De Duitse overheid heeft code rood afgegeven wegens het beveiligingslek in Apache Log4j 2 en spreekt van een zeer gevaarlijk it-dreigingsniveau dat tot uitval van een groot aantal diensten kan leiden. De Amerikaanse overheid heeft inmiddels voor alle federale overheidsinstanties een patch-deadline afgekondigd, wat inhoudt dat de beveiligingsupdate om het probleem te verhelpen op 24 december geïnstalleerd moet zijn.
Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, spreekt van een zeer ernstige dreigingssituatie, veroorzaakt door het lek in de populaire loggingsoftware Apache Log4j 2 die wereldwijd door duizenden bedrijven wordt gebruikt voor het verzamelen van logdata van Java-applicaties. Via de kwetsbaarheid is het mogelijk om web- en applicatieservers over te nemen. Inmiddels wordt er misbruik van het lek gemaakt waarvoor afgelopen vrijdag een update verscheen.
Volgens het BSI is de volledige omvang van de dreigingssituatie op dit moment niet definitief vast te stellen, maar lopen mogelijk alle Java-applicaties die via de kwetsbare loggingsoftware logs verzamelen risico. De Duitse overheidsinstantie hanteert vier niveaus voor de dreigingen op internet. Vandaag werd besloten dat dreigingsniveau naar het allerhoogste niveau op te schalen, namelijk code rood. Het gaat in dit geval om een zeer gevaarlijke dreiging die tot uitval van veel diensten en verstoringen kan leiden.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties via Twitter op om de beveiligingsupdate meteen te installeren. Daarnaast verplicht het CISA alle federale overheidsinstanties via een "Binding Operational Directive" om de Log4j 2-update voor 24 december van dit jaar uit te rollen. Via het directive moet het risico van actief misbruikte kwetsbaarheden worden verkleind.
Deze posting is gelocked. Reageren is niet meer mogelijk.