We adviseren organisaties dringend te updaten naar een recente versie van Log4j
Sinds afgelopen vrijdag is er op verschillende kanalen gecommuniceerd over een kritieke kwetsbaarheid in Apache Log4j.
De Log4j-library wordt door programmeurs gebruikt voor het loggen van acties als aanmeldingen, welke acties door een toepassing uitgevoerd worden etc. Deze library wordt gebruikt in vele honderden, zo niet duizenden softwareproducten en applicaties. De kans dat jij als ondernemer dus geraakt wordt of bent door deze kwetsbaarheid is zeer waarschijnlijk.
Wat is het risico?
Door het misbruiken van de kwetsbaarheid is het voor aanvallers mogelijk om door middel van het uitvoeren van code controle te krijgen over de server waarop Log4j draait. Bronnen melden dat grote diensten zoals Steam, Twitter en Apple iCloud worden geraakt. Inmiddels wordt er door diverse bronnen gemeld dat aanvallers scannen naar kwetsbare servers.
Wat kun je doen?
- Dringend advies aan beheerders is om te updaten naar Apache Log4j 2 versie 2.17.0
- Er werd een pagina gepubliceerd met een overzicht van de producten die mogelijk geraakt zijn. Weet jij exact wat jij als ondernemer in huis hebt, dan kun je daar zien of je gebruik maakt van een product wat aan Log4j gelinkt is. Let op: deze lijst is niet volledig. Er worden nog steeds producten gevonden waar Log4j een onderdeel van is. Daarnaast hebben nog niet alle softwareleveranciers vastgesteld of ze geraakt worden en/of er gevolgen zijn voor hun product.
- Daarnaast is er ook een Checktool op Apache Log4j, gemaakt door security bedrijf Northwave.
Heb je zelf een applicatie in eigen beheer die gebruikmaakt van Log4j? Dan raden we je aan deze te updaten naar de laatste release, waarin de kwetsbaarheid is opgelost. Is updaten niet mogelijk? Dan kan je onderstaande stappen uitvoeren:
- Voor versies 2.10 – 2.14 moet ofwel log4j2.formatMsgNoLookups ofLOG4J_FORMAT_MSG_NO_LOOKUPS op TRUE worden geplaatst.
- Voor versies < 2.10 moet de JndiLooup class van het classpath worden verwijderd: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.
Wat kun je nog meer doen?
Er wordt wereldwijd gescand naar kwetsbare systemen. Ook is vastgesteld dat er inmiddels massaal misbruik wordt gemaakt van deze kwetsbaarheid. Daarom is het verstandig om op korte termijn contact op te nemen met je softwareleverancier(s) of IT-dienstverlener.
De volgende vragen kun je hen stellen:
- Ben ik kwetsbaar voor de kritieke kwetsbaarheid Apache Log4j?
- Welke stappen moet ik ondernemen om hier geen last van te krijgen?
- Welke acties worden door jullie ondernomen om mijn omgeving veilig te houden?
- Wat kan ik doen/wat doen jullie om te controleren of ik al geraakt ben?
Wat doet Techne?
Kwetsbare applicaties die in ons beheer zijn worden meteen gepatcht van zodra deze patches beschikbaar zijn. We houden de lijst met getroffen leveranciers in de gaten zodat we indien nodig contact kunnen opnemen om zo snel mogelijk actie te ondernemen. Hiervoor hoef je als Techne klant niets te doen.
Cyberveiligheid is altijd een top prioriteit voor Techne. Klanten met een support overeenkomst zijn optimaal beveiligd dankzij toonaangevende oplossingen van Bitdefender en Fortinet.
Daarnaast zullen we ook in de toekomst blijven inzetten op hardening - waarbij overbodige functies en/of veiligheidsrisico’s worden uitgeschakeld en verbindingen worden versleuteld.
Heb je nog vragen over deze kwetsbaarheid? Aarzel niet ons te contacteren.