De Apache Log4j exploit kan invloed hebben op Minecraft: Java Edition, Amazon, Twitter en nog veel meer, maar kan worden gemitigeerd.
Er is een verreikend zero-day beveiligingslek ontdekt dat het mogelijk maakt om op afstand code uit te voeren door kwaadwillenden op een server, en dat een impact kan hebben op een heleboel online applicaties, waaronder Minecraft: Java Edition, Steam, Twitter en nog veel meer als het niet wordt gecontroleerd.
De exploit is geïdentificeerd als CVE-2021-44228, gemarkeerd als 9.8 op de schaal van ernst door (Red Hat) maar is vers genoeg om nog te wachten op analyse door NVD. Het zit in de veelgebruikte Apache Log4j Java-gebaseerde logboekbibliotheek, en het gevaar schuilt in de manier waarop het een gebruiker in staat stelt code op een server uit te voeren – mogelijk de volledige controle overnemend zonder de juiste toegang of autoriteit, door het gebruik van logboekberichten.
“Een aanvaller die logberichten of logberichtparameters kan controleren, kan willekeurige code uitvoeren die van LDAP-servers is geladen wanneer berichtopzoekingssubstitutie is ingeschakeld,” stelt de (CVE ID beschrijving).
Het probleem kan invloed hebben op Minecraft: Java Edition, Tencent, Apple, Twitter, Amazon, en veel meer online dienstverleners. Dat komt omdat hoewel Java niet meer zo gebruikelijk is voor gebruikers, het nog steeds veel wordt gebruikt in bedrijfsapplicaties. Gelukkig heeft Valve gezegd dat Steam geen last heeft van het probleem.
“We hebben onmiddellijk onze diensten bekeken die log4j gebruiken en geverifieerd dat onze netwerkbeveiligingsregels het downloaden en uitvoeren van onvertrouwde code blokkeerden,” vertelde een vertegenwoordiger van Valve aan PC Gamer. “We geloven niet dat er risico’s voor Steam zijn verbonden aan deze kwetsbaarheid.”
Wat betreft een fix, zijn er gelukkig een paar opties. Het probleem treft naar verluidt Log4j-versies tussen 2.0 en 2.14.1. Upgraden naar Apache Log4j versie 2.15 is de beste manier om het probleem te verhelpen, zoals aangegeven op de Apache Log4j security vulnerability page. Gebruikers van oudere versies kunnen het probleem ook ondervangen door de systeemeigenschap “log4j2.formatMsgNoLookups” op “true” te zetten of door de JndiLookup class van het classpath te verwijderen.
Als je een server draait die Apache gebruikt, zoals je eigen Minecraft Java-server, wil je onmiddellijk upgraden naar de nieuwere versie of je oudere versie patchen zoals hierboven om ervoor te zorgen dat je server beschermd is. Mojang heeft ook een patch uitgebracht om de gameclients van gebruikers te beveiligen, en meer details zijn te vinden (hier).
De veiligheid van de spelers heeft voor ons de hoogste prioriteit. Helaas hebben we eerder vandaag een beveiligingslek ontdekt in Minecraft: Java Edition.
Het probleem is gepatcht, maar volg alsjeblieft deze stappen om je game client en/of servers te beveiligen. RT alsjeblieft om te versterken.https://t.co/4Ji8nsvpHf
– Minecraft (@Minecraft) December 10, 2021
De vrees op lange termijn is dat, terwijl degenen die het weten het potentieel gevaarlijke lek nu zullen verhelpen, er nog veel meer in het duister zullen tasten die dat niet zullen doen en het lek voor een lange periode ongepatcht zullen laten.
Velen vrezen nu al dat de kwetsbaarheid wordt misbruikt, waaronder CERT NZ. Als zodanig zullen veel enterprise en cloud gebruikers zich waarschijnlijk haasten om de impact zo snel mogelijk te patchen.
“Vanwege het gemak van uitbuiting en de breedte van de toepasbaarheid, vermoeden we dat ransomware-actoren deze kwetsbaarheid onmiddellijk beginnen te misbruiken,” zegt beveiligingsbedrijf Randori in een (blogpost) over de kwetsbaarheid.