Afgelopen week zijn veel (grote én kleine) organisaties geconfronteerd met een veiligheidslek in hun website en/of webshop: Shell4log. In dit artikel leggen we je uit wat dit lek inhoudt en wat je als eigenaar kan doen.

Wat is Shell4log?

Shell4log is een van de namen voor een veiligheidslek in Log4j. De formele naam is CVE-2021-44228.

Wat is Log4j?

Log4j is een softwarebibliotheek die het loggen van informatie makkelijk maakt (ontworpen door opensourcestichting Apache Foundation). Log4j staat voor ‘Log for Java’. Met Log4j wordt informatie die op een website of webshop wordt ingevuld, gelogd in een Java-bestand. Denk bijvoorbeeld aan inloggegevens die je invult in een inlogveld, of zoekopdrachten ingevuld in een zoekbalk. Deze informatie moet ergens heen om gebruikt te kunnen worden: vandaar dat deze worden gelogd. Bij een beveiligingsonderzoek bij Chinese webshopreus Alibaba kwam naar voren dat deze invulvelden ook kunnen worden misbruikt. Inmiddels zijn hackers erin geslaagd om Log4j te gebruiken om kwaadaardige software te injecteren in websites en webshops. Deze vorm van toegang krijgen heet RCE (Remote Code Execution). Dit veiligheidslek noemt men ‘Shell4log’.

Shell4log Magento
Informatie die wordt ingevuld in een zoekveld wordt met Log4j gelogd in een Java-bestand

Wat zijn de gevolgen van Shell4log?

In plaats van inloggegevens of zoektermen, kan je namelijk ook een stukje code intypen in een invulveld. Hackers zijn erachter gekomen dat je door een bepaald stukje code via invulvelden op een website of webshop kwaadaardige bestanden kan uploaden en controle kan nemen over het systeem.

De gevolgen van het Shell4log-gat zijn dat hackers massaal toegang kunnen krijgen tot waardevolle gegevens van kwetsbare organisaties. Eén regel code volstaat en dus kunnen zelfs onervaren hackers met succes een aanval uitvoeren. Het Shell4log-gat wordt nu vooral gebruikt om ‘coinminers’ te installeren. Deze malware gebruikt de rekenkracht van het geïnjecteerde systeem om cryptografische berekeningen uit te voeren voor het ‘minen’ van cryptocoins. Deze cryptocoins komen vervolgens ten goede aan cybercriminelen, zonder dat zij voor de hardware of stroom hoeven te betalen. Verder kunnen hackers er ook voor zorgen dat zij een ‘backdoor’ hebben in een website of webshop. Door programma’s te installeren kunnen zij later toegang krijgen tot het systeem en de eigenaren chanteren. Een geschikt moment voor chantage is bijvoorbeeld de feestdagen, waarin veel omzet wordt behaald en eigenaren koste wat het kost een webshop draaiende willen houden.

Veiligheidspatches

Het NCSC (Nationaal Cyber Security Centrum) heeft een lijst online geplaatst op Github met applicaties waarvan de kwetsbaarheid wordt onderzocht als gevolg van Shell4log. Op die lijst staan bekende namen als Atlassian, APC, Broadcom, Check Point, Cisco, Citrix, Commvault, Dell/EMC, Fortinet, Huawei, IBM, Ivanti, Jamf Nation, JetBrains, Kaseya, McAfee, Microsoft, MongoDB, NetApp, Nutanix, Okta, Oracle, Palo Alto Networks, Pulse Secure, QlikTech International, Red Hat, RSA, SonicWall, Sophos, Splunk, Trend Micro, Veaam en VMware. Inmiddels heeft Apache een tweede veiligheidspatch uitgebracht waarmee het lek is gedicht. De nieuwste patch voor Log4j verwijdert in z’n geheel de functionaliteit waarmee die loggingsoftware van buitenaf valt te misbruiken voor het uitvoeren van commando’s op systemen. Security-experts merken echter ook op dat de kans groot is dat veel organisaties al zijn gecompromitteerd. Nu patchen – of nog moeten wachten op patches van Log4j-gebruikende leveranciers – zou dus slechts nieuw misbruik voorkomen.

Shell4log en Magento: moet je je zorgen maken?

Het goede nieuws is dat e-Commerceplatforms zoals Magento niet zijn geschreven in Java en an sich niet kwetsbaar zijn. Maar: als jouw webshop programma’s gebruikt die wél zijn gebaseerd op Java, dan moet je opletten. Het gaat om met name deze programma’s:

  • ElasticSearch – versies 6.8.9+ en 7.8+ die draaien op Java JDK9+ zijn GEEN risico. Oudere ES- of SDK-versies zouden echter wel geschikt kunnen zijn om een RCE uit te voeren. Om veilig te blijven, kan je het beste ElasticSearch updaten naar versie 6.8.21 of 7.16.1;
  • Logstash – update naar 6.8.21 or 7.16.1. Kwetsbaar in combinatie met JDK8 of lager;
  • Solr – upgrade naar 8.11.1.

Lees ook: blog van Sansec over Shell4log en kwetsbaarheden in Magento

Weet je niet zeker of jouw Magento webshop kwetsbaar is voor het Shell4log-veiligheidslek? Wij kunnen een snelle scan voor je uitvoeren om te checken of je webshop gecomprimeerd is of risico loopt gecomprimeerd te worden. Onthoud dat je niet per sé iets hoeft te merken als je webshop al is gecomprimeerd: zoals hierboven uitgelegd, kunnen hackers makkelijk een geschikt moment afwachten om je te chanteren.

Kies het zekere voor het onzekere en laat de security van je Magento shop checken.

Ben je klant van 3WebApps? Dan hoef je je geen zorgen te maken. Voor al onze klanten hebben we al gecontroleerd of zij risico lopen en hen waar nodig ingelicht.