IT’ers wereldwijd zijn sinds afgelopen weekend in de hoogste staat van paraatheid nadat een kwetsbaarheid ontdekt is in de populaire logsoftware Log4j van Apache. Het lek kan hackers toegang geven tot duizenden overheden, bedrijven, servers en apps. Het NCSC heeft een lijst online geplaatst op Github met applicaties die kwetsbaar zijn als gevolg van de ernstige kwetsbaarheid in Log4j.
Beeld: Shutterstock
De software is volgens het NCSC ‘zeer breed in gebruik bij grote en kleine organisaties in binnen- en buitenland’. Al die organisaties lopen door deze kwetsbaarheid risico om gehackt te worden. De kritieke kwetsbaarheid in logsoftware Log4j raakt een groot aantal applicaties, waaronder die van VMware, ElasticSearch, Red Hat, Atlassian, Amazon, Apache, Oracle en tal van andere programma’s en leveranciers.
De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 10 beoordeeld. Log4j laat ontwikkelaars allerlei informatie binnen hun applicatie loggen. In bepaalde gevallen kan er data afkomstig van gebruikersinvoer worden gelogd.
De Duitse overheid heeft code rood afgegeven wegens het beveiligingslek in Apache Log4j 2 en spreekt van een zeer gevaarlijk it-dreigingsniveau dat tot uitval van een groot aantal diensten kan leiden. De Amerikaanse overheid heeft inmiddels voor alle federale overheidsinstanties een patch-deadline afgekondigd, wat inhoudt dat de beveiligingsupdate om het probleem te verhelpen op 24 december geïnstalleerd moet zijn.