Nieuwe kwetsbaarheid in software kan spellen als Minecraft in grote problemen brengen

Veel computerbeveiligingsexperts moeten dit weekend aan de bak, omdat er een ernstige kwetsbaarheid is ontdekt in een stukje software dat veel wordt gebruikt door bedrijven, overheden en andere organisaties. Het probleem laat zien dat die voor hun eigen cyberveiligheid mede afhankelijk zijn van het werk van onbetaalde vrijwilligers.

De software heet ‘Log4j’ en helpt systeembeheerders bij het opslaan van allerlei informatie in zogenoemde log-bestanden. De kwetsbaarheid heeft inmiddels de naam Log4shell gekregen en betreft volgens het Nationaal Cyber Security Centrum een ‘ernstige kwetsbaarheid’. Het NCSC verwacht dat er op korte termijn misbruik van wordt gemaakt. Het centrum waarschuwt voor potentieel grote schade.

Waar gaat het om? Beheerders van websites houden graag allerlei data bij in log-bestanden. Daarin staat bijvoorbeeld informatie over websitebezoekers, zoals hun IP-adres, browser, het tijdstip. Zulke datalijsten zijn handig bij het analyseren van storingen of cyberaanvallen. Maar wat als een kwaadwillende gebruiker dit proces manipuleert en informatie verstuurt die computercode bevat? Als de server die code uitvoert, kan de gebruiker in het ergste geval de controle overnemen. Een volgende stap is de installatie van gijzelsoftware.

‘Zeer ernstige situatie’

Dat risico speelt dus bij het veelgebruikte Log4j, een zogenoemde bibliotheek die geschreven is in de computertaal Java. “Ik wil benadrukken dat deze situatie zeer ernstig is”, zegt Brian Vermeer, Java-deskundige bij het bedrijf Snyk dat zich met cyberveiligheid bezighoudt. “Er komen waarschuwingen vanuit de hele industrie dat aanvallers actief op zoek zijn naar servers die kwetsbaar zijn voor Log4Shell-aanvallen. We raden iedereen dus aan hun applicaties te controleren en bij te werken naar de nieuwste versie.”

Het populaire spelplatform Minecraft heeft gebruikers van de Java-versie dringend opgeroepen om een nieuwe versie te gebruiken. Bij Minecraft kunnen gebruikers met elkaar chatten. Omdat ook die chats worden opgeslagen in logs, kan een hacker via die weg schade aanrichten. Ook gamers lopen risico’s.

Afhankelijk van vrijwilligers

Volgens de website TechCrunch zijn Amerikaanse bedrijven zoals Apple, Amazon en Twitter kwetsbaar, net als de Chinese bedrijven Tencent en Baidu. De kwetsbaarheid is ontdekt door een onderzoeker van Alibaba. Volgens cyberbeveiligingsbedrijf Northwave zijn de ontwikkelaars van de software niet eerst gewaarschuwd. Dat is wel een goede gewoonte. Softwareleveranciers en open source-projecten hebben namelijk tijd nodig om kritieke veiligheidsproblemen aan te pakken zonder gebruikers in gevaar te brengen.

In dit geval gaat het om open source-software die wordt bijgehouden door vrijwilligers. Onder hen de in Nederland werkzame Volkan Yazici. Op Twitter zegt Yazici dat de vrijwilligers dag en nacht hebben gewerkt aan maatregelen om het probleem te verhelpen. “Toch blijven mensen tegen ons uitvallen. Het gaat om werk waarvoor we niet betaald worden, voor een stuk software dat ons niet erg bevalt”, maar dat toch in stand moet worden gehouden omdat zoveel systemen het gebruiken. De vrijwilligers krijgen van sommige online ‘sponsoren’ een kleine financiële bijdrage. Grote bedrijven zijn dus in grote mate afhankelijk van een vrijwillig initiatief.

Lees ook:

Hoe het is om te onderhandelen met hackers: ‘Altijd rustig blijven’

Elektronicaketen MediaMarkt werd in november gehackt. Pim Takkenberg, algemeen directeur van digitaal beveiligingsbedrijf Northwave, onderhandelt namens gehackte bedrijven met de cybercriminelen. Vaak zijn het Russen die om losgeld vragen.

Het is goed hacken in een land vol struisvogels

Niet alleen grote bedrijven zoals Mediamarkt lopen het risico gehackt te worden, alle twee miljoen Nederlandse ondernemers zijn potentieel doelwit. Toch laten velen digitale deuren openstaan.