Blog

Hoeveel risico loopt u door Log4Shell?

Vrijdag 10 december 2021 werd bekend dat een belangrijk onderdeel van een Java-applicatie een gevaarlijke kwetsbaarheid bevat. Het gaat hier om de Apache Log4j software, die veel wordt gebruikt in webapplicaties en allerlei andere systemen. De commotie rondom dit mogelijke datalek roept ongetwijfeld vragen bij u op. Wat betekent dit voor uw organisatie? Wat kunt u doen? En maakt inTECHrity ook gebruik van deze applicatie?

In het kader van de transparantie en het volgen van de adviezen op het Nationaal Cyber Security Centrum (NCSC), informeren wij u hier graag over.

Wat kan dit lek voor u betekenen?

Apache Log4j is veelvuldig in gebruik bij grote en kleine organisaties in binnen- en buitenland. De software regelt (onder meer) dat bepaalde programma’s van buiten een netwerk toegang krijgen tot het netwerk. De kwetsbaarheid in de software maakt het voor aanvallers mogelijk om de rechten van webservers op afstand te misbruiken, met mogelijk flinke schade voor uw organisatie als gevolg.

Het NCSC ziet actief scangedrag in Nederland en verwacht op korte termijn misbruik van de kwetsbaarheid, die inmiddels de naam Log4Shell heeft gekregen.

 

Wat kunt u doen?

Het NCSC adviseert om de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren. Daarnaast heeft het NCSC heeft een aantal stappen geformuleerd om het voor u als organisatie duidelijk te maken hoe u nu het best kunt handelen om schade door Log4Shell te voorkomen:

  1. Inventariseer of uw organisatie Log4j v2 gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar. Ook hebben diverse kwetsbaarheidsscanners updates of plug-ins uitgebracht om te controleren of de systemen kwetsbaar zijn. U vindt deze op GitHub. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
  3. Controleer voor kwetsbare systemen of uw softwareleverancier al een patch beschikbaar heeft en voer deze zo snel mogelijk uit:
      • Indien het systeem informatie verwerkt dat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
      • Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
        • Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
        • Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
        • Alle versies: verwijder de JndiLookup en JndiManager classes uit log4j-core.jar

     

  4. Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
  5. De Github lijst van het NCSC voorziet u van informatie over nieuw uitgebrachte patches. Wij raden u aan om ook zelf de pagina’s van softwareleveranciers te monitoren.
  6. Controleer zowel systemen die al zijn gepatcht, als kwetsbare systemen op misbruik. Wij adviseren u om te kijken naar misbruik vanaf ten minste 1 december 2021.
  7. Wij adviseren u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.
  8. De gevonden kwetsbaarheid kan worden gebruikt om een ransomware-aanval uit te voeren. Het NCSC adviseert om de juiste voorbereidingen te treffen door capaciteit beschikbaar te houden en uw back-ups op orde te hebben.

Het NCSC monitort de situatie nauwgezet. Houd daarom hun website in de gaten voor nadere informatie en updates: www.ncsc.nl.

Maakt inTECHrity gebruik van Apache Log4j?

Bij inTECHrity maken we bij een aantal cliënten gebruik van onze GRC tooling voor de risicoanalyse en vastlegging van de interne audit. Deze tooling maakt ook gebruik van de Apache Log4j software. Uit intern onderzoek blijkt dat de versie waar wij gebruik van maken niet de versie is waarin de ernstige kwetsbaarheid is geconstateerd. U hoeft hierop dus geen actie te ondernemen.

Meer weten?

Wilt u meer weten over risicoanalyses, datalekken en informatiebeveiliging? We helpen u bij inTECHrity graag verder. U kunt altijd contact met ons opnemen. Ook kunt u meer informatie vinden op onze website www.intechrity.nl of in onze andere blogs.

 

 

Gepubliceerd: 15-12-2021
Geschreven door: Rudi Düpper
Deel blog: