Nieuws

Kritieke kwetsbaarheid Log4j: factsheet beschikbaar voor leden SURF

Donderdag 9 december werd bekend dat zich een kritieke kwetsbaarheid bevindt in de opensourcetool Apache Log4j 2. Deze kwetsbaarheid is zeer ernstig en vormt wereldwijd een probleem voor vele organisaties, óók voor de leden van SURF. SURFcert heeft daarom een factsheet samengesteld, die leden kunnen raadplegen om gericht actie te kunnen ondernemen.
foto van schermafbeelding met daarop code

Laatst bijgewerkt: 20 december

Kwetsbaarheid met grote impact

De kwetsbaarheid in Apache Log4j 2 maakt het ongeauthenticeerden mogelijk om op afstand willekeurige code te injecteren en uit te voeren met de rechten van de webserver. De Java-logtool wordt veel gebruikt voor onder andere clouddiensten en enterprise-apps.

Factsheet met laatste stand van zaken

Sinds afgelopen vrijdagochtend informeert SURFcert de community van SURF Community van Incident Response Teams, SCIRT, actief over deze kwetsbaarheid. SURFcert heeft een factsheet samengesteld waarin alle informatie op een rij staat en actualiseert deze continu. Instellingen kunnen deze raadplegen zodat zij altijd op de hoogte zijn van de laatste stand van zaken. Deze factsheet verwijst ook naar resources van andere partijen waarmee SURFcert continu in nauw contact is en samenwerkt, zoals het Nationaal Cyber Security Centrum (NCSC).

Stakeholders geïnformeerd

Naast de beveiligingscommunity’s van SURF zijn ook andere belangrijke stakeholders van SURF geïnformeerd: de Coördinerend SURF Contactpersonen (CSC’s), de instellingscontactpersonen (ICP’s), de Universiteiten van Nederland, de Vereniging Hogescholen, saMBO-ICT, het ministerie van OCW en het Platform Integrale Veiligheid Hoger Onderwijs.

Kwetsbaarheid en SURFdienstverlening

Ook SURF als dienstverlener heeft direct actie ondernomen nadat de kwetsbaarheid aan het licht kwam. Inmiddels zijn alle SURF-diensten gescand op (direct of indirect) gebruik van log4j-tooling. Dit bleek voor een beperkt aantal diensten het geval. Waar mogelijk zijn deze gepatcht. Indien er nog geen patch beschikbaar is, zijn maatregelen genomen. De log4j-kwetsbaarheid heeft geen gevolgen gehad voor de continuïteit van dienstverlening. Uiteraard houden we al onze diensten de komende tijd nauwlettend in de gaten.

Software-licenties via SURF

De afdeling Procurement & Contracting die software-licenties afsluit voor instellingen, heeft navraag gedaan bij de betreffende leveranciers of er kwetsbaarheden zijn ten aanzien van log4j en of er patches beschikbaar zijn. Er is een overzicht beschikbaar van leveranciers en de te nemen maatregelen. Het overzicht wordt regelmatig bijgewerkt.