Wat weten we nu over Log4Shell, de log4j-library kwetsbaarheid
Opnieuw lijkt de securitywereld in brand te staan door een ernstige kwetsbaarheid. Op vrijdag werden systeembeheerders en securitywerknemers ruw van de vrijmibo weggesleurd om een bug in een wijdverspreide Java-library te patchen. Maar 'Log4Shell' is misschien wel te groot geworden om snel even te fixen. Wat weten we na een hectisch weekend precies over de bug?
Wat is Log4Shell?
Log4Shell is de onofficiële naam voor de kwetsbaarheid CVE-2021-44228. Als kwetsbaarheden groot genoeg zijn en lang genoeg rondgaan, krijgen ze vanzelf een merknaam. Log4Shell is vernoemd naar log4j, de Java-feature waar de kwetsbaarheid in zit. De bug werd afgelopen donderdag naar buiten gebracht, en vrijdag, zaterdag en zondag raakte het internet ineens in rep en roer. Dat heeft met name te maken met drie dingen: met Log4Shell kan een aanvaller veel schade veroorzaken en de kwetsbaarheid komt op heel veel plekken voor. Ook speelt mee dat het relatief simpel is om een aanval uit te voeren. Niet alleen beveiligingsexperts, maar ook nationale overheden en grote techbedrijven waarschuwen voor de kwetsbaarheid. Op het moment zou de kwetsbaarheid ook al actief worden uitgebuit, maar desondanks lijken er nog geen grote diensten te zijn geïnfiltreerd of omgevallen.