Het NCSC heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j. Deze lijst is nog lang niet volledig en zal de komende dagen aangevuld worden met informatie over applicaties die nog niet op de lijst staan. Het NCSC heeft partners, organisaties en bedrijven dringend gevraagd om aanvullende informatie te delen op Github. Dit is een makkelijke manier om dit soort informatie te ontsluiten. Deze pagina gaat ook gebruikt worden om scan- en detectiemogelijkheden en Indicators of Compromise (zie Cybersecurity Woordenboek p. 59) bekend te maken.
Het is voor het NCSC niet mogelijk om voor iedere applicatie die gebruik maakt van Log4j het beveiligingsadvies te updaten. Een vermelding van een applicatie op deze lijst mag u daarom zien als een update van het HIGH/HIGH beveiligingsadvies (hoge kans op grote schade).
Het is goed mogelijk dat het voor organisaties onduidelijk is hoe te handelen in deze situatie. Daarom zijn onderstaande stappen opgesteld:
1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt.
Hier zijn verschillende scripts voor Linux en Windows voor beschikbaar: Northwave Security, Powershell Checker en Log4shell detector. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
2. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
– Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
– Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
Alle versies: verwijder de JdniLookup en JdniManager classes uit log4j-core.jar
– Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
– De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.
3. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik in het laatste jaar.
4. Wij adviseren om detectiemaatregelen in te schakelen. Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics
