Rust rondom Log4j is bedrieglijk
De voorspelde rampen met Log4j bleven tot nu toe uit. Maar aanvallers zijn alweer op zoek zijn naar andere vormen van toegang. Scannen, patchen en beveiligen blijft voor gemeenten de komende jaren het motto. ‘Incidentbestrijding is nog geen sluitende, vanzelfsprekende, systematisch ingebouwde reflex.’
De voorspelde rampen met Log4j bleven tot nu toe uit. Maar aanvallers zijn alweer op zoek zijn naar andere vormen van toegang. Scannen, patchen en beveiligen blijft voor gemeenten de komende jaren het motto. ‘Incidentbestrijding is nog geen sluitende, vanzelfsprekende, systematisch ingebouwde reflex.’
Wijdverspreider
Kwetsbaarheden in software zijn steeds vaker een manier voor aanvallers om digitaal bij organisaties binnen te dringen. Deze conclusie van de Onderzoeksraad voor Veiligheid zou niet actueler kunnen zijn. Maar het komt uit een rapport over de beveiligingslekken die ontstonden bij duizenden organisaties vanwege de kwetsbaarheden in Citrix-software. Dat begon rond de jaarwisseling van 2019 naar 2020 en nog steeds gebruiken aanvallers deze kwetsbaarheden. Nu, twee jaar later, is er wederom geruchtmakende kwetsbaarheid: Log4j. Deze is echter veel wijdverspreider.
Kleinschalig misbruik
‘Blijf alert, ook tijdens de feestdagen’, adviseerde het Nationaal Cyber Security Centrum (NCSC). Log4j is onderdeel van veel verschillende applicaties en apparaten en de inschatting is dat iedere gemeente ermee te maken heeft. Op het moment van schrijven zag het NCSC nog slechts kleinschalig misbruik, maar ‘de verwachting is dat dit misbruik zal toenemen. Daarom blijven we waarschuwen voor aanvallen met een potentieel grote impact en adviseren organisaties nog steeds om zich voor te bereiden op dergelijke scenario’s.’
Cloud
Log4J is een loggingtool voor Java, waarbij Java de programmeertaal van de software is. Het wordt vrijwel overal voor gebruikt en het is makkelijk uit te buiten. Dat maakt de kwetsbaarheid een wereldwijd probleem dat vrijwel elke sector treft. Zelfs als een gemeente voor de eigen organisatie geen Log4j gebruikt, kun je worden geraakt als je zaken doet met een partij die wel Log4j hanteert. Wanneer een gemeente informatie verwerkt in een kwetsbare cloudapplicatie, dan loopt die informatie risico. En zwakheden op ‘losse’ systemen van thuiswerkers kunnen worden uitgebuit om de netwerksecurity van het hele bedrijf aan te tasten.
Commando's
De bekendste kwetsbaarheid die naar voren kwam was Log4Shell. De ‘log’ staat voor het loggen oftewel vastleggen van gebeurtenissen. Wanneer iemand bijvoorbeeld op een link klinkt die niet werkt, komt er een foutmelding. De webserver waarop die website draait, noteert met Log4J die gebeurtenis ten behoeve van de gebruikers en eigenaars. Log4j is dus slechts bedoeld om informatie vast te leggen, maar het blijkt informatie die op een bepaalde manier wordt geformuleerd op te vatten als commando’s. Met de juiste code kunnen aanvallers servers opdrachten geven en ze overnemen. De eigenaar wordt buitengesloten en alleen de aanvaller kan er dan nog bij. Misbruik en afpersing worden zo makkelijk.
Kwetsbaar
Zoiets gebeurde ook met Citrix. ‘Direct in de weken na de bekendmaking van de softwarekwetsbaarheid drongen aanvallers de digitale systemen van verschillende organisaties binnen’, schrijft de Onderzoeksraad voor Veiligheid in het onlangs verschenen rapport. Op 17 december 2019 maakte de Amerikaanse softwarefabrikant bekend dat een aantal van hun softwareproducten kwetsbaar waren en op 17 januari adviseerde het NCSC Nederlandse gebruikers hun Citrix-servers uit te zetten. De software werd gebruikt door twee derde van gemeenten en provincies. Het is onbekend hoeveel organisaties zijn getroffen, omdat de meeste niet naar buiten treden als ze zijn aangevallen, maar het totaal is ‘in potentie groot’: toen de aanvallen in januari 2020 begonnen, waren er ruim vijfhonderd servers waar aanvallers relatief eenvoudig konden binnenkomen. ‘Bekend zijn dat een gemeente, ziekenhuis en verschillende overheidsorganisaties getroffen waren.’
Keten
‘Organisaties hebben steeds minder tijd om kwetsbaarheden te verhelpen voordat servers wereldwijd worden aangevallen’, concludeert de Onderzoeksraad. Aanvallers kunnen organisaties bovendien ook raken via de ketenpartners – de keten is zo sterk als de zwakste schakel.
Geen reflex
De Onderzoeksraad wijst op ‘opvallende overeenkomsten’ tussen de onderzochte voorvallen: organisaties, en mensen die van deze organisaties afhankelijk zijn, waren digitaal onveilig omdat zij kwetsbare software gebruikten. Uit de reacties van fabrikanten, gebruikers en incidentbestrijders blijkt verder dat ‘incidentbestrijding nog geen sluitende, vanzelfsprekende, systematisch ingebouwde reflex is’. In veel gevallen bereikten de waarschuwingen de organisaties niet. En (vrijwillige) beveiligingsonderzoekers spelen ‘een cruciale rol’ in de incidentbestrijding.
Onveilig
Een van de lessen is volgens de Onderzoeksraad dat het gebruik van software ‘inherent onveilig’ is. Gebruik gaat altijd gepaard met risico’s en onkwetsbare software bestaat niet. Hoe ouder de software wordt, hoe meer kwetsbaarheiden er ontstaan. Softwarefabrikanten bouwen voort op bestaande producten en voegen functies toe die de software complexer maken. Ook de programmeertaal, hergebruik en (inconsistente) lagen in de architectuur kunnen zorgen voor kwetsbaarheden.
Fabrikanten
‘De ongelijke verhouding tussen fabrikanten en afnemers van softwareproducten dwingt te weinig af dat fabrikanten zich inspannen om de veiligheidsrisico’s te beheersen.’ Wet- en regelgeving biedt weinig mogelijkheden om fabrikanten te dwingen, afnemers vinden het moeilijk om eisen te stellen en veel afnemers hebben niet de juiste kennis en capaciteit om eisen te stellen en te controleren. ‘Daarmee worden kwetsbaarheden in software een probleem van de afnemer.’
Breed mandaat
Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad, geeft in gesprek met AG Connect een mogelijke oplossing voor de relatie met leveranciers: een niet-commercieel, centraal orgaan met breed mandaat dat wél contact op kan nemen met kwetsbare partijen. Al moet die intermediair niet een nieuwe tussenlaag zijn die tijd opslokt.
DigiNotar
Ook plaatst Dijsselbloem Citrix in een langere traditie: ‘Het is eigenlijk begonnen bij DigiNotar.’ Iraanse hackers vielen die certificaatuitgever in 2011 aan en gebruikten de systemen van het Nederlandse bedrijf om valse certificaten te verstrekken voor Google-domeinnamen, onder meer om mailverkeer te kunnen aftappen. De Onderzoeksraad onderzocht die hack. Later, in 2018, onderzocht de Onderzoeksraad de cybersecurity in de zorg vanwege ransomware-aanvallen op ziekenhuizen waardoor de spoedeisende hulp tijdelijk werd gesloten en operaties niet konden worden uitgevoerd. ‘Dus dit is nu het volgende rapport in een reeks.’
Voortvarend
En dan nu Log4j. De Informatiebeveiligingsdienst (IBD) laat weten dat Log4j veel wijdverspreider is dan Citrix: ‘Log4j zit in tienduizenden softwarepakketten en hardwarecomponenten. Het maakt Log4j-kwetsbaarheden urgent voor alle organisaties. Niet alle organisaties maken gebruik van Citrix.’ Volgens de IBD zijn gemeenten vanaf het begin voortvarend met de kwetsbaarheid aan de slag gegaan en de feestdagen zijn dan ook digitaal rustig verlopen. ‘Er zijn ons geen gevallen van succesvol misbruik of andere incidenten betreffende Log4j bekend.’
Bezig blijven
Er was wel een nieuwe kwetsbaarheid ontdekt tussen kerst en oud & nieuw en daarvoor is een nieuwe patch gekomen. Zo blijven organisaties bezig met scannen, patchen en beveiligen. En zo blijven aanvallers zoeken naar een ingang en, eenmaal binnen, naar manieren om hun toegang uit te breiden. Mogelijk nog jarenlang.
Dit artikel verscheen in nummer 1 van Binnenlands Bestuur.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.