Log4j of Log4Shell: Acute dreiging voor veel bedrijven
Log4j is een specifiek softwaretooltje dat qua naam misschien niet erg bekend is bij het grote publiek. Het wordt wel massaal en wereldwijd gebruikt. Waarschijnlijk ook door jou! En daar is nu een probleem mee.
Vrijdag 10 december jongstleden werd ineens groot alarm geslagen toen bleek dat er grove beveiligingsrisico’s kleven aan Log4j. De software is in feite een hulpprogramma dat wordt gebruikt om logboeken bij te houden. Het blijkt geïntegreerd te zijn in talloze andere softwarepakketten. En dat maakt het zo gevaarlijk.
Om een idee te geven: De software wordt onder andere gebruikt voor de populaire game Minecraft, virusscanner McAfee, VMware en door de streamingdienst Netflix. Daarnaast nog door duizenden andere bekende en onbekende softwareprogramma’s, vaak zonder dat echt duidelijk is dat gebruikt gemaakt wordt van dit specifieke stukje software. Dus nu er een ernstig lek in Log4j is ontdekt, zijn in één keer ook ontzettend veel bedrijven mogelijk kwetsbaar.
Al met al een situatie die in potentie tot heel veel schade en ellende kan zorgen, met name op het gebied van ransomware.
VBVB is dan ook sinds de bekendmaking hard aan het werk om een duidelijk beeld te krijgen van de dreiging. Daarnaast zijn wij aan het inventariseren welke systemen bij onze klanten als eerste aandacht behoeven als zij een risico lopen.
Op het moment van schrijven hebben wij gelukkig nog geen signalen ontvangen van misbruik bij onze klanten. Uiteraard houden wij de ontwikkelingen nauwlettend in de gaten.
Heb je vragen? Dan kun je via onze Servicedesk contact opnemen met onze Security Officer André Durville. Je kunt hem ook een mailtje sturen: andre@vbvb.nl
Wat is Log4j nou precies?
Log4j is een opensourcesoftware tool die al sinds 20 jaar in ontwikkeling is door de Apache Software Foundation. Een logtool dat standaard deel uitmaakt van populaire Java-frameworks zoals Apache Struts, Apache Druid en Apache Flink.
Opensource betekent dat het computerprogrammatuur is waarvan de gebruiker de licentie heeft om de broncode te bestuderen en aan te passen. De ontwikkeling van opensourcesoftware komt vaak tot stand op publieke en gemeenschappelijke wijze, door samenwerking van individuele programmeurs, ontwikkelaars, overheden en bedrijven.
Log4j biedt dus als het ware een framework aan ontwikkelaars dat ze kunnen gebruiken om logs te genereren voor toepassingen gebouwd op Java. Logs zijn een essentieel onderdeel van ieder platform, iedere dienst en van iedere oplossing. De logs houden namelijk bij wat er allemaal precies gebeurt: welke acties worden er uitgevoerd, wie meldt zich wanneer aan en welke processen genereren foutmeldingen.
Zoals gezegd maakt Log4j standaard deel uit van de populaire Java-frameworks van Apache. Java is één van de populairste programmeertalen ter wereld en ontwikkelaars die toepassingen bouwen met Java, grijpen al snel naar Log4j om de logfunctionaliteit te integreren. Daardoor is Log4j zo wijdverspreid geraakt. Letterlijk duizenden verschillende softwarepakketten maken ervan gebruik.
Log4j: hoe nu verder?
Er zijn inmiddels al meerdere patches (pleisters) ontwikkeld om het lek te dichten. Helaas zijn deze (nog) niet in alle gevallen afdoende.
Het is dus zaak om er zo snel mogelijk achter te komen of jouw organisatie ook gebruik maakt van software waarin Log4j is geïntegreerd. Kom je er zelf niet uit? Wellicht dat VBVB je daarbij kan helpen. Bel hiervoor met onze Servicedesk: 020 – 42 33 288 (optie 1).
