Kwetsbaarheid (zero-day) ontdekt in Apache log4j

Gisteren heeft het NCSC (Nationaal Cyber Security Center) een kwetsbaarheid in Apache log4j bekend gemaakt met een zeer hoge prioriteit (klik hier voor het bericht). Aangezien Apache log4j in diverse applicaties gebruikt wordt, zijn veel systemen hier vatbaar voor. Het advies is om systemen zo spoedig mogelijk te patchen als de applicatieleverancier een patch of workaround beschikbaar heeft.

Het NCSC waarschuwt voor potentieel grote schade en adviseert om de door Apache beschikbaar gestelde updates zo snel mogelijk te installeren. We zien actief scangedrag in Nederland en verwachten op korte termijn misbruik van de kwetsbaarheid die inmiddels de naam Log4shell heeft gekregen. Het NCSC monitort de situatie nauwgezet; houd de website in de gaten voor nadere informatie en updates. Bent u niet zeker of er binnen uw organisatie gebruik wordt gemaakt van Apache Log4j, vraag dit dan na bij uw softwareleverancier.(bron: NCSC)

Inmiddels is er een actieve lijst beschikbaar met getroffen software op Github. Het advies is om Apache te updaten naar versie 2.15 mocht je hierdoor getroffen zijn. Deze patch is eveneens beschikbaar op GitHub: Apache Patch Log4J.

Wij hebben direct geïnventariseerd of dit onze systemen treft. Voor al onze externe systemen, waaronder DBOXX, maken wij geen gebruik van Apache log4j. Er was en is dus geen risico voor de DBoxx omgeving of andere systemen.

Volg het actuele nieuws omtrent deze kwetsbaarheid en handelingsleidraad op de website van het NCSC