Dreigingsinformatie
News 13 december 2021

Update en dreigingsinformatie over kwetsbaarheden in Log4j applicaties

Source: NCSC

Het NCSC heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. Het NCSC heeft partners, organisaties en bedrijven dringend gevraagd om aanvullende informatie te delen op Github. Dit is een makkelijke manier om dit soort informatie te ontsluiten. Deze pagina gaat ook gebruikt worden om scan- en detectiemogelijkheden en Indicators of Compromise (zie Cybersecurity Woordenboek p. 59) bekend te maken.

Het is voor het NCSC niet mogelijk om voor iedere applicatie die gebruik maakt van Log4j het beveiligingsadvies te updaten. Een vermelding van een applicatie op deze lijst mag u daarom zien als een update van het HIGH/HIGH beveiligingsadvies (hoge kans op grote schade).

Het is goed mogelijk dat het voor organisaties onduidelijk is hoe te handelen in deze situatie. Daarom zijn onderstaande stappen opgesteld:

1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt.

Hier zijn verschillende scripts voor Linux en Windows voor beschikbaar: Northwave SecurityPowershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.

2. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.

-  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
-  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
Alle versies: verwijder de JdniLookup en JdniManager classes uit log4j-core.jar
-  Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
-  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.

3. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik in het laatste jaar.

4. Wij adviseren om detectiemaatregelen in te schakelen. Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.

Wil je weten wat jij kunt doen om de cyberweerbaarheid van jouw organisatie én van de gehele keten te verhogen? Bekijk dan de infographic over de FERM dienstverlening. En meld je aan op ferm-rotterdam.nl/participant-worden

VIND FERM OOK OP LINKEDIN  | TWITTER 

SCHRIJF JE IN VOOR DE NIEUWSBRIEF

Infographic dienstverlening (91.78 KB)