Kwetsbaarheden Apache Log4j 2: wat te doen?

Afgelopen weekend is een ernstige kwetsbaarheid in Apache Log4j 2 bekendgemaakt. Dit doet misschien niet direct een belletje rinkelen, maar het wordt onvoorstelbaar veel gebruikt in webapplicaties en allerlei andere systemen. Wij sturen dit bericht omdat het belangrijk is dat je direct actie onderneemt. De impact van de kwetsbaarheid is op een schaal van 1 tot 10 met een 10 beoordeeld. Dit betekent dat het een zeer hoog risico is. Controleer of Log4j in je netwerk wordt gebruikt. Als je niet zeker weet of Log4j in gebruik is, neem dan contact op met je IT-leverancier en/of software leverancier. Zorg dat waar mogelijk updates worden geïnstalleerd.

Wat is het risico?

De kwetsbaarheid maakt het voor aanvallers mogelijk om de rechten van webservers op afstand te misbruiken en hun eigen code uit te voeren. Er wordt momenteel al op grote schaal actief misbruik waargenomen. Gezien de grote aandacht voor deze kwetsbaarheid is het te verwachten dat het snel en veel zal worden misbruikt door cybercriminelen. Daarom is het zo belangrijk om de updates snel te installeren als ze beschikbaar worden gesteld.

Wat moet je doen?

Controleer of Log4j in je netwerk wordt gebruikt. Indien dit het geval is, installeer zo snel mogelijk de beschikbaar gestelde updates of laat dit doen door de webbouwer, hostingpartij of IT-leverancier.

Waar vind je meer informatie?

Op de website van het Digital Trust Center kun je een stappenplan vinden over hoe om te gaan met deze kwetsbaarheid:

• https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-apache-log4j-2

  Op de website van het Nationaal Cyber Security Centrum (NCSC) kun je meer informatie vinden:

• https://www.ncsc.nl/actueel/nieuws/2021/december/10/ernstige-kwetsbaarheid-in-apache-log4j
• https://www.ncsc.nl/actueel/nieuws/2021/december/12/kwetsbare-log4j-applicaties-en-te-nemen-stappen

Het NCSC heeft ook een lijst geplaatst op Github met een overzicht van de applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog niet volledig en zal de komende dagen aangevuld worden met andere applicaties en verdere informatie.

• https://github.com/NCSC-NL/log4shell

Blijf op de hoogte

Wij blijven de situatie nauwlettend in de gaten houden en informeren je als dat nodig is. Schrijf je onderaan de pagina in voor onze nieuwsbrief om relevante updates te krijgen.