Wat is aan de hand met Log4j?

Apache Log4j is een op Java gebaseerd hulpprogramma voor logboekregistratie, oorspronkelijk geschreven door Ceki Gülcü. Het is onderdeel van de Apache Logging Services, een project van de Apache Software Foundation. Log4j is een van de verschillende logging frameworks voor Java. Gülcü heeft sindsdien de projecten SLF4J en Logback opgestart, met de bedoeling om een opvolger van Log4j aan te bieden.

In de informatica is een logbestand een bestand, waarin gebeurtenissen worden vastgelegd die zich voordoen in een besturingssysteem of andere software die draait, of berichten tussen verschillende gebruikers van een communicatiesoftware. Loggen is het bijhouden van een logboek. In het eenvoudigs te geval worden berichten naar een enkel logbestand geschreven. Een Java logging raamwerk is een computer data logging pakket voor het Java platform. Dit artikel behandelt logging frameworks voor algemene doeleinden.

Logging verwijst naar het vastleggen van activiteit door een applicatie en is een veelvoorkomend probleem voor ontwikkelteams. Logging frameworks vergemakkelijken en standaardiseren het proces van logging voor het Java platform. In het bijzonder bieden zij flexibiliteit door expliciete uitvoer naar de console te vermijden. Waar logs worden geschreven wordt onafhankelijk van de code en kan worden aangepast tijdens runtime.

Jammer genoeg bevatte de JDK geen logging in zijn oorspronkelijke versie, zodat tegen de tijd dat de Java Logging API werd toegevoegd verschillende andere logging frameworks wijdverspreid in gebruik waren geraakt - in het bijzonder Apache Commons Logging (ook bekend als Java Commons Logging of JCL) en log4j. Dit leidde tot problemen bij het integreren van verschillende bibliotheken van derden (JAR's) die elk verschillende loggingframeworks gebruiken. Pluggable logging frameworks (wrappers) werden ontwikkeld om dit probleem op te lossen.

Op 9 december 2021 werd een zero-day kwetsbaarheid met arbitraire code-executie in Log4j 2 gepubliceerd door het Alibaba Cloud Security Team en de descriptor 'Log4Shell' gegeven. Het is door Tenable gekarakteriseerd als 'de enige grootste, meest kritieke kwetsbaarheid van het laatste decennium.' Tenable, Inc. is een cyberbeveiligingsbedrijf gevestigd in Columbia, Maryland, USA. Het is bekend als de maker van de kwetsbaarheden scansoftware Nessus.

Het Nationaal Cyber Security Centrum (NSC) waarschuwde de gebruikers op 23 december 2021: Op 10 december 2021 is er een ernstige kwetsbaarheid gevonden in Apache Log4j. Op dit moment ziet het NCSC kleinschalig misbruik. De verwachting is dat dit misbruik zal toenemen. Daarom blijven we waarschuwen voor aanvallen met een potentieel grote impact en adviseren organisaties nog steeds om zich voor te bereiden op dergelijke scenario's. Dit advies blijft onverminderd van kracht, ook tijdens de feestdagen. Hieronder treft u een overzicht van de ontwikkelingen van de afgelopen dagen.

Naar aanleiding van het verhelpen van verschillende bestaande en het bekend worden van nieuwe kwetsbaarheden in Log4j, is het beveiligingsadvies de afgelopen dagen een aantal keer aangepast. 

Om organisaties te helpen het overzicht te bewaren hebben we een schema gemaakt van mitigerende maatregelen en hun effecten. Deze actualiseren we als de situatie hierom vraagt. De meest recente beveiligingsadviezen vindt u op onze pagina en een actueel overzicht van potentieel kwetsbare softwareoplossingen, alsmede detectieregels en andere mitigerende maatregelen vindt u op Github

Het NCSC heeft een stappenplan ontwikkeld. Het doorlopen van dit stappenplan helpt organisaties bij het treffen van maatregelen om de kans op misbruik te verkleinen en bij het voorbereiden op eventueel misbruik. Dit handelingsperspectief actualiseren we bij veranderingen in het beveiligingsadvies. Het NCSC heeft via dit stappenplan organisaties gewezen op hun verantwoordelijkheid in het in beeld brengen van ketenafhankelijkheden. Lees ook: Installeer updates tegen ernstige kwetsbaarheid in Apache Log4j