Twee handen typen op computer
© Alexander Geiger/Shutterstock.com
Geen AI: al onze artikelen zijn geschreven door echte mensen, zonder gebruik van AI
Inhoudsopgave

Hackers zijn van van methode gewisseld voor het misbruiken van zogeheten Apache Log4j kwetsbaarheden. Net nadat er een beveiliginspatch is ontwikkeld, zijn hackers op een nieuwe methode overgestapt. In plaats van het Lightweight Directory Access Protocol (LDAP) maken ze nu gebruik van Remote Method Invocation (RMI).

LDAP is een netwerkprotocol dat beschrijft hoe bepaalde gegevens benaderd moeten worden. RMI is een Application Programming interface om Java-objecten met elkaar te laten communiceren. Momenteel wordt RMI alleen gebruikt door hackers die je computer willen gebruiken om de cryptovaluta Monero te minen. Andere kunnen echter snel volgen. Dat melden onderzoekers van het softwarebedrijf Juniper.

Een onlogische methode

De switch van LDAP naar RMI lijkt voor geavanceerde gebruikers onlogisch. Om gebruik te maken van RMI betekent in de regel dat namelijk dat je eerst meer veiligheidschecks en beperkingen moet omzeilen. Dat is echter niet altijd het geval. Sommige versies van Java hebben namelijk niet al deze extra beveiliging. Of deze is niet juist ingesteld. In dat geval is RMI dus een makkelijkere methode om op afstand toegang te krijgen tot een systeem dan LDAP.

Bovendien worden LDAP aanvragen beter gemonitord nu mensen zich bewust zijn van de kwetsbaarheid. Ook de beveiligingspatch van Apache richtte zich op deze gebreken. Op hacks die gebruikmaken van RMI is niet gelet.

Het doel blijft hetzelfde

Voor alle hackers die de Log4Shell kwetsbaarheid misbruiken blijft het uiteindelijke doel hetzelfde. Ze willen hun code laten draaien op de Log4j server. Door deze code kunnen de criminelen het systeem infiltreren.

In het specifieke onderzoek van Juniper Labs wilden de cybercriminelen Monero minen via de geïnfecteerde servers. Bovendien richtten ze zich alleen op Linux-systemen. De onderzoekers waarschuwen echter dat deze methode zich waarschijnlijk uitbreidt voor andere doeleinden en besturingssystemen.

Log4Shell de afgelopen week

De ernstige kwetsbaarheid in Log4j kwam vorige week vrijdag aan het licht. De Java log-tool die bijhoudt welke gebruikers inloggen wordt uitgebuit om op afstand code uit te voeren.

Afgelopen week zijn vele systemen dan ook gescand op het voorkomen van Log4j-kwetsbaarheden. Ook heeft Apache inmiddels updates uitgebracht om ze te verhelpen. Deze vertoonden echter direct gaten in zijn beveiliging en leidde zelfs tot nieuwe exploits.

Ook het Nationaal Cyber Security Centrum (NCSC) in Nederland volgt het proces op de voet. Zo berichtte het woensdag al over een nieuwe Denial-of-Service (DoS) kwetsbaarheid in patch versie 2.15. Deze is tevens weer verholpen in versie 2.16, aldus Apache zelf.

Laat een reactie achter