NCSC deelt kwetsbare Log4j-applicaties op Github

Northwave-cto: lek zit ‘verstopt’ in allerlei Java-applicaties diep in de backend

Dit artikel delen:

Het Nederlandse Nationaal Cyber Security Centrum (NCSC) deelt op het software-ontwikkelaarsplatform Github een overzicht met applicaties die kwetsbaar zijn voor een lek in de softwarecomponent Apache Log4j. Dat is een Java-log-tool die veel gebruikt wordt voor webapplicaties en -diensten.

Het centrum waarschuwt dat het onmogelijk is een volledig overzicht te bieden omdat de kwetsbare softwarecomponent in allerlei verschillende zakelijke applicaties is ingebouwd. Wel biedt het overzicht een houvast voor beheerders die hun servers afstruinen op zoek naar de veelgebruikte software-component voor het loggen van data over applicatiegebruik en webdiensten.

In een vierstappenplan adviseert het centrum om via scripts de netwerken te controleren op de aanwezigheid van de gewraakte component. Vervolgens moet gekeken worden of de betreffende leverancier van de software waar de component inzit al een patch heeft uitgebracht. Ook gepatchte systemen moeten nog een keer gecontroleerd worden. Als laatste stap moeten detectiemiddelen opnieuw ingeschakeld zijn.

Eén van de scripts die NCSC adviseert voor het scannen van Linux- en Windows-omgevingen is gebouwd door de Utrechtse securityleverancier Northwave. Northwave-cto Christiaan Ottow, duidt desgevraagd voor Computable de impact van de kwetsbaarheid. Hij benadrukt dat NCSC niet voor niets de kwetsbaarheid en impact op ‘hoog’ heeft ingeschaald. De kans op grote schade is aanwezig omdat criminelen op afstand systemen kunnen overnemen.

'Verstopt'

Ottow: ‘Dit is geen kwetsbaarheid in één softwarepakket. Maar het zit ‘verstopt’ in een component die door verschillende softwareaanbieders wordt gebruikt. ‘Het is een onder bedrijven populaire component om gegevens te loggen over het gebruik van applicaties. Vrijwel elk bedrijf doet dat.’

Veel organisaties weten niet meteen waar ze die component in hun ict-omgeving precies hebben draaien. Sommige bedrijven hebben al portals uit de lucht moeten halen. Bijvoorbeeld omdat ze nog wachten op een patch van hun softwareleverancier of omdat anderen in de samenwerkingsketen hun systemen nog niet geüpdatet hebben, vertelt Ottow.

Exchange en Citrix

Eerder dit jaar waarschuwde NCSC ook voor ernstige kwetsbaarheden in de mailserver Microsoft Exchange. Maar, volgens Ottow is het nu andere koek omdat de kwetsbare Java-component (Apache Log4j) diep in verschillende delen van de backend van bedrijven zit. ‘Afhankelijk van de omvang van hun Java-omgeving, is er dus werk te doen.’

Qua omvang en impact trekt hij een parallel met de kwetsbaarheid in Citrix in 2020. ‘Dat ging om een kwetsbaarheid in de software van één leverancier. Nu gaat het om een component die in allerlei software van verschillende leveranciers wordt ingezet. Deze kwetsbaarheid zal nog een lange nasleep krijgen’, verwacht hij.

Lees ook: Java-kwetsbaarheid leidt tot paniek op internet
x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Issue is opgelost in log4j 2.15.0. Tot nu toe weet ik drie oplossingen voor dit issue:
1) JAVA_OPTS=-Dlog4j2.formatMsgNoLookups=true (bij opstarten applicatie)
2) JAVA_TOOL_OPTIONS=-Dlog4j2.formatMsgNoLookups=true (als environment variabele)
3) nieuwe versie van log4j gebruiken log4j2.version 2.15.0 (mvn property voor Spring Boot applicaties)

JAVA_TOOL_OPTIONS is eenvoudig te bereiken door deze te zetten en de boel te herstarten/redeployen

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-12-13T11:39:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.