de kwetsbaarheid die hierin is gevonden, ook wel bekend als CVE-2021-4228 of als Log4Shell, wordt als zeer ernstig beschouwd. Op een schaal van 10 krijgt deze kwetsbaarheid een 10. Als een aanvaller erin slaagt gebruik te maken van de kwetsbaarheid, met andere woorden als de aanvaller hun eigen code weten te verwerken via de exploit en deze wordt uitgevoerd door het beoogde systeem, stelt dat de aanvaller in staat om mogelijk de volledige controle te krijgen over het systeem. Hierdoor kunnen dus bijvoorbeeld vertrouwelijke gegevens worden gelekt door de aanvaller of kan de aanvaller ervoor zorgen dat het systeem weigert een opdracht uit te voeren (denial of service).”

Het enige wat nodig is om de kwetsbare toepassing bloot te stellen aan de aanval, is netwerktoegang tot een server die onder controle staat van de aanvaller (dit kan een server op het internet zijn of een gecompromitteerde host op je eigen netwerk). 

“Het is niet zo dat een kwetsbare applicatie de input van een kwaadwillende direct accepteert”, vervolgt Goncharov. “Het hoeft dus geen kwetsbare internet facing service te zijn, zoals een Apache webserver. Het kan ook gaan om een bedrijfsapplicatie die gegevens verwerkt die afkomstig zijn van niet-vertrouwde partijen via een reeks tussenliggende (niet-kwetsbare) applicaties en/of dataopslagplaatsen, zoals verwerkingslogs die zijn opgeslagen door een niet-kwetsbare webserver.”

Werking

Dan naar de werking: hoe zit dat in elkaar? Goncharov: “De exploit maakt gebruik van Apache’s Java Naming and Directory Interface (JNDI) en de aanvallers kunnen nu mogelijk hun code verwerken in het JNDI lookup commando: code die vervolgens uitgevoerd wordt op het beoogde systeem.” 

Java is een krachtig programma, ontworpen om snel en efficiënt applicaties te ontwikkelen, maar de sterke punten verbergen de zwakke punten. Goncharov: “Log4j is in staat om gegevens te loggen door een zogenoemde java class uit te voeren, die is opgeslagen op een externe locatie. En deze class kan worden opgezocht en gevonden door de JNDI – een uniforme interface om te werken met verschillende directoryservices. Het resultaat is dat een aanvaller op een willekeurige manier een specifiek gemaakte Log4j JNDI-lookup string kan leveren met daarin het pad naar een kwaadwillige java class, die de aanvaller (eerder) heeft gemaakt en opgeslagen op de gecontroleerde server – dat is alles wat hij hoeft te doen om de kwetsbare applicatie zijn kwaadwillige java code te laten downloaden en uitvoeren.”

Wat is er gebeurd?

Kan je beschrijven wat er nu precies is gebeurd? Goncharov: “Het is een zeer ernstige zaak. Het grootste probleem is de schaal, want er worden veel producten op veel manieren getroffen. Het identificeren van alle kwetsbare activa op het netwerk kan een uitdaging zijn, vooral voor de geografisch gedistribueerde heterogene omgevingen van grote industriële bedrijven.” 

Het tweede probleem is dat er geen eenvoudige oplossing bestaat die voor iedereen geschikt is”, vervolgt Goncharov. “Sommige systemen kunnen snel worden gepatcht, andere (met inbegrip van de bedrijfskritische) zijn moeilijk te patchen en er moeten mitigerende maatregelen worden toegepast.”

Het derde probleem is dat niet één bepaald product kwetsbaar is, maar een wijdverspreide technologie voor softwareontwikkeling, die een enorm aantal toepassingen (waaronder veel aangepaste) op verschillende manieren kwetsbaar maakt en de potentiële aanvalsscenario’s met een enorme factor vermenigvuldigt.

“En tot slot is de technologie zelf niet zo gemakkelijk te patchen”, vervolgt Goncharov. “De eerste aanvalsvector is ontdekt door de technologie-ontwikkelaar zelf en meteen aangepakt, maar er is ook een nieuwe vector gevonden die om deze mitigatie heen werkt. Er kan nog niet met zekerheid gezegd worden dat er geen andere vectoren zijn, die niet zijn geïdentificeerd en aangepakt.” 

Kwaadwillenden zijn zich bewust van de moeilijkheden waarmee IT-beveiliging te kampen heeft en proberen nu misbruik te maken van de situatie. De criminele bendes die malware verspreiden, zijn begonnen met opportunistische massaverspreidingscampagnes waarbij misbruik wordt gemaakt van de meest voorkomende aanvalsmogelijkheden. 

Om zich daartegen te beschermen gebruiken bedrijven gewoonlijk de standaard beveiligingsmaatregelen, waaronder de bescherming van de netwerkperimeter en de beveiliging van endpoints. De huidige moeilijkheid bij het stoppen van aanvallen aan de netwerkperimeter is dat de verzoeksyntax vrij veel toestaat en het potentiële schadelijke netwerkverkeer variabel is, zodat het niet mogelijk is eenvoudige netwerkdetectieregels op te stellen. 

“Wat de bescherming van endpoints betreft, is het mogelijk dat veel van de getroffen systemen, vooral de systemen met een hoge belasting en bedrijfskritieke systemen, nog steeds niet goed beschermd zijn vanwege de waanideeën over “compatibiliteits- en prestatieproblemen”, die nog steeds heel gebruikelijk zijn in de IT en vooral de OT”, verduidelijkt Goncharov.

“De meer geavanceerde aanvallers zullen zeker misbruik maken van de specifieke aanvalsvectoren die op de geselecteerde doelwitten van toepassing zijn. Bescherming tegen hen is altijd een uitdaging.”

Wat is het effect van de kwetsbaarheid op de industriële sector?

“Als we het over de industriële sector in het algemeen hebben, worden de IT-systemen net zo hard getroffen als in veel andere sectoren. Webdiensten, financiële en zakelijke toepassingen kunnen afhankelijk zijn van de kwetsbare technologie die in de kantoornetwerken van industriële ondernemingen en op hun netwerkperimeter wordt gebruikt.”

Goncharov: “We hopen nog steeds dat de OT-infrastructuren tot degenen behoren die minder getroffen zijn. Om vele redenen maakt Java over het algemeen geen deel uit van algemeen gebruikte technologiestacks in industriële cybersecurity (ICS). Helaas zijn er uitzonderingen. Ten minste een paar populaire producten, bedoeld voor gebruik als DCS (Distributed Control System) in de elektriciteits- en energiesector, blijken kwetsbaar te zijn. Hoewel het moeilijk is met zekerheid te zeggen hoezeer de betrokken infrastructuren aan de aanvallen zijn blootgesteld, kunnen we ervan uitgaan dat de blootstelling niet zo groot is, aangezien deze systemen normaal gesproken geen inputgegevens gebruiken die afkomstig zijn van meerdere niet-vertrouwde bronnen.”

“De andere risicogebieden voor OT zijn het gebruik van niet-ICS-toepassingen (sommige houden misschien niet eens verband met de technologische of zakelijke behoeften en zijn in strijd met het interne veiligheidsbeleid en moeten daarom worden verboden) die gebruik kunnen maken van de kwetsbare technologie, en de moderne IIoT/SmartEnergy-toepassingen, die er ook bovenop worden gebouwd (een paar gevallen daarvan zijn al geïdentificeerd).

In het kort: hoe kunnen industriële bedrijven zich beschermen tegen de bedreigingen die van deze kwetsbaarheid uitgaan? 

  • Kwetsbare activa identificeren. 
  • Verwijder alle onnodige software en verbied het gebruik ervan in zowel OT- als IT-netwerken. 
  • Patch wat gepatcht kan worden.  
  • Bescherm de andere zaken met een goede netwerksegmentatie. 
  • Zorg ervoor dat het internet alleen toegankelijk is voor de systemen die het daadwerkelijk nodig hebben.
  • Bescherm zoveel mogelijk met de goede endpoint-protection-oplossingen (zorg dat ze goed geconfigureerd zijn). 
  • Zorg ervoor dat je netwerkperimeteroplossingen in staat zijn om de meest voorkomende types/syntaxen van misbruik van kwetsbaarheden te detecteren (krijg toegang tot een betrouwbare Threat Intelligence-bron om er zeker van te zijn dat je weet waartegen je moet beschermen).

Threat Intelligence-bronnen kunnen ook helpen bij het identificeren van de meer geavanceerde aanvalscenario’s en je een idee geven hoe je je daartegen kan beschermen.