De afgelopen week heeft de kwetsbaarheid in Log4j de wereld op zijn kop gezet. Cybersecurity-experts vallen over elkaar heen om de impact van Log4Shell te duiden, de honeypots stromen over met Log4Shell gebaseerde aanvallen.
Allemaal door een Java module die het loggen van events in applicaties mogelijk maakt. Een open source module (library) die gebruikt wordt door zo'n beetje elke Java-applicatie. Het doel van Log4j is events loggen, maar de featureset blijkt nogal uitgebreid te zijn, er zitten features in die je niet direct zou verwachten en in de configuratie standaard zijn ingeschakeld.
De les die we kunnen trekken uit Log4Shell is dat ontwikkelaars wel erg makkelijk leunen op dit soort open source libraries, zonder exact te weten wat die libraries allemaal doen. Hierdoor kan een klein onderdeel van een applicatie, de complete infrastructuur van een bedrijf blootstellen aan gevaar van buitenaf. Remote code execution is uiteindelijk enorm gevaarlijk. Daarom kreeg Log4Shell een severity score van 10 uit 10.
We spreken in deze Techzine Talks met Coen Goedegebure, Founder and Managing Partner at Scyon. Hij houdt zich iedere dag bezig met cybersecurity, maar dan specifiek binnen software development. Hij is dus ideaal gepositioneerd om meer te vertellen over deze kwetsbaarheid, hoe je ermee om moet gaan en wat je kunt doen om richting de toekomst je applicaties zo veilig mogelijk te bouwen.