image

Duitsland geeft code rood af wegens Log4j-lek, VS komt met patch-deadline

zondag 12 december 2021, 19:29 door Redactie, 12 reacties

De Duitse overheid heeft code rood afgegeven wegens het beveiligingslek in Apache Log4j 2 en spreekt van een zeer gevaarlijk it-dreigingsniveau dat tot uitval van een groot aantal diensten kan leiden. De Amerikaanse overheid heeft inmiddels voor alle federale overheidsinstanties een patch-deadline afgekondigd, wat inhoudt dat de beveiligingsupdate om het probleem te verhelpen op 24 december geïnstalleerd moet zijn.

Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, spreekt van een zeer ernstige dreigingssituatie, veroorzaakt door het lek in de populaire loggingsoftware Apache Log4j 2 die wereldwijd door duizenden bedrijven wordt gebruikt voor het verzamelen van logdata van Java-applicaties. Via de kwetsbaarheid is het mogelijk om web- en applicatieservers over te nemen. Inmiddels wordt er misbruik van het lek gemaakt waarvoor afgelopen vrijdag een update verscheen.

Volgens het BSI is de volledige omvang van de dreigingssituatie op dit moment niet definitief vast te stellen, maar lopen mogelijk alle Java-applicaties die via de kwetsbare loggingsoftware logs verzamelen risico. De Duitse overheidsinstantie hanteert vier niveaus voor de dreigingen op internet. Vandaag werd besloten dat dreigingsniveau naar het allerhoogste niveau op te schalen, namelijk code rood. Het gaat in dit geval om een zeer gevaarlijke dreiging die tot uitval van veel diensten en verstoringen kan leiden.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties via Twitter op om de beveiligingsupdate meteen te installeren. Daarnaast verplicht het CISA alle federale overheidsinstanties via een "Binding Operational Directive" om de Log4j 2-update voor 24 december van dit jaar uit te rollen. Via het directive moet het risico van actief misbruikte kwetsbaarheden worden verkleind.

Image

Reacties (12)
12-12-2021, 21:16 door Anoniem
Een maatregel om te nemen is POLP.
Nu wordt de zwakte op de infrastructuur pas goed duidelijk.
Men werkt ergens naar toe. Mark my worden, read my lips.
12-12-2021, 21:24 door Anoniem
Dat worden overuren voor de security mensen zo vlak voor de Kerst.

Ben ik even blij dat ik niet in zo'n omgeving werk.
12-12-2021, 21:43 door Anoniem
We moeten helemaal van al dat computer, software en internetgedoe af.
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
12-12-2021, 23:26 door Anoniem
Door Anoniem: Dat worden overuren voor de security mensen zo vlak voor de Kerst.

Ben ik even blij dat ik niet in zo'n omgeving werk.
Als men dat een probleem vindt, dan moet men niet in de security willen werken.
13-12-2021, 07:23 door Anoniem
Door Anoniem: Een maatregel om te nemen is POLP.
Zelfs als een applicatie met beperkte rechten draait, dan heeft het nog altijd de rechten die die applicatie nodig heeft. Als je een applicatieserver met een webinterface kan compromitteren dan moet je ervan uitgaan dat de gegevens waar die applicatie bij kan gevaar lopen. Dat zijn de gegevens waar het een aanvaller vaak om te doen zal zijn.

Ook betekent het kunnen uitvoeren van willekeurige code op de server van een ander dat locaal exploiteerbare kwetsbaarheden opeens remote exploiteerbaar zijn. Dat is ook niet bepaald wenselijk.

Daarom is dit ook ernstig als services met de minimaal benodigde rechten draaien en impliceert dit niet dat dat niet goed zit.
13-12-2021, 08:22 door Anoniem
Door Anoniem: Een maatregel om te nemen is POLP.
Nu wordt de zwakte op de infrastructuur pas goed duidelijk.
Men werkt ergens naar toe. Mark my worden, read my lips.
Dat zou wel eens heel goed kunnen kloppen. De chef van de WEF zei het al en nu wordt het geïmplementeerd.
13-12-2021, 08:38 door Anoniem
Door Anoniem: We moeten helemaal van al dat computer, software en internetgedoe af.
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
Persoonlijk vind ik dat het WWW een beetje teveel aan het worden is. BigTech is te bizar tegenwoordig, dus ik heb gezocht en gevonden een alternatief voor WWW. Het heet https://en.wikipedia.org/wiki/Gemini_(protocol). Het is een text-based Gopher alternatief, een opvolger van Gopher zeg maar. En tot nog toe werkt het heel goed. Er is alleen maar tekst, dus geen ads, maar je kan alles vinden wat je zou moeten vinden.

Maar je hebt helemaal gelijk. Het WWW begint op zijn einde te raken en we moeten naar alternatieven kijken, want zoals het nu gaat ben je alleen maar een consument en verlies je op den duur een hele hoop meer dan dat je denkt.
13-12-2021, 09:32 door _R0N_ - Bijgewerkt: 13-12-2021, 09:35
Als mensen nu nog moeten beginnen met patchen of maatregelen te nemen zijn ze rijkelijk te laat.
Het aantal pogingen in het afgelopen weekend was enorm, dit is veel groter dan heartbleed en in de komende weken gaan we een hoop ransomware aanvallen zien.
13-12-2021, 10:57 door [Account Verwijderd]
Door Anoniem: Dat worden overuren voor de security mensen zo vlak voor de Kerst.

Ben ik even blij dat ik niet in zo'n omgeving werk.

Hoezo probleem? Dit is helemaal geen probleem als je zelf de broncode hebt (dan verander je even een afhankelijkheid, bouwt opnieuw en pusht het naar je servers). Als je geen toegang tot de broncode hebt en de leverancier waar je zo op vertrouwt langzaam regeert, tja, dan zou ik maar eens lang en goed gaan nadenken over vendor lock-in en de beperkingen van het gebruiken van propriëtaire closed source oplossingen.
13-12-2021, 18:35 door Anoniem
Door Anoniem: Dat worden overuren voor de security mensen zo vlak voor de Kerst.

Ben ik even blij dat ik niet in zo'n omgeving werk.

Jouw gegevens worden gegarandeerd in dit soort omgevvingen verwerkt.
13-12-2021, 18:47 door Anoniem
Door Anoniem: Dat worden overuren voor de security mensen zo vlak voor de Kerst.

Ben ik even blij dat ik niet in zo'n omgeving werk.

Het is nog veel erger: degene die het lek gedicht heeft is een vrijwilliger.
Het gaat namelijk om open source code.
Iemand heeft -om niet- het lek gedicht dat miljoenen applicaties waar gegarandeerd ook uw gegevens in worden verwerkt, kwetsbaar maakte. Lees: https://blog.filippo.io/professional-maintainers/

Fijne kerstdagen !
20-12-2021, 09:08 door _R0N_
Door Anoniem: We moeten helemaal van al dat computer, software en internetgedoe af.
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).

Je kunt ook in Noord Korea gaan wonen, ik denk dat ze daar geen last hebben van log4j problemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.