Welke maatregelen heeft ValidSign genomen tegen de Log4j kwetsbaarheid?
Op vrijdag 10 december heeft het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid een beveiligingsadvies gepubliceerd. Dit beveiligingsadvies hebben zij ingeschaald als een hoge kans op een hoge schade. De kwetsbaarheid waar het beveiligingsadvies over gaat zit in een tool die in veel applicaties wordt gebruikt: Log4j. Deze tool wordt gebruikt voor het bijhouden van een logboek met acties, bijvoorbeeld wanneer iemand inlogt op een bepaalde applicatie. In dit artikel leggen we graag uit welke maatregelen we bij ValidSign hebben genomen.
Maakt ValidSign gebruik van Log4j?
Log4j is een tool dat gebruikt wordt binnen Java applicaties, aangezien het grootste deel van onze diensten gebruik maakt van Java hebben we direct na de publicatie van 10 december onderzoek gedaan naar het gebruik van Log4j binnen onze applicaties.
Wat voor actie heeft ValidSign genomen?
Na het vaststellen van de applicaties die gebruik maken van Log4j hebben we samen met onze hostingpartner KPN een overzicht gemaakt van alle applicaties waar de kwetsbare Log4j werd gebruikt. Daarnaast is er een security assessment uitgevoerd om de impact van het gebruik van Log4j vast te stellen. Hieronder vindt u de uitkomst van dit assessment:
Applicaties die Log4j, versie 1.x / 2.x gebruiken, zijn standaard niet kwetsbaar voor deze aanval. Wanneer de "JMSAppender" is geconfigureerd in het Log4j-configuratiebestand, worden "JNDI-lookups" mogelijk en kan de toepassing kwetsbaar zijn.
Log4j 1.x is standaard geconfigureerd zonder JMSAppender. Log4j 1.x-configuraties zonder JMSAppender worden niet beïnvloed door dit beveiligingslek.
ValidSign heeft de controle uitgevoerd voor alle gebruikte Java applicaties en geconstateerd dat deze "JMSAppenders" niet geconfigureerd zijn binnen de applicaties waardoor de "JNDI-lookups" niet mogelijk zijn.
Hoe wordt er gekeken naar kwetsbaarheden?
KPN monitort dagelijks onze applicatie op kwetsbaarheden.
Moet er verder nog actie worden ondernomen?
Voor het gebruik van ValidSign is er geen actie nodig, we hebben geen signalen dat er misbruik is gemaakt van de kwetsbaarheid. We delen deze informatie om mogelijke vragen met betrekking tot de kwetsbaarheid te beantwoorden. Wel kan het handig zijn om u te laten informeren over het gebruik van JAVA binnen applicaties die binnen uw organisatie worden gebruikt. Het NCSC heeft inmiddels een lijst gepubliceerd waar staat beschreven welke software wel of niet kwetsbaar is. Deze lijst kan de komende tijd nog worden uitgebreid. Installeer de laatste updates van de gebruikte software en wees alert op verdachte situaties.
Mochten er nog vragen zijn naar aanleiding van dit artikel dan kan er altijd contact worden opgenomen met support@validsign.nl.