Veiligheidslek Shell4log en Magento

Afgelopen week zijn veel (grote én kleine) organisaties geconfronteerd met een veiligheidslek in hun website en/of webshop: Shell4log. In dit artikel leggen we je uit wat dit lek inhoudt en wat je als eigenaar kan doen.

Shell4log is een van de namen voor een veiligheidslek in Log4j. De formele naam is CVE-2021-44228.

Log4j is een softwarebibliotheek die het loggen van informatie makkelijk maakt (ontworpen door opensourcestichting Apache Foundation). Log4j staat voor ‘Log for Java’. Met Log4j wordt informatie die op een website of webshop wordt ingevuld, gelogd in een Java-bestand. Denk bijvoorbeeld aan inloggegevens die je invult in een inlogveld, of zoekopdrachten ingevuld in een zoekbalk. Deze informatie moet ergens heen om gebruikt te kunnen worden: vandaar dat deze worden gelogd. Bij een beveiligingsonderzoek bij Chinese webshopreus Alibaba kwam naar voren dat deze invulvelden ook kunnen worden misbruikt. Inmiddels zijn hackers erin geslaagd om Log4j te gebruiken om kwaadaardige software te injecteren in websites en webshops. Deze vorm van toegang krijgen heet RCE (Remote Code Execution). Dit veiligheidslek noemt men ‘Shell4log’.

Shell4log Magento
Informatie die wordt ingevuld in een zoekveld wordt met Log4j gelogd in een Java-bestand

In plaats van inloggegevens of zoektermen, kan je namelijk ook een stukje code intypen in een invulveld. Hackers zijn erachter gekomen dat je door een bepaald stukje code via invulvelden op een website of webshop kwaadaardige bestanden kan uploaden en controle kan nemen over het systeem.

De gevolgen van het Shell4log-gat zijn dat hackers massaal toegang kunnen krijgen tot waardevolle gegevens van kwetsbare organisaties. Eén regel code volstaat en dus kunnen zelfs onervaren hackers met succes een aanval uitvoeren. Het Shell4log-gat wordt nu vooral gebruikt om ‘coinminers’ te installeren. Deze malware gebruikt de rekenkracht van het geïnjecteerde systeem om cryptografische berekeningen uit te voeren voor het ‘minen’ van cryptocoins. Deze cryptocoins komen vervolgens ten goede aan cybercriminelen, zonder dat zij voor de hardware of stroom hoeven te betalen. Verder kunnen hackers er ook voor zorgen dat zij een ‘backdoor’ hebben in een website of webshop. Door programma’s te installeren kunnen zij later toegang krijgen tot het systeem en de eigenaren chanteren. Een geschikt moment voor chantage is bijvoorbeeld de feestdagen, waarin veel omzet wordt behaald en eigenaren koste wat het kost een webshop draaiende willen houden.

Het NCSC (Nationaal Cyber Security Centrum) heeft een lijst online geplaatst op Github met applicaties waarvan de kwetsbaarheid wordt onderzocht als gevolg van Shell4log. Op die lijst staan bekende namen als Atlassian, APC, Broadcom, Check Point, Cisco, Citrix, Commvault, Dell/EMC, Fortinet, Huawei, IBM, Ivanti, Jamf Nation, JetBrains, Kaseya, McAfee, Microsoft, MongoDB, NetApp, Nutanix, Okta, Oracle, Palo Alto Networks, Pulse Secure, QlikTech International, Red Hat, RSA, SonicWall, Sophos, Splunk, Trend Micro, Veaam en VMware. Inmiddels heeft Apache een tweede veiligheidspatch uitgebracht waarmee het lek is gedicht. De nieuwste patch voor Log4j verwijdert in z’n geheel de functionaliteit waarmee die loggingsoftware van buitenaf valt te misbruiken voor het uitvoeren van commando’s op systemen. Security-experts merken echter ook op dat de kans groot is dat veel organisaties al zijn gecompromitteerd. Nu patchen – of nog moeten wachten op patches van Log4j-gebruikende leveranciers – zou dus slechts nieuw misbruik voorkomen.

Het goede nieuws is dat e-Commerceplatforms zoals Magento niet zijn geschreven in Java en an sich niet kwetsbaar zijn. Maar: als jouw webshop programma’s gebruikt die wél zijn gebaseerd op Java, dan moet je opletten. Het gaat om met name deze programma’s:

  • ElasticSearch – versies 6.8.9+ en 7.8+ die draaien op Java JDK9+ zijn GEEN risico. Oudere ES- of SDK-versies zouden echter wel geschikt kunnen zijn om een RCE uit te voeren. Om veilig te blijven, kan je het beste ElasticSearch updaten naar versie 6.8.21 of 7.16.1;
  • Logstash – update naar 6.8.21 or 7.16.1. Kwetsbaar in combinatie met JDK8 of lager;
  • Solr – upgrade naar 8.11.1.

Lees ook: blog van Sansec over Shell4log en kwetsbaarheden in Magento

Weet je niet zeker of jouw Magento webshop kwetsbaar is voor het Shell4log-veiligheidslek? Wij kunnen een snelle scan voor je uitvoeren om te checken of je webshop gecomprimeerd is of risico loopt gecomprimeerd te worden. Onthoud dat je niet per sé iets hoeft te merken als je webshop al is gecomprimeerd: zoals hierboven uitgelegd, kunnen hackers makkelijk een geschikt moment afwachten om je te chanteren.

Kies het zekere voor het onzekere en laat de security van je Magento shop checken.

Ben je klant van 3WebApps? Dan hoef je je geen zorgen te maken. Voor al onze klanten hebben we al gecontroleerd of zij risico lopen en hen waar nodig ingelicht.

Laat je gegevens achter en we bellen je zo snel mogelijk terug

Bel mij terug

Laat je gegevens achter en we komen zo snel mogelijk bij je terug

Inschrijving voor Training
e-commerce manager

Laat je gegevens achter en we komen zo snel mogelijk bij je terug

Aanvraag voor SEO workshop

Laat je gegevens achter en we komen zo snel mogelijk bij je terug

Aanvraag voor digitale toegankelijkheid

Laat je gegevens achter en we komen zo snel mogelijk bij je terug

Aanvraag voor hosting en extensies

Laat je gegevens achter en we komen zo snel mogelijk bij je terug

Aanvraag voor onderhoud & beheer

Laat je gegevens achter en we komen zo snel mogelijk bij je terug

Aanvraag voor security