De OASIS Group heeft, samen met IT-dienstverleners over de hele wereld, actief gereageerd op de onlangs gemelde kwetsbaarheid voor remote code execution (RCE) in de Apache Log4j Java-bibliotheek.
De kwetsbaarheid, die op 9 december 2021 openbaar werd gemaakt, is gecategoriseerd met een CVSS score van 10.0. Dit betekent dat de kwetsbaarheid als kritiek is beoordeeld.
Wij hebben onmiddellijk actie ondernomen om eventuele bedreigingen te detecteren en kwetsbaarheden in verband met CVE-2021-44228 te verhelpen. We willen onze klanten verzekeren dat we geen actieve exploitatie van deze kwetsbaarheid in onze systemen hebben aangetroffen.
Steve Townley, de CIO van OASIS Group
Apache Software heeft een upgrade van Log4j 2.15.0 uitgebracht om de kwetsbaarheid te verhelpen en deze is, waar nodig, in de systemen van de OASIS Group geïmplementeerd.
Een verdere update 2.16.0 is sindsdien vrijgegeven en wordt door onze IT-specialisten geïmplementeerd
Omdat OASIS onze Omnidox Suite intern ontwikkelt, waren we in staat om onmiddellijk de Log4j 2.15.0 update te implementeren, evenals het toevoegen van extra configuraties aan Java als een extra beveiligingsniveau.
Vervolgt Steve Townley
Welke handelingen dienen de klanten van OASIS te verrichten?
Klanten die OASIS systemen gebruiken, hoeven geen actie te ondernemen. Wij hebben de nodige upgrades al uitgevoerd en blijven zoals gebruikelijk controleren op bedreigingen. Zoals hierboven vermeld, wordt Log4j veel gebruikt voor webapplicaties en -diensten en wij raden u aan dit te controleren bij uw interne IT-afdeling of andere leveranciers.
Nog wat nuttige informatie:
Wat houdt een CVSS score in?
CVSS staat voor Common Vulnerability Scoring System. Het is een industriestandaard waarmee een numerieke (0-10, 10 is het hoogst) indicatie wordt gegeven van de ernst van beveiligingslekken in software.
Wat betekent remote code execution?
Remote code execution (RCE) is een cyberaanval die een aanvaller in staat stelt om op afstand toegang te krijgen tot het apparaat of systeem van iemand anders en dit te besturen zonder dat daarvoor een gebruikersnaam of wachtwoord nodig is. Dit kan op afstand gebeuren, van overal ter wereld.
Wat is Log4j?
Log4j wordt wereldwijd gebruikt voor het bijhouden van digitale logboeken en registreert bijvoorbeeld of er bugs voorkomen in een applicatie.
Hoe heeft OASIS de kwetsbaarheid in Apache Log4j 2 aangepakt?
Het team van interne OASIS IT-professionals, waaronder IT Software Engineering en IT Infrastructure Security specialisten, werd op de kwetsbaarheid geattendeerd. De teams zijn toen onmiddellijk aan de slag gegaan om, waar nodig, Log4j te upgraden naar versie 2.15.0, die is uitgebracht om CVE-2021-44228 te verhelpen.
Een verdere update 2.16.0 is sindsdien vrijgegeven en wordt door onze IT-specialisten geïmplementeerd
Ook hebben we, waar mogelijk, extra configuraties toegevoegd aan Java en de beveiliging via onze firewalls en andere beveiligingssoftware verhoogd.