Er is een ernstige kwetsbaarheid aangetroffen in de veelgebruikte Apache Log4j 2-tool, die gebruikt wordt voor het loggen van Java-applicaties. Het Nationaal Cyber Security Center (NCSC) waarschuwt voor potentieel grote schade en adviseert om de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren. Inmiddels wordt er door het NCSC actief scangedrag in Nederland gezien en wordt er op korte termijn misbruik verwacht van de kwetsbaarheid die inmiddels de naam Log4shell heeft gekregen.
Deze zeer kritieke kwetsbaarheid, ingeschaald als 10 op schaal 0-10, in de populaire open source Apache Log4j 2-library maakt remote code execution mogelijk waardoor duizenden organisaties risico lopen. Er is inmiddels een update uitgebracht om het probleem te verhelpen, maar exploitcode (de ‘handleiding’ waarmee er misbruik van gemaakt kan worden) is ook online verschenen.
Log4j 2 voor loggen van informatie
Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgt ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen.
De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, raakt allerlei grote diensten zoals Steam, Apple iCloud en applicaties zoals Minecraft maar wordt ook veel gebruikt in zakelijke Java-software. De impact is vanwege de manier waarop de software wordt ingezet lastig te bepalen.
Gebruik door Claranet
Voor zover wij kunnen beoordelen wordt Log4j 2 niet voor onze (klant) systemen gebruikt welke direct gekoppeld zijn aan het internet. Echter is Log4j 2 een embeded techniek welke door leveranciers gebruikt wordt. We zijn dus grotendeels afhankelijk van berichtgeving vanuit de leveranciers.
Interne systemen met deze technieken voorzien we zoveel mogelijk van patches of workaround, afhankelijk wat er beschikbaar is vanuit de leverancier. Deze berichtgeving houden we continue in de gaten.
Het is voor ons helaas niet inzichtelijk of uw klant specifieke applicaties gebruik maken van deze techniek. Hiervoor adviseren we u om contact op te nemen met uw applicatieleveranciers en hier navraag naar te doen.
Update applicatie
Mocht u zelf gebruik maken van Log4j 2 op een door uzelf beheerd systeem, dan adviseren we u dringend om een update uit te voeren naar Apache Log4j 2 versie 2.15.0. Daarnaast zijn er online verschillende workarounds beschikbaar, afhankelijk van de door u gebruikte applicatie of platform. Hiervoor verwijzen we u naar de leveranciers van deze platformen en applicaties.
Meer informatie
Meer informatie is te vinden op de website van NCSC: https://www.ncsc.nl/actueel/nieuws/2021/december/10/ernstige-kwetsbaarhe...
Mocht u willen overleggen met onze specialisten, neem dan contact op met uw Service Manager of via onze Servicedesk via servicedesk@claranet.nl of via 040-2393 350 tijdens kantooruren of via het 24x7 servicenummer.