Apache Log4j2 kwetsbaarheid

Een artikel overgenomen van KPN

Wat is Log4j2?

Log4j2 is een zogenaamde open source bibliotheek die door IT-ontwikkelaars gebruikt wordt om te loggen of er bepaalde bugs voorkomen in een applicatie. Er zijn veel bedrijven, applicaties en clouddiensten die gebruik maken van deze Java-library. De kwetsbaarheid kwam aan het licht op vrijdag 10 december en heeft de naam Log4Shell of CVE-2021-44228 gekregen.

Wat is het risico?

Als jouw bedrijf gebruik maakt van software of systemen waarin Log4j2 wordt gebruikt, ben je mogelijk kwetsbaar voor misbruik bijvoorbeeld in de vorm van een ransomware-aanval. Dit gebeurt meestal niet meteen, maar kan ook over een aantal weken of maanden gebeuren.

Wat doet KPN?

KPN volgt het advies van het Nationaal Cyber Security Centrum (NCSC) op, om zo snel als mogelijk software-updates door te voeren in de Java log-tool, die wereldwijd in veel webapplicaties en IT-systemen wordt gebruikt.

• KPN heeft een analyse gemaakt op eigen netwerk en systemen. Deze eerste analyse heeft geen misbruik aangetoond. Diepgaander onderzoek vindt nog plaats.

• KPN monitort zijn netwerken en systemen 24/7 in het Security Operations Centre (SOC) en in de keten voor opvolging door KPN-specialisten. Naar aanleiding van deze kwetsbaarheid kent dit proces verscherpte aandacht en voeren we met een verhoogde frequentie scans uit.

• KPN heeft sinds deze kwetsbaarheid aan het licht kwam direct patches doorgevoerd op bedrijfskritische applicaties. Het proces voor overige applicaties is nog gaande. KPN neemt daarnaast mitigerende maatregelen.

• KPN werkt nauw samen met haar leveranciers om na te gaan of er kwetsbaarheden zijn aangetroffen en welke maatregelen hiervoor zijn genomen. KPN analyseert de systemen van klanten die bij ons in beheer zijn. Mochten er vanuit deze analyse kwetsbaarheden worden gevonden, dan neemt KPN contact op met de desbetreffende klant.

• KPN maakt continue back-ups van zijn systemen. Met als doel een mogelijke teruggang naar een eerdere situatie.

Wat kun je zelf doen?

● KPN adviseert klanten de aanwijzingen van het NCSC op te volgen
● KPN adviseert klanten om voor hun eigen software de aanwijzingen van de betreffende softwareleveranciers te raadplegen. Ook wanneer KPN het beheer uitvoert.
● Als je zelf (bedrijfs)applicaties of systemen ontwikkelt of beheert die gebruik maken van Log4j2 is het zaak om in elk geval zo snel mogelijk de update te installeren. Daarmee wordt deze kwetsbaarheid weggenomen. Let op: De eerdere versie 2.15.0 lost de kwetsbaarheid niet volledig op. Op dit moment is versie 2.16.0 (of hoger) de enige versie die het Log4Shell probleem volledig oplost. In versie 2.16.0 is echter een Denial-of-Service kwetsbaarheid ontdekt die middels versie 2.17.0 wordt geadresseerd. Het advies is om, indien mogelijk, altijd te patchen naar de laatst beschikbare versie. Controleer altijd de site van NCSC voor de laatste informatie.
● We adviseren klanten zelf nog grondig onderzoek te doen en om waakzaam te zijn op afwijkingen in systemen en netwerken.
● Het NCSC verwijst op haar website naar het Cybersecurity-bedrijf NorthWave. Dit bedrijf heeft een tool beschikbaar gesteld waarmee organisaties kunnen controleren of ze kwetsbaar zijn. Hoe dit script werkt en hoe je het kunt gebruiken lees je op deze pagina.
● Weet je niet of jouw bedrijfsapplicaties gebruik maken van de Log4j2-library? Vraag dit dan na bij je IT-afdeling of softwareleverancier.
● Een tijdelijke oplossing kan zijn om kritieke systemen of data (tijdelijk) af te koppelen van het internet, zodat aanvallers hier niet bij kunnen komen.
● Zorg voor back-ups van belangrijke bedrijfsdata.
● Microsoft heeft een uitgebreide handleiding geschreven voor IT-afdelingen die misbruik op hun Microsoft Azure-omgeving willen mitigeren, deze is hier te vinden.
● Veel organisaties zijn op dit moment op de eerste plaats bezig met het patchen van het securitylek. Hou de communicatie via hun blogs, social mediakanalen of mailings de komende dagen goed in de gaten voor updates en adviezen van wat je zelf kunt doen als gebruiker.
● Het NCSC heeft een lijst uitgebracht met getroffen software en welke stappen je kunt nemen. Deze lijst wordt regelmatig geactualiseerd. Wij adviseren deze regelmatig te controleren. Je vindt het overzicht hier.

Meer informatie:

https://cloud.google.com/log4j2-security-advisory

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.