Securitybedrijven melden grootschalig misbruik Apache Log4j-kwetsbaarheid
Securitybedrijven melden grootschalig misbruik van de kwetsbaarheid in Apache Log4j 2 waarvoor afgelopen vrijdag 10 december een beveiligingsupdate verscheen. Het beveiligingslek, aangeduid als CVE-2021-44228 en Log4shell, bevindt zich in Log4j-loggingsoftware waar veel Java-applicaties gebruik van maken. Via de kwetsbaarheid kan een aanvaller controle over de applicatie- of webserver krijgen.
Internetbedrijf Cloudflare stelt dat het 20.000 exploits per minuut blokkeert die van het beveiligingslek misbruik proberen te maken. In de meeste gevallen wordt er gekeken of servers kwetsbaar zijn, zegt onderzoeker John Graham-Cumming. Beveiligingsonderzoeker Kevin Beaumont stelt dat aanvallers via het beveiligingslek cryptominers op servers installeren, die de rekenkracht van het systeem gebruiken voor het delven van cryptovaluta. Securitybedrijf Rapid7 spreekt van grootschalig misbruik.
Het Nationaal Cyber Security Centrum (NCSC) riep organisaties gisterenavond op om de update zo snel mogelijk te installeren. "We zien actief scangedrag in Nederland en verwachten op korte termijn misbruik van de kwetsbaarheid die inmiddels de naam Log4shell heeft gekregen", aldus de overheidsinstantie. De kwetsbaarheid is verholpen in Log4j versie 2.15.0. Deze versie vereist echter Java 8. Organisaties die nog van Java 7 gebruikmaken moeten dan ook upgraden voordat ze de update voor Log4j kunnen installeren, meldt securitybedrijf Tenable.
https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.
Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?
Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.
Ik zou ergens anders gaan solliciteren.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.
Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?
Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.
Ik zou ergens anders gaan solliciteren.
LoL. Wat naief.
Een PvA betekent nog niet dat het ook meteen vervangen is. Alleen dat er over nagedacht is.
Je hebt het in een aantal gevallen over spaghetti-software of complexe (maatwerk) kennissystemen die niet 1-2-3 vervangen kunnen worden. Als er al ergens een stuk vervangende software zomaar aangeschaft kan worden, dan is de implementatie en het koppelen aan de overige software nog een "uitdaging".
Ga maar terug naar het MKB. Dat is simpeler opgezet.
(op de webserver op het werk zijn ALLE uitgaande connecties geblokkeerd...)
(Level.WARN);
log.trace("Trace Message!");
log.debug("Debug Message!");
log.info("Info Message!");
log.warn("Warn Message!");...
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Wat niet wegneemt dat het hoog tijd wordt dat ze tot zich door laten dringen dat bij het gebruik van software ook hoort dat je af en toe naar een nog ondersteunde versie moet migreren om niet in de problemen te komen. Dat vergt dat je een paar jaar vooruit denkt, maar dat is kennelijk al meer dan menigeen als lange termijn beschouwt tegenwoordig.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.
Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?
Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.
Ik zou ergens anders gaan solliciteren.
Ik zou ergens anders gaan solliciteren.
Het gras is niet altijd groener aan de overkant, vooral niet bij grote bedrijven.
Maar dat zal je opgeven moment wel leren als je telkens opnieuw gaat solliciteren...
"De Apache Log4j-tool wordt gebruikt om logboeken van applicaties bij te houden. Bedrijven doen dat bijvoorbeeld om te bekijken wat er niet goed gaat als een computerprogramma een error geeft. De tool wordt onder andere gebruikt voor de populaire game Minecraft, virusscanner McAfee en door de streamingdienst Netflix."
Oeps.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Heb recent nog systemen met Java6 gezien. Dat is niet meer om te lachen.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Heb recent nog systemen met Java6 gezien. Dat is niet meer om te lachen.
Nee, die staat niet eens meer op de Oracle support roadmap: https://www.oracle.com/java/technologies/java-se-support-roadmap.html. Dat is nog erger dan Windows XP in een geldautomaat.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Ja, legacy software. (Bij bv belastingdienst, banken, gemeenten)
Niet alles is te doen met excel, word of powerpoint.
Legacy software? Men had toch een plan van aanpak gemaakt hoe software ook uitgefaseerd dient te worden?
Nee, de bestuurskundige (van de prachtige organisatie) wilde een wit voetje halen en heeft iets doorgedrukt, en nu werken de security mensen overuren om achterstallig onderhoud te patchen. Hij de centen, zij de lasten.
Ik zou ergens anders gaan solliciteren.
Stemming makerij, beter lezen er staat dat je java 8 moet hebben om te patchen , niet dat wanneer je patch je default java 7 of lager zou hebben. Om dan zomaar ongefundeerd instanties te te noemen dat die het niet voor elkaar hebben is stemmingmakerij.
OMG! Echt waar? Dat meen je toch niet? Bedrijven die nu nog op Java 7 zitten? Ja, die hebben wel een groter probleem ja.
Het probleem is ietsjes groter.
Oracle, IBM, Unit4, Esri, Microsoft, Netflix, McAfee, etc.
Allemaal lopen ze deze kwetsbaarheid in hun systemen/apps te zoeken en alsnog te fixen.
Het is een groot circus.
Dit mag in de top 10 van kwetsbaarheden geplaatst worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
