Ernstige kwetsbaarheid in Apache Log4j2
Afgelopen vrijdag (10 december) is er een ernstige kwetsbaarheid ontdekt in Apache Log4j2 tool. Apache Log4j2 wordt door veel ontwikkelaars gebruikt om zaken als wijzigen en foutmeldingen, in hun systemen en/of software, bij te houden. Door de kwetsbaarheid kunnen kwaadwillenden systemen op afstand (vanaf het internet) overnemen. Het Nationaal Cyber Security Center (NCSC) heeft een (lijst) gepubliceerd met software en systemen die kwetsbaar zijn. De kwetsbaarheid heeft de naam Log4Shell gekregen en wordt als een zeer hoog risico gezien (schaal 10/10). Het NCSC verwacht dat er op korte termijn misbruik van de kwetsbaarheid wordt gemaakt.
Wat betekent dit voor klanten van Danthas?
Zodra we op de hoogte werden gesteld van de kwetsbaarheid in Apache Log4j2 zijn we een onderzoek gestart wat voor impact deze kwetsbaarheid heeft op de omgeving van onze klanten en onze eigen hostingplatformen.
Uit onze scans en onderzoeken is tot nu toe gebleken dat de volgende software kwetsbaar is :
– VMware Vcenter (software voor server virtualisatie);
– ARCserve (back-up software);
– Exact FacturaE;
Voor de rest zijn er geen kwetsbaarheden aangetroffen of is er inmiddels al een patch geïnstalleerd voor de kwetsbare software. De lijst van kwetsbare applicaties en systemen, die NCSC heeft gepubliceerd, kan nog worden uitgebreid. Op dit moment lopen er nog onderzoeken bij veel leveranciers. Het kan dus voorkomen dat bij sommige leveranciers nog kwetsbaarheden naar voren komen omdat zij in hun software en/of systemen nog gebruik maken van Log4j2. Uiteraard houden we de ontwikkelingen hieromtrent nauwlettend in de gaten. Als we kwetsbare software tegenkomen zullen we onze klanten hierover informeren en de te nemen stappen met hun doornemen.
Voor onze klanten die (lokaal) nog gebruik maken van ARCserve zijn we in de afgelopen maanden al druk bezig geweest om deze software uit te faseren. Dit wordt nu voor de laatste paar klanten versneld doorgevoerd. Voor wat betreft de software van VMware kunnen we mededelen dat deze software vanaf het internet niet te benaderen is. Daardoor is het risico op misbruik van de kwetsbaarheid in VMware beperkt. Zodra er patches voor VMware beschikbaar komen voeren we deze uiteraard zo snel mogelijk door en zullen we de betreffende klanten informeren.
Wat kun je tot slot zelf nog doen?
We adviseren je nog wel contact op te nemen met de leverancier van je bedrijfsapplicatie(s) zoals Exact, etc en over bovenstaande kwetsbaarheid in Log4j2 te raadplegen.