Deze library wordt door veel Java-applicaties gebruikt voor het opslaan van log-berichten. Deze kwetsbaarheid is oorspronkelijk gevonden omdat deze actief werd misbruikt om Minecraft-servers en -spelers aan te vallen, maar deze kwetsbaarheid bleek ook in een groot aantal andere Java-gebaseerde applicaties te misbruiken te zijn.
De impact van deze kwetsbaarheid is dat een aanvaller op afstand eigen code kan uitvoeren op de server, en daarmee dus volledige controle kan krijgen over de data op die server. Het enige wat een aanvaller hiervoor hoeft te doen is zorgen dat bepaalde tekst terugkomt in een logbericht. In de meeste webapplicaties zal een aanvaller dus niet in hoeven te loggen.
Op dit moment wordt het internet al gescant op zoek naar webapplicaties waar deze kwetsbaarheid misbruikt kan worden. Ons advies is daarom deze library zo snel mogelijk te updaten of de onderstaande mitigatie toe te passen.
Advies
Deze kwetsbaarheid kan worden opgelost door log4j bij te werken naar versie log4j-2.15.0-rc2 (of later). Deze is beschikbaar op https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2.
Mitigatie
Wanneer het updaten nog niet mogelijk is, is het mogelijk de aanval te mitigeren door het volgende argument toe te voegen aan de JVM flags:
-Dlog4j2.formatMsgNoLookups=true
Kwetsbaar
Op dit moment is bekend dat versies van log4j voor 2.15.0-rc2 kwetsbaar zijn. Of alle versies kwetsbaar zijn en of de versie van de Java runtime uitmaakt is nog niet zeker. Voor nu is ons advies om alle versies kwetsbaar te beschouwen.