Google maakt met OSS-Fuzz continu testen op Log4j-kwetsbaarheden mogelijk

Google gaat samen met beveiligingsbedrijf Code Intelligence zijn OSS-Fuzz-dienst naar voren schuiven om Log4j continu op kwetsbaarheden te kunnen testen. Met de Jazzer-fuzzingengine is te detecteren of er JNDI-look-ups plaatsvinden.

Google wil met zijn aanpassingen aan de gratis fuzzingdienst OSS-Fuzz naar eigen zeggen opensource-ontwikkelaars de mogelijkheid bieden zelf hun code veiliger te maken. De continue fuzzing van Log4j is een eerste stap. Het komende jaar wil het Google Open Source Security Team aan betere geautomatiseerde detectie van kwetsbaarheden zoals Log4Shell werken.

Met fuzzing testen bedrijven software geautomatiseerd op bugs door deze te bestoken met inputs. Google introduceerde in 2016 de OSS-Fuzz-dienst waarmee projecten zo continu op fouten kunnen testen. Volgens het bedrijf hebben inmiddels meer dan vijfhonderd opensourceprojecten de dienst gebruikt en zijn er meer dan zevenduizend kwetsbaarheden mee gevonden. Begin dit jaar werkte Google al samen met Code Intelligence om de Jazzer-fuzzingengine in OSS-Fuzz te integreren en zo projecten op basis van Java Virtual Machine-talen continu te kunnen monitoren.

Beide bedrijven passen die engine nu zo aan dat deze Java Naming and Directory Interface- of JNDI-look-ups die worden uitgevoerd kan detecteren. Dat soort look-ups kunnen leiden tot misbruik van kwetsbaarheden op afstand met mogelijk het uitvoeren van kwaadaardige code of het wegsluizen van data tot gevolg. Het beveiligingsteam richt zich op Log4j vanwege de kritieke kwetsbaarheid in de populaire logginglibrary die vorige week werd bekendgemaakt. Beveiligingsbedrijven sloegen groot alarm om deze Log4Shell-kwetsbaarheid.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 17-12-2021 12:1213

17-12-2021 • 12:12

13 Linkedin

Lees meer

Wat weten we nu over Log4Shell, de kwetsbaarheid in de log4j-library? Review van 14 december 2021
Google stelt tool die delen van video's kan blurren beschikbaar als open source Nieuws van 23 december 2022
Google Cloud neemt Israëlisch cybersecuritybedrijf Siemplify over Nieuws van 5 januari 2022
KVK haalt website en diensten dit kerstweekend offline vanwege log4j Nieuws van 24 december 2021
Politie roept op aangifte te doen van log4j-aanvallen Nieuws van 24 december 2021
China bestraft Alibaba Cloud voor niet melden van log4j-kwetsbaarheid Nieuws van 22 december 2021
Cybersecuritycentrum VS: overheidsdiensten moeten log4j-systemen meteen patchen Nieuws van 20 december 2021
Belgisch ministerie van Defensie is aangevallen via log4j-kwetsbaarheid Nieuws van 20 december 2021
Beveiligingsonderzoekers melden opnieuw kwetsbaarheid in log4j-library Nieuws van 15 december 2021
Duitsland waarschuwt met code rood voor uitval diensten door Log4j-kwetsbaarheid Nieuws van 13 december 2021
Ernstige kwetsbaarheid in Apache Log4j 2 kan duizenden organisaties treffen Nieuws van 10 december 2021
Meer producten en artikelen
Beveiliging en antivirus Google

Reacties (13)

-Moderatie-faq
13
10
7
2
0
1
Wijzig sortering
GertMenkel
@Nimja17 december 2021 12:31
Google is zeer actief op het opsporen van veiligheidslekken in zowel closed source als open source software. Ze hebben een van de meestgebruikte fuzzers ter wereld geschreven en zijn ook zeer geïnvesteerd in de security van hun hele softwarestack, van Kubernetes tot de Go-compiler.

Vergeet niet dat Android van het Java-ecosysteem afhankelijk is, kwetsbaarheden als deze kunnen een serieuze impact hebben op hun omzet in de Play Store. Ze kunnen daar maar beter preventief in handelen natuurlijk.

Google was kwetsbaar voor log4j op twee plekken geloof ik gelezen te hebben, net als zo'n beetje ieder bedrijf dat de afgelopen tien jaar een Java-applicatie geschreven heeft. Ik geloof dat de kwetsbaarheid zat in De Google Armer WAF engine, maar ik weet de details niet meer zeker.

[Reactie gewijzigd door GertMenkel op 17 december 2021 12:32]

AnonymousWP
@GertMenkel17 december 2021 12:40
Yep, zie: https://cloud.google.com/...pache-log4j-vulnerability, maar dat gaat over het gebruik van hun WAF om Log4Shell te mitigeren.

[Reactie gewijzigd door AnonymousWP op 17 december 2021 12:40]

amx
@GertMenkel17 december 2021 14:07
Google's Threat Analysis Group is verantwoordelijk voor het beschermen van heel veel eindgebruikers. Het gaat verder dan hun eigen producten beveiligen, dus snap ook de redenering ze willen hun concurrenten zwart maken, maar de realiteit is dat een zeer groot aantal bugs serieus misbruikt had kunnen worden zonder de inspanningen van Google en dit team.
Rob Coops
@Nimja17 december 2021 14:02
Natuurlijk heeft Goolge er ook eigenbelang bij een veiliger web is een web waar meer mensen gebruik van willen maken. Ook gebruiken zij zonder enige twijfel zelf ook deze library dus ook wat dat betreft hebben ze er zelf ook plezier van als dit soort problemen niet meer voorkomen.

Maar dat neemt niet weg dat Google met hun eigen security teams en de vele tools die ze kosteloos beschikbaar stellen zeer veel doet op het gebied van security waar ze zelf weinig tot niets aan hebben (niet direct in ieder geval). Indirect is het nu eenmaal zo dat als om welke reden dan ook mensen of bedrijven massaal zouden besluiten dat het internet niet veilig genoeg is en ze het dus maar niet meer zouden gebruiken Google een heel erg groot probleem zou hebben.
Het bedrijf is een product van het internet en kan niet bestaan zonder dus natuurlijk is het voor het bedrijf van levensbelang dat het internet zo veilig mogelijk is en dat zo vele mogelijk mensen er gebruik van maken.
Alle projecten die Google uitvoert zijn gericht op het vergroten van de userbase dan wel het uitbreiden van de diensten voor de userbase. Een project als internet voor de wereld door middel van ballonnen of bijvoorbeeld het aanleggen van een eigen fiber to the home netwerk juist in gebieden waar internet niet of nauwelijks te krijgen is is niet alleen omdat Google graag de mensheid verder wil helpen (is een leuke bijkomstigheid goed voor de investeerders en zo) maar het zorgt er ook voor dat de userbase kan blijven groeien.

Ik zou me eerder af vragen wie dit soort dingen anders zou moeten doen? Als het niet een van de hyperscalers is wie heeft dan de resources om zo iets te schrijven beschikbaar te maken en te houden voor honderden zo niet duizenden projecten die constant miljarden regels code scannen opzoek naar eventuele fouten die misbruikt zouden kunnen worden?
Als het een kleiner bedrijf zou zijn dan zouden de kosten voor het hosten van de oplossing en het ontwikkelen van de nodige technologie simpel weg niet op te brengen zijn. Ook is het heel erg de vraag of kleinere bedrijven voldoende mensen met voldoende kennis in huis hebben en kunnen houden om dit soort software te schrijven en te blijven onderhouden voor vele jaren zo niet decennia...
Ik denk dat buiten de Amazon, Facebook, Google en Microsofts van deze planeet er weinig andere bedrijven zijn die zich de kosten en de moeite kunnen sparen om dit soort projecten op te zetten en te blijven draaien voor misschien wel altijd.

Het is leuk om te roepen ja maar Google doet dit niet geheel uit de goedheid van het hart maar de andere kant is wel dat niemand anders het doet. En het dus niet puur publiciteit is die Google hier mee hoopt te bereiken maar dat het ook echt iets bijdraagt aan de ontwikkeling van zeer veel projecten waar Google al dan niet zelf misschien ook gebruik van maakt.
thahajemnireal
@Nimja17 december 2021 12:29
*geen feit* denk het wel *einde geen feit*

Maar ja: beter samenwerken dan het wiel telkens opnieuw uitvinden. Zou het erger vinden als over een jaar of 2 naar buiten komt dat Google dit kan, maar niet deelt.
Marve79
@Nimja18 december 2021 02:58
Ah ja want Apple doet wel alles uit barmhartigheid :')
elmuerte
17 december 2021 14:31
Ik zie dat Jazzer (de fuzzer voor Java) open source is (Apache-2.0): https://github.com/CodeIntelligenceTesting/jazzer
En hiermee dus ook de gebruiken zonder Google's OSS-Fuzz
Echt gebruiksvriendelijk is Jazzer nog niet echt: https://github.com/CodeIntelligenceTesting/jazzer#usage
gimbal
17 december 2021 15:43
Op zich een goed initiatief, het meest schrikbarende van dit hele euvel is toch wel hoe lang het onder de radar heeft gevlogen ondanks dat het open source was. Ik kan alleen maar een aanname doen dat er menselijke redenen zijn geweest waarom log4j niet zo strict bekeken werd. "Het is maar een logging library", "Het is van Apache dus het zal wel goed zijn", etc. etc.

Want ik vind het ook heel begrijpelijk, wie verwacht er nou van een logging library dat het met redelijke eenvoud externe code kan uitvoeren! Ik wist niet eens dat het mogelijk was in JNDI lookups te laten doen. Ik heb maar 1 keer in de log4j documentatie gekeken ongeveer 15 jaar geleden ofzo, de eerste keer dat ik het moest gebruiken en individueel configurabel maken voor beide runtime en test classpaths. Daarna is het gewoon het kunstje herhalen.
Nico de Vries
@gimbal20 december 2021 01:57
Het helpt niet echt dat log4j uit ongeveer 200.000 regels code bestaat.
markg85
17 december 2021 19:47
De echte fix: sloop elke vorm van resolving uit log4j!
Een logger moet loggen. Punt! Het moet niet "voor de handigheid" externe zaken kunnen resolven (ldap in dit geval). Het is vragen om problemen die je nu dan ook heb.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee