Doe vanavond mee met het Nationaal Cyber Security Centrum (NCSC) nieuwe update Over de kwetsbaarheid die is gevonden in de Apache Log4j-loggingtool, die in veel verschillende contexten wordt gebruikt. Digi.no meldde de kwetsbaarheid vrijdagochtend.
Daarin staat dat er in Noorwegen geen succesvolle aanvalspogingen zijn waargenomen, maar via het VDI (Digital Infrastructure Alert System) wel exploitpogingen tegen een aantal bedrijven in Noorwegen. Daarnaast heeft het Centrum van verschillende partners informatie gekregen over soortgelijke exploitpogingen.
Veel mensen zijn zich misschien niet bewust van het gebruik
Naast het feit dat de kwetsbaarheid het uitvoeren van externe code door niet-geverifieerde gebruikers mogelijk maakt en er exploitcode beschikbaar is, zijn het de diverse toepassingsgebieden die deze kwetsbaarheid nog gevaarlijker maken.
– […] Log4j dient als een geïntegreerd onderdeel van een verscheidenheid aan op Java gebaseerde software en services van derden die door veel bedrijven worden gebruikt. Bedrijven zullen zich dus niet per se realiseren dat ze kwetsbaar zijn voor de kwetsbaarheid, en de verantwoordelijkheid om de beveiliging te updaten ligt in veel gevallen bij de derde partijen die de betreffende dienst leveren, schrijft het NCSC.
Digi.no begrijpt dat er vanmiddag veel maatschappelijke bedrijvigheid is geweest bij het Nationaal Cyber Security Centrum, waardoor het lastig was om daar een verklaring af te krijgen.
Bedrijven die een succesvolle exploitatie van de kwetsbaarheid ontdekken, worden verzocht contact op te nemen met het NCSC Operations Center.
Afmetingen
Als maatregel moedigt het NCSC Log4j-gebruikers aan om onmiddellijk te upgraden naar versie 2.15.0-rc2 – dat wil zeggen een “release-kandidaat”, die beschikbaar is op github. Dit is waarschijnlijk identiek aan de definitieve versie aangeboden door Apache Van hun website.
De NSCS is van mening dat als je Log4j niet onmiddellijk kunt updaten, je ofwel de relevante services van het netwerk moet verwijderen of Log4j moet uitschakelen zodat er een permanente oplossing kan worden gebruikt.
Als tijdelijke oplossing zou het mogelijk moeten zijn om de systeemparameter “log4j2.formatMsgNoLookups” in te stellen op “true” of om de JndiLookup-klasse uit het klassenpad te verwijderen.
“Amateur music practitioner. Lifelong entrepreneur. Explorer. Travel buff. Unapologetic tv scholar.”
More Stories
Voor zover bekend zijn er geen Apple-producten die deze symbolen gebruiken
Hypotheken en Rente | Leners waarschuwen – de rentetarieven voor woningen zullen naar verwachting meer dan 5 procent bedragen
The Guardian: Ambramovitch staat op het punt geld over te maken naar de Nederlandse club