Informatie omtrent Apache Log4j threat

Informatie omtrent Apache Log4j threat Kopiëren

Op deze pagina vindt u alle informatie omtrent de Apache Log4j kwetsbaarheid. Deze pagina zal dagelijks worden ge-update.

Laatste update op: 16-12-2021

Wat is Apache Log4j?

Log4j is een Java library voor het registreren van foutmeldingen binnen applicaties. Deze library wordt veelvuldig in allerhande software gebruikt.

Wat is er aan de hand?

Door de kwetsbaarheid in Log4j versie 2.0 tot en met 2.14.1 kunnen aanvallers die de kwetsbaarheid misbruiken op afstand commando’s uitvoeren op het systeem dat de applicatie met kwetsbare Log4j versie bevat. Zo kan de aanvaller mogelijk toegang krijgen tot de rest van het netwerk.

Wanneer ben je kwetsbaar voor een mogelijke aanval?

Producten of applicaties die gebruikmaken van eerder genoemde Log4j versies en op internet zijn ontsloten (websites, intranet etc.) zijn zeer kwetsbaar. Mocht hierop nog geen actie zijn ondernomen doe dit dan direct want de kwetsbaarheid wordt actief misbruikt. Hieronder vallen ook applicaties die enkel intern benaderbaar zijn, maar input vanuit een externe bron ontvangen. Denk bijvoorbeeld aan applicaties die weblogs ontvangen.

Bij producten of applicaties die uitsluitend binnen een (kantoor)netwerk te benaderen zijn is de kans op actief misbruik lager, maar is nog steeds het advies om te situatie goed in te gaten te houden en instructies van de vendoren direct op te volgen.

Hoe kom ik erachter of wij gebruik maken van software of producten die deze kwetsbaarheid bevatten?

Het NCSC heeft een lijst opgesteld met producten die kwetsbaar zijn, u kunt deze inzien op de volgende locatie:

https://github.com/NCSC-NL/log4shell/tree/main/software

Bovengenoemd overzicht is nog niet volledig!
Er worden nog dagelijks nieuwe producten gevonden en toegevoegd aan de lijst.

Is er een patch beschikbaar die deze kwetsbaarheid wegneemt?

Voor de kwetsbaarheid CVE-2021-44228 is een noodpatch ontwikkeld en deze is beschikbaar in Log4j versie 2.15. Helaas is uit nieuw onderzoek gebleken dat deze patch niet volledig is, en Log4j 2.16 bevat aanvullende patches. De kans op misbruik van Log4j versie 2.15 is aanzienlijk kleiner, maar we adviseren om te upgraden naar 2.16 wanneer dit mogelijk is.

Mocht u nog vragen hebben, neem contact op via het formulier of via 030-2477700

Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.