Log4j - blijf alert, ook tijdens de feestdagen
Op 10 december is er een ernstige kwetsbaarheid gevonden in Apache Log4j. Op dit moment ziet het NCSC kleinschalig misbruik. De verwachting is dat dit misbruik zal toenemen. Daarom blijven we waarschuwen voor aanvallen met een potentieel grote impact en adviseren organisaties nog steeds om zich voor te bereiden op dergelijke scenario's. Dit advies blijft onverminderd van kracht, ook tijdens de feestdagen. Hieronder treft u een overzicht van de ontwikkelingen van de afgelopen dagen.
Beveiligingsadvies
Naar aanleiding van het verhelpen van verschillende bestaande en het bekend worden van nieuwe kwetsbaarheden in Log4j, is het beveiligingsadvies de afgelopen dagen een aantal keer aangepast.
Om organisaties te helpen het overzicht te bewaren hebben we een schema gemaakt van mitigerende maatregelenen hun effecten. Deze actualiseren we als de situatie hierom vraagt.
De meest recente beveiligingsadviezen vindt u op onze pagina en een actueel overzicht van potentieel kwetsbare softwareoplossingen, alsmede detectieregels en andere mitigerende maatregelen vindt u op Github
Handelingsperspectief
Het NCSC heeft een stappenplan ontwikkeld. Het doorlopen van dit stappenplan helpt organisaties bij het treffen van maatregelen om de kans op misbruik te verkleinen en bij het voorbereiden op eventueel misbruik. Dit handelingsperspectief actualiseren we bij veranderingen in het beveiligingsadvies. Het NCSC heeft via dit stappenplan organisaties gewezen op hun verantwoordelijkheid in het in beeld brengen van ketenafhankelijkheden.
Informatie delen
Binnen ons netwerk en daarbuiten wordt veel informatie gedeeld. Veel van deze informatie betreft technische informatie over kwetsbare applicaties, scanning- en mitigatietools en IoC's. Dit brengen we samen op onze pagina op het platform Github. Organisaties nationaal en internationaal worden gevraagd om input te leveren. Dit wordt massaal gedaan. Door alle input is deze lijst internationaal gezien een van de meest complete overzichten in relatie tot Log4j. Wij willen iedereen die hier een bijdrage aan geleverd heeft erg bedanken.
Naast het Github platform deelden we de afgelopen periode veel informatie via online webinars en bijeenkomsten. Zo organiseerden we een webinar voor IT-professionals, waarbij ruim 2500 geïnteresseerden aanwezig waren. Tijdens deze webinar zijn veel vragen gesteld. Een aantal hiervan hebben we tijdens de bijeenkomst geadresseerd. De overige vragen en bijbehorende antwoorden zijn inmiddels gepubliceerd op de website van het DTC.
Ook organiseerden we een aantal digitale bijeenkomsten voor o.a. Rijksoverheidspartijen, Vitale organisaties, CERT's en OKTT's. Hiermee gaan we deze en volgende week door.
We houden nieuwe ontwikkelingen nauwgezet bij en zullen u via deze website over blijven informeren.
De adviezen van het NCSC zijn algemeen van aard. Dat geldt ook voor de hieronder/boven weergegeven tekst en het daarin opgenomen handelingsperspectief. Het NCSC heeft nu eenmaal geen onvoorwaardelijk overzicht over de exacte configuratie van uw systeem of de door u gebruikte applicaties of systemen of applicaties in het algemeen. Hierom kan alleen u, uw beheerder of een derde met kennis over uw systemen inschatten hoe ons advies – zonder onvoorziene gevolgen – is in te zetten of anderszins te gebruiken