Nieuws

Log4shell kwetsbaarheid en Kerkdienstgemist reactie

Afgelopen zaterdag (11 december 2021) maakte het Nationaal Cyber Security Centrum (NCSC) een kwetsbaarheid bekend in het veelgebruikte Log4j. Deze kwetsbaarheid wordt Log4shell genoemd en heeft de technische naam CVE-2021-44228 gekregen. Als Kerkdienstgemist hebben we sinds zaterdag gecontroleerd of we gevoelig zijn voor Log4shell en waar nodig stappen genomen.

Op basis van onze analyse hebben wij geen reden om aan te nemen dat er onterechte toegang tot onze systemen mogelijk was, of verkregen is. Op dit moment hebben we vertrouwen dat al onze systemen zijn afgeschermd voor de Log4shell kwetsbaarheid.

Het is voor Kerkdienstgemist niet gebruikelijk om te reageren op individuele security events. Vanwege de grote aandacht voor en verstrekkende gevolgen van de Log4shell kwetsbaarheid en vragen die gesteld zijn door klanten is besloten om in dit geval een korte uitleg te publiceren.

Korte uitleg Log4shell

Log4j wordt in veel software gebruikt voor het wegschrijven van informatie in (elektronische) logboeken. Afgelopen vrijdag werd in Log4j een beveiligingslek gevonden. Door dit beveiligingslek is ook alle software waarin Log4j gebruikt wordt mogelijk onveilig. Het NCSC maakte afgelopen zaterdag dit beveiligingslek bekend en houdt sindsdien een overzicht bij van software waarin Log4j gebruikt wordt en stappen die genomen moeten worden om die software te beveiligen.

Het NCSC, security bedrijven en eindgebruikers van software die Log4j gebruiken zijn sinds zaterdag bezig met een inventarisatie waarbij onder andere de volgende vragen gesteld worden:

Een groot deel van deze analyse is openbaar en wordt gedeeld tussen beveiligingsbedrijven, ontwikkelaars van software en eindgebruikers. Dit is gebruikelijk bij vergelijkbare security events. Deze analyse en eventuele oplossingen moet snel gebeuren omdat kwaadwillenden (hackers) vaak ook meteen beginnen met het misbruiken van zo’n gevonden lek.

Analyse Kerkdienstgemist

Ook bij Kerkdienstgemist hebben we zaterdag 11 december geïnventariseerd of wij software gebruiken die gevoelig is voor Log4shell. Deze analyse moest zorgvuldig gebeuren. Verder kwamen er in de dagen na zaterdag nieuwe beveiligingsadviezen beschikbaar, waarvoor we ook nieuwe controles hebben uitgevoerd.

Wij hebben in onze infrastructuur software aangetroffen die gebruik maakt van Log4j. We hebben vastgesteld dat de door ons gebruikte versies en configuraties van Log4j niet kwetsbaar zijn. Niettemin hebben we, uit voorzorg, aanpassingen uitgevoerd om de Log4shell kwetsbaarheid in de toekomst te voorkomen, waar nodig.

Op dit moment hebben we vertrouwen dat al onze systemen zijn afgeschermd voor de Log4shell kwetsbaarheid.

Tijdlijn

Mogelijke vragen

Relevante links