Actueel

Cyberaanval met ransomware

14 december 2021

Kwetsbaarheid in Apache Log4j: wat moet je weten?

Je kunt er niet omheen deze dagen: ‘Apache Log4j’, en dan met name natuurlijk de kwetsbaarheden die er in die software zijn aangetroffen. Om je een beeld te geven van de mogelijke impact van deze kwetsbaarheid, lenen we graag een quote van Frank Breedijk van het Dutch Institute for Vulnerability Disclosure: ‘Log4j is als suiker. Het zit in allerlei producten, ook op plaatsen waar je het niet meteen verwacht.’

Op deze pagina vertellen we je wat je moet weten over de situatie, en wat je er vanuit jouw organisatie aan kunt doen.

Apache Log4j

In de afgelopen dagen is er door heel wat partijen gecommuniceerd over een kritieke kwetsbaarheid in Apache Log4j. Dat zegt je mogelijk niet zoveel, maar het houdt aardig wat beveiligers wakker. Log4j is een softwareproduct dat onder andere wordt gebruikt voor het vastleggen van inlogpogingen. De software zit in vele honderden, zo niet duizenden softwareproducten en applicaties, dus de kans dat jij als ondernemer door deze kwetsbaarheid geraakt bent (of wordt) is vrij groot.

Terwijl cybercriminelen over elkaar heen buitelen om te onderzoeken waar hun kansen liggen, zal de daadwerkelijke impact van de huidige situatie pas later duidelijk worden. Wat wél zeker is, is dat we daarbij geen afwachtende houding aan kunnen nemen. De kwetsbaarheden in Log4j gaan naar alle verwachting leiden tot een golf van (pogingen tot) cybercrime, waarbij van alle kanten wordt opgeroepen om je voor te bereiden. Er is een -volkomen terechte- angst dat organisaties slachtoffer zullen worden van ransomware of dat gegevens van klanten gestolen kunnen worden door een uitbuiting van deze kwetsbaarheid.

Bereid je goed voor, en lees hier welke stappen je daarin kunt zetten.

Handelingsperspectief NCSC

Er wordt wereldwijd gescand naar kwetsbare systemen, waarbij is vastgesteld dat er inmiddels massaal misbruik van gemaakt wordt. De aard van de Apache Log4j-situatie maakt het voor het Nationaal Cyber Security Centrum (NCSC) complex om zicht te hebben op misbruik. In Nederland is tot nu toe beperkt actief misbruik van de kwetsbaarheid waargenomen, maar verwacht wordt dat het tot grote gevolgschade kan leiden. Volgens ingewijden heeft bijvoorbeeld iedere gemeente in Nederland met deze software te maken, en is ook op bedrijfsniveau de kans aanzienlijk groter dat je er wél mee werkt dan niét. We zagen ook de genoemde vergelijking van Log4j met suiker voorbijkomen: het zit vrijwel overal in, ook daar waar je het niet verwacht.

Het actuele handelingsperspectief van het NCSC wordt doorlopend aangepast.

Lijst met kwetsbare applicaties

Een door het NCSC gepubliceerde Github-lijst met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j blijkt op internationaal niveau een van de meest complete lijsten te zijn.

Ook de pagina’s over IoC’s en scanning en mitigatie-tools bevatten al veel nuttige informatie. Het NCSC roept daarom op om aanvullende informatie vooral te blijven delen. Maak er vooral gebruik van om na te gaan wat de gevolgen voor jouw organisatie kunnen zijn. Concreet: gebruik ik applicaties met Apache Log4j? (check de Github-lijst van het NCSC). Gebruiken deze applicaties een versie die ouder is dan 2.15.0? Is er een update of een mitigatie? Zijn er tekenen van misbruik?

Neem ook contact op met je toeleveranciers

Naar aanleiding van de ontdekking van de Apache Log4j2 zero day exploit zijn we zelf proactief het onderzoek gestart naar de mogelijke impact voor AWAREWAYS en onze klanten. Er is een risk treatment plan opgesteld vanuit ons ISMS, waarin alle mitigerende maatregelen zijn afgevinkt en uitgevoerd.

We hebben intern en bij onze suppliers uitgevraagd of er sprake is van het gebruik van de logging tool. Dat is voor geen enkele van onze platformen, webpagina’s en servers het geval. Daarnaast is er door onze cybersecuritypartner REQON een Log4shell detector scan uitgevoerd, ter ondersteuning en bevestiging van de inventarisatie bij onze suppliers.

Evenwel is de kans groot dat andere suppliers wél met deze software te maken hebben. We raden je daarom aan om per ommegaande contact op te nemen met je softwareleverancier(s) of IT-dienstverlener(s) met de vraag of je kwetsbaar bent voor de kritieke situatie in Apache Log4j. Vraag ook wat je kunt doen om na te gaan of je al getroffen bent, en welke stappen je kunt nemen om je organisatie en je omgeving veilig te houden.

Een alternatief is deze handige standaardbrief van FERM Rotterdam om je IT-supplier aan te schrijven.

Oefen tot slot met je management-team wat je zou willen doen als het je overkomt. Wil je sparren over jouw specifieke situatie? Neem dan contact op met het Digital Trust Center voor een samenwerkingsverband in jouw sector of regio.

Over AWAREWAYS

AWAREWAYS benadert security en privacy awareness vanuit psychologie, marketing, gamification en communicatie met als doel: veranderen van gedrag en cultuur.

We helpen onze klanten met het neerzetten van een overkoepelende strategie zodat medewerkers de sterkste schakel worden in de beveiligingsketen van hun organisatie.

Weet ons te vinden via onderstaand contactformulier:

Wil je meer weten over onze visie of aanpak, of ben je benieuwd naar onze producten en diensten? Neem dan vrijblijvend contact op!