Het Nationaal Cyber Security Center (NCSC) noemt de kwetsbaarheid ernstig en geeft de hoogste waarschuwing af. De programmeertaal Java wordt gebruikt door 80 tot 90 procent van de bedrijven wereldwijd. ‘Dit zal binnen een paar weken voor een nieuwe golf aan aanvallen met gijzelfsoftware zorgen’, zegt Vaisha Bernard van beveiligingsbedrijf Eye.

Het gaat om een lek in Apache Log4j2, een module in programmeertaal Java. Als gebruikers bijvoorbeeld inloggen met hun Apple ID zorgt deze module ervoor dat bekend is dat gebruiker X is ingelogd. Bernard: ‘Maar als je de kwetsbaarheid misbruikt, verdwijnt kwaadaardige software in de module, raakt de kwetsbare code en vanaf dat moment gaat de server naar buiten praten. Daarna kun je er elke code in zetten die je maar wilt. In theorie krijg je daarmee totale controle over een server.’ Dat is ook de reden dat het NCSC het lek aanmerkt als hoog risico met een hoge impact: ‘Doordat de aanvaller willekeurig code op afstand kan injecteren en uitvoeren is de mogelijke gevolgschade niet in te schatten, waardoor het NCSC de impact inschaalt als HIGH/HIGH.’

De laatste jaren zijn criminele hackers en staatshackers er steeds beter in geworden om snel op dit soort kwetsbaarheden te reageren. Een zogeheten exploit – die de kwetsbaarheid misbruikt – gaat al rond. Dat baart Bernard zorgen. ‘We weten dat de grote partijen als Google en Amazon dit probleem waarschijnlijk snel zullen oplossen. Maar dat geldt niet voor de kleinere bedrijven. Het grootste deel van de wereld maakt gebruik van deze software.’

Voor consumenten is niet te achterhalen of ze problemen zullen ondervinden van het Javalek.

Achterdeur in het systeem

Het probleem verhelpen is niet zo eenvoudig. Er is een update beschikbaar die het lek dicht, maar de software die met de module communiceert moet ook een update krijgen. Bernard: ‘Criminelen zitten er bovenop om dit te misbruiken. Over een paar dagen kunnen ze grootschalig bedrijven binnendringen en een achterdeur achterlaten. Als daarna het probleem is verholpen, zitten de hackers al binnen.’

Zo ging dat begin dit jaar ook toen verschillende kwetsbaarheden werden ontdekt in Microsoft Exchange servers, waarmee hackers toegang konden krijgen tot e-mails en wachtwoorden. Zo’n 250.000 servers wereldwijd werden gehackt voordat beveiligingsupdates werden uitgevoerd. Daardoor werden zo’n 30.000 organisaties in de Verenigde Staten, maar ook het Noorse parlement en verscheidene Nederlandse organisaties geraakt.

Volgens Bernard bewijzen dit soort kwetsbaarheden en de snelheid waarmee criminele hackers in staat zijn om die te misbruiken, dat bedrijven niet genoeg beveiligingsmaatregelen kunnen nemen. Bernard: ‘Een hack voorkomen is een illusie. Ga ervan uit dat je een keer wordt gehackt. Deze kwetsbaarheid laat dat ook weer zien. Belangrijker is om erover na te denken hoe je het risico beperkt als iemand eenmaal binnen is.’