Er is een ernstige kwetsbaarheid aangetroffen in de softwarebouwsteen Apache Log4j en waarschijnlijk heeft iedere gemeente met die bouwsteen te maken. Het is echter lastig voor organisaties om erachter te komen waarin Log4j een rol speelt. Dat schrijft de Informatiebeveiligingsdienst (IBD). Het advies is om snel patches te installeren.
Log4j betekent ‘hoge kans op grote schade’
Er is een ernstige kwetsbaarheid aangetroffen in de softwarebouwsteen Apache Log4j en waarschijnlijk heeft iedere gemeente met die…
Deadline
Log4j komt soms voor in kritieke systemen. ‘Log4j is onderdeel van systemen voor thuiswerken, applicaties voor primaire processen’, schrijft de IBD. Het wordt veel gebruikt voor clouddiensten en zelfs onervaren hackers kunnen de kwetsbaarheid gebruiken voor aanvallen. In Duitsland is een code rood afgekondigd vanwege de kwetsbaarheid en in de Verenigde Staten heeft de overheid bepaald dat op 24 december alle federale overheidsinstanties de beveiligingsupdate moeten hebben geïnstalleerd.
Misbruik
Het zal volgens de IBD moeilijk zijn om zelf het probleem te verhelpen omdat het gaat om een bouwsteen binnen software en systemen. Het advies is om te inventariseren of Log4j wordt gebruikt, te controleren of de leveranciers een patch hebben en die te installeren, ook te controleren of de gepatchte systemen zijn misbruikt – ‘Wij adviseren te kijken naar misbruik in het laatste jaar’ – en detectiemaatregelen in te schakelen.
HIGH/HIGH
Het Nationaal Cyber Security Centrum (NCSC) heeft een lijst met kwetsbare applicaties online geplaatst. Die lijst is nog niet volledig en zal worden bijgevuld. Het NCSC kan niet voor iedere applicatie het beveiligingsadvies updaten, dus een vermelding van een applicatie op deze lijst mag worden gezien als een ‘HIGH/HIGH beveiligingsadvies’, oftewel: ‘hoge kans op grote schade’.
