Een ernstig beveiligingsprobleem is ontdekt in Apache Log4j. Dit is software die veel gebruikt wordt in webapplicaties en allerlei andere systemen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor potentieel grote schade en adviseert de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren. De kwetsbaarheid is aanwezig in Log4j 2.0 t/m 2.14.1.
Het NCSC waarschuwt dat de kwetsbaarheid ongeauthenticeerde kwaadwillenden de mogelijkheid biedt op afstand willekeurige code uit te voeren met rechten van de bovenliggende applicatie. “Omdat niet in te schatten is welke rechten de bovenliggende applicatie heeft en doordat de aanvaller willekeurig code op afstand kan injecteren en uitvoeren is de mogelijke gevolgschade niet in te schatten, waardoor het NCSC de impact inschaalt als HIGH/HIGH”, meldt het centrum. Het lek is geïdentificeerd als CVE-2021-44228.
Kwetsbare applicaties
Het NCSC heeft een lijst online geplaatst op GitHub met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. Ook vraagt het NCSC partners, organisaties en bedrijven dringend om aanvullende informatie te delen op GitHub.
Het cybersecuritybedrijf Northwave heeft inmiddels een tool beschikbaar gesteld waarmee bedrijven kunnen controleren of hun server kwetsbaar is. Ook andere tools zijn beschikbaar, zoals de Powershell Checker en Log4shell detector.
‘Houd software up-to-date’
BTG roept zijn achterban op beschikbare updates zo snel mogelijk te installeren om schade door het ernstige lek in Apache Log4j te voorkomen. Petra Claessen, CEO BTG/TGG: “Het gaat om een ernstige kwetsbaarheid in software die wordt gebruikt in uiteenlopende webapplicaties en andere systemen. Doordat niet volledig duidelijk is in welke software Apache Log4j wordt gebruikt, is het voor bedrijven lastig om te bepalen of ook zij kwetsbaar zijn. BTG adviseert organisaties daarom met klem al hun applicaties volledig up-to-date te houden. Ook tools zoals die van Northwave, de Powershell Checker en Log4shell detector kunnen bedrijven hierin inzicht geven.