Kwetsbaarheid in Apache Log4j

Een kwetsbaarheid in de software die in de media bekendstaat als ‘Apache Log4j2’, levert op dit moment een groot beveiligingsrisico op voor bedrijven. De software wordt met name gebruikt in veel webapplicaties en systemen die gebruik maken van Java. Het Nationaal Cyber Security Centrum adviseert om zo snel mogelijk een update te installeren.

Wat is Log4j2?

Log4j2 is een zogenaamde open source bibliotheek die door IT-ontwikkelaars gebruikt wordt om te loggen of er bepaalde bugs voorkomen in een applicatie. Er zijn veel bedrijven, applicaties en clouddiensten die gebruik maken van deze Java-library. De kwetsbaarheid kwam aan het licht op vrijdag 10 december en heeft de naam Log4Shell of CVE-2021-44228 gekregen.

Wat is het risico?

Als jouw bedrijf gebruik maakt van software of systemen waarin Log4j2 wordt gebruikt, ben je mogelijk kwetsbaar voor misbruik bijvoorbeeld in de vorm van een ransomware-aanval. Dit gebeurt meestal niet meteen, maar kan ook over een aantal weken of maanden gebeuren.

Wat doet KPN?

KPN volgt het advies van het Nationaal Cyber Security Centrum (NCSC) op, om zo snel als mogelijk software-updates door te voeren in de Java log-tool, die wereldwijd in veel webapplicaties en IT-systemen wordt gebruikt.

• KPN heeft geen indicatie dat er sprake is geweest van misbruik.
• KPN monitort zijn netwerken en systemen 24/7 in het Security Operations Centre (SOC) en in de keten voor opvolging door KPN-specialisten.
• KPN adviseert klanten, waarvan het de servers niet in beheer heeft, de aanwijzingen van het NCSC op te volgen (zie hieronder).
• KPN heeft een analyse gemaakt op eigen netwerk en systemen. Er is tot nu toe geen misbruik van deze kwetsbaarheid aangetroffen.
• Daar waar nodig voert KPN patches uit of nemen we mitigerende maatregelen.
• KPN werkt nauw samen met haar leveranciers om na te gaan of er kwetsbaarheden zijn aangetroffen en welke maatregelen hiervoor zijn genomen. KPN analyseert de systemen van klanten die bij ons in beheer zijn. Mocht KPN kwetsbaarheden aantreffen, dan neemt KPN contact op met de desbetreffende klant.

Wat kun je zelf doen?

Als je zelf (bedrijfs)applicaties of systemen ontwikkelt of beheert die gebruik maken van Log4j2 is het zaak om in elk geval zo snel mogelijk de update te installeren. Daarmee wordt deze kwetsbaarheid weggenomen. Let op: de eerdere patch 2.15.0 lost de kwetsbaarheid niet geheel op. Patch 2.16.0 is de enige versie die het probleem volledig oplost.

• We adviseren klanten zelf nog grondig onderzoek te doen en om waakzaam te zijn op afwijkingen in systemen en netwerken.
• Het NCSC verwijst op haar website naar het Cybersecurity-bedrijf NorthWave. Dit bedrijf heeft een tool beschikbaar gesteld waarmee organisaties kunnen controleren of ze kwetsbaar zijn. Hoe dit script werkt en hoe je het kunt gebruiken lees je op deze pagina.
• Weet je niet of jouw bedrijfsapplicaties gebruik maken van de Log4j2-library? Vraag dit dan na bij je IT-afdeling of softwareleverancier.
• Een tijdelijke oplossing kan zijn om kritieke systemen of data (tijdelijk) af te koppelen van het internet, zodat aanvallers hier niet bij kunnen komen.
• Zorg voor back-ups van belangrijke bedrijfsdata.
• Microsoft heeft een uitgebreide handleiding geschreven voor IT-afdelingen die misbruik op hun Microsoft Azure-omgeving willen mitigeren, deze is hier te vinden.
• Veel organisaties zijn op dit moment op de eerste plaats bezig met het patchen van het securitylek. Hou de communicatie via hun blogs, social mediakanalen of mailings de komende dagen goed in de gaten voor updates en adviezen van wat je zelf kunt doen als gebruiker.
• Het NCSC heeft een lijst uitgebracht met getroffen software en welke stappen je kunt nemen. Deze lijst wordt regelmatig geactualiseerd. Wij adviseren deze regelmatig te controleren. Je vindt het overzicht hier.

Mochten er nog vragen zijn neem dan gerust nog even contact met ons op.