Log4j
Apache Log4j is een softwareproduct dat wereldwijd wordt gebruikt door softwareleveranciers voor het vastleggen (loggen) van meldingen in software. Het wordt onder meer gebruikt voor het vastleggen van inlogpogingen. Het risico dat een organisatie loopt door deze kwetsbaarheid is dan ook groot.
Wat is de dreiging?
De dreiging zit in het feit dat hackers zich via deze software vrij eenvoudig toegang kunnen verschaffen tot de achterliggende systemen en daar allerlei onheil kunnen aanrichten, zoals bijvoorbeeld het installeren van ransomware (computergijzeling). Inmiddels zijn de eerste gevallen al bekend, zoals het Ministerie van Defensie in België.
SRA-content
SRA heeft inmiddels navraag gedaan bij de leveranciers van software die gebruikmaken van SRA-content en in gebruik zijn bij SRA-kantoren. Denk hierbij aan rapportgeneratoren of de software voor het interne reviewsysteem.
Tot nu toe hebben wij van alle leveranciers die gereageerd hebben de bevestiging gekregen dat men geen gebruikmaakt van de betreffende software, dan wel onmiddellijk mitigerende maatregelen heeft genomen conform de aangedragen instructies van het NCSC. Dat betrof in ieder geval het installeren van updates (ook wel patches genoemd) die de kwetsbaarheid zouden moeten verhelpen.
Overzicht softwareleveranciers
Inmiddels hebben ook diverse softwareleveranciers berichtgeving openbaar gemaakt op hun websites waarin zij aangeven of zij te maken hebben (gehad) met de Log4j-kwetsbaarheid. In onderstaand overzicht vindt u van verschillende leveranciers informatie op hun website.
Contact
Ontbreekt in bovenstaand overzicht een leverancier of heeft u vragen? Neem dan contact op met Tony van Oorschot.
Tony van Oorschot
Privacy & Security Officer
E tvanoorschot@sra.nl
T 030 656 60 60
Eerder brachten wij: