Update on the security breach Log4J | Cloud Nieuws
Log4J / Log4Shell / LogJam
cloud-news

Log4J / Log4Shell / LogJam

Waar met software wordt gewerkt, zullen hackers blijven zoeken naar kwetsbaarheden. En eens in de zoveel tijd komt er een beveiligingslek aan het licht, wat de wereld op zijn grondvesten doet beven. Vrijdag 10 december 2021 voegde zich een lek toe aan het illustere rijtje voorgangers, ditmaal een lek in Apache Log4j. De kwetsbaarheid heeft de aanduiding CVE-2021-44228 gekregen en staat ook bekend als Log4Shell of LogJam.

De Apache Log4j 2-tool is een onderdeel van het open-source Apache-framework dat veelgebruikt is voor logging van Java-applicaties. In deze tool is nu een ernstige kwetsbaarheid aangetroffen die het mogelijk maakt voor niet-geauthenticeerde gebruikers om, redelijk eenvoudig en op afstand, code te implementeren en uit te voeren Dit gebeurd onder dezelfde rechten als de betreffende Java-applicatie.

Juist omdat deze software in vele producten en (cloud)applicaties gebruikt wordt, wordt het risico op zeer ernstig ingeschat. Het NCSC (Nederlands Cyber Security Center) speelt een centrale rol bij het verzamelen en beschikbaar stellen van informatie. Op https://github.com/NCSC-NL/log4shell staat de beschikbare informatie betreffende de kwetsbaarheid van verschillende software, eventuele status updates, en informatie over verschillende internet-hosts die betrokken zijn.

Wat doet Fuga Cloud hieraan?

Wij zijn er natuurlijk direct ingedoken om te onderzoeken of dit beveiligingslek impact heeft op ons platform en onze systemen. Voor zover nu blijkt, is er geen reden tot zorg of alarm. Natuurlijk blijven we de beveiliging van ons platform en dat van onze leveranciers nauwlettend monitoren en controleren. Zoals onze leveranciers op hun beurt ook weer doen.

Onze aandacht gaat ook uit naar monitoring van onze user subnetten (interne systemen, externe systemen van leveranciers en eventueel misbruik bij onze klanten), zodat we direct bij de eerste verdachte indicatie tot actie over kunnen gaan.

Toegewijde beveiligingsprofessionals en software-engineers van over de hele wereld, hebben patches geleverd om CVE-2021-44228/Log4shell aan te pakken. Je dient er echter zelf voor te zorgen dat de services die je host bij Fuga Cloud up-to-date zijn en vrij zijn van deze kritieke log4j-kwetsbaarheid.

Wat kan jij zelf doen?

Check op https://github.com/NCSC-NL/log4shell of daar de door jouw gebruikte software wordt genoemd. Kijk vervolgens of er een oplossing bij vermeld staat of volg de instructies/ het advies van de leverancier. Twijfel je of een bepaalde software kwetsbaar is, neem een kijkje op de site van de leverancier. Grote kans dat die er al wat over heeft staan. En zo niet, gewoon even contacten, zij kennen hun product tenslotte het beste.

Hoe nu verder?

Wij blijven alles scherp in de gaten houden en monitoren. Daar waar de veiligheid van ons platform en de producten in gedrang komt, ondernemen we natuurlijk actie. Mocht er iets naar voren komen, wat betrekking heeft op jou als Fuga-klant, dan zullen we dat via de verschillende kanalen communiceren. In het uiterste geval zou dat een direct mailtje kunnen zijn, maar we gaan er vanuit dat we het voorlopig met nieuwsartikelen en berichten op het Fuga platform kunnen dekken.


Next article:

Fuga Cloud Fun & Facts #08

Het jaar is bijna ten einde en we zijn druk met afronden van zaken. Mooi moment dus voor een update in deze nieuwsbrief. We blijven druk met tutorials, je kan nog altijd swag verdienen, onze NPS-score en een status update over Frankfurt en GAIA-X. Verder is Fuga Direct Connect nieuw en staat nu tot je beschikking. Daar heeft o.a. Lars aan gewerkt en we stellen hem (en zijn handen) graag aan je voor.

Met trots gemaakt in Nederland Met trots gemaakt in Nederland

Copyright © 2021 FUGA BV