Ernstige kwetsbaarheid in de veelgebruikte Apache Log4j 2 ontdekt

Ernstige kwetsbaarheid in de veelgebruikte Apache Log4j 2 ontdekt

23 december 2021

Vorige week is een ernstige kwetsbaarheid aangetroffen in de veelgebruikte Apache Log4j 2-tool, die gebruikt wordt voor het loggen van Java-applicaties. Het Nationaal Cyber Security Center (NCSC) waarschuwt voor potentieel grote schade en adviseert om de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren. U gebruikt de tool misschien ook, wij geven u graag advies over de mogelijke vervolgstappen die u dient te nemen.

Inmiddels wordt door het NCSC actief scangedrag in Nederland gezien en is bekend geworden dat er al misbruik gemaakt is van de kwetsbaarheid. Deze zeer kritieke kwetsbaarheid maakt remote code execution mogelijk, waardoor duizenden organisaties risico lopen. Er is inmiddels een update uitgebracht om het probleem te verhelpen, maar exploitcode (de ‘handleiding’ waarmee er misbruik van gemaakt kan worden) is ook online verschenen.

 

 

Aanleiding

Apache Log4j is een populaire Java logging bibliotheek. De kwetsbaarheid maakt het mogelijk om code op afstand (RCE) uit te voeren en een server volledig over te nemen. Het betreft een zogeheten zero-day exploit, wat betekent dat het tot vrijdag 10 december 2021 een onbekende kwetsbaarheid was. Het Nationaal Cyber Security Centrum heeft deze kwetsbaarheid aangemerkt als HIGH.

 

Wat hebben wij gedaan?

Sinds het weekend van 11 december jl. zijn wij vanuit Joanknecht actief bezig om dit risico te onderzoeken en waar nodig maatregelen te nemen. Hiertoe hebben wij  analyses uitgevoerd op onze eigen software, de software waar wij gebruik van maken en de ICT-infrastructuur waar wij als organisatie gebruik van maken. Uit deze analyses is gebleken dat de log4j component niet in onze eigen software voorkomt en er ook geen maatregelen nodig bleken.

 

Van het merendeel van onze (toe)leveranciers hebben wij inzichtelijk in hoeverre de log4j component aanwezig is in hun producten en welke maatregelen genomen zijn om deze kwetsbaarheid tegen te gaan. De komende weken blijven wij de ontwikkelingen natuurlijk op de voet volgen. Uiteraard is de continuering van de dienstverlening en veiligheid van uw gegevens onze hoogste prioriteit!

 

Advies

Ons advies is ook zelf kritisch te kijken naar het gehele applicatielandschap van uw eigen organisatie. Apache Log4J is een op Java gebaseerde logging tool die in veel Java en Tomcat implementaties wordt gebruikt. Omdat Java vaak gebruikt wordt in software van derden of wordt mee-geïnstalleerd met de eerdergenoemde software, doet uw organisatie er verstandig aan ook andere software (toe)leveranciers te vragen hoe zij zich beschermen. De laatste versie van de patch voor log4j die niet kwetsbaar is – of lijkt te zijn – , betreft versie 2.17.0.

 

Het NCSC heeft op het software-ontwikkelaarsplatform Github een overzicht gepubliceerd met applicaties die kwetsbaar zijn voor een lek. Het centrum waarschuwt dat het onmogelijk is een volledig overzicht te bieden, omdat de kwetsbare softwarecomponent in allerlei verschillende zakelijke applicaties is ingebouwd. Wel biedt het overzicht een houvast voor beheerders die hun servers afstruinen op zoek naar de veelgebruikte software-component voor het loggen van data over applicatiegebruik en webdiensten.

 

Meer weten?

Voor meer informatie over deze kwetsbaarheid kunt het digital trust center bezoeken. Wanneer u vragen heeft over dit onderwerp, neem dan contact op met onze specialisten:

Lucas Vousten | lvousten@joanknecht.nl | +31 (0)40 240 9516