Duitsland geeft code rood af wegens Log4j-lek, VS komt met patch-deadline
De Duitse overheid heeft code rood afgegeven wegens het beveiligingslek in Apache Log4j 2 en spreekt van een zeer gevaarlijk it-dreigingsniveau dat tot uitval van een groot aantal diensten kan leiden. De Amerikaanse overheid heeft inmiddels voor alle federale overheidsinstanties een patch-deadline afgekondigd, wat inhoudt dat de beveiligingsupdate om het probleem te verhelpen op 24 december geïnstalleerd moet zijn.
Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, spreekt van een zeer ernstige dreigingssituatie, veroorzaakt door het lek in de populaire loggingsoftware Apache Log4j 2 die wereldwijd door duizenden bedrijven wordt gebruikt voor het verzamelen van logdata van Java-applicaties. Via de kwetsbaarheid is het mogelijk om web- en applicatieservers over te nemen. Inmiddels wordt er misbruik van het lek gemaakt waarvoor afgelopen vrijdag een update verscheen.
Volgens het BSI is de volledige omvang van de dreigingssituatie op dit moment niet definitief vast te stellen, maar lopen mogelijk alle Java-applicaties die via de kwetsbare loggingsoftware logs verzamelen risico. De Duitse overheidsinstantie hanteert vier niveaus voor de dreigingen op internet. Vandaag werd besloten dat dreigingsniveau naar het allerhoogste niveau op te schalen, namelijk code rood. Het gaat in dit geval om een zeer gevaarlijke dreiging die tot uitval van veel diensten en verstoringen kan leiden.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties via Twitter op om de beveiligingsupdate meteen te installeren. Daarnaast verplicht het CISA alle federale overheidsinstanties via een "Binding Operational Directive" om de Log4j 2-update voor 24 december van dit jaar uit te rollen. Via het directive moet het risico van actief misbruikte kwetsbaarheden worden verkleind.
Nu wordt de zwakte op de infrastructuur pas goed duidelijk.
Men werkt ergens naar toe. Mark my worden, read my lips.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
Ben ik even blij dat ik niet in zo'n omgeving werk.
Ook betekent het kunnen uitvoeren van willekeurige code op de server van een ander dat locaal exploiteerbare kwetsbaarheden opeens remote exploiteerbaar zijn. Dat is ook niet bepaald wenselijk.
Daarom is dit ook ernstig als services met de minimaal benodigde rechten draaien en impliceert dit niet dat dat niet goed zit.
Nu wordt de zwakte op de infrastructuur pas goed duidelijk.
Men werkt ergens naar toe. Mark my worden, read my lips.
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
Maar je hebt helemaal gelijk. Het WWW begint op zijn einde te raken en we moeten naar alternatieven kijken, want zoals het nu gaat ben je alleen maar een consument en verlies je op den duur een hele hoop meer dan dat je denkt.
Het aantal pogingen in het afgelopen weekend was enorm, dit is veel groter dan heartbleed en in de komende weken gaan we een hoop ransomware aanvallen zien.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Hoezo probleem? Dit is helemaal geen probleem als je zelf de broncode hebt (dan verander je even een afhankelijkheid, bouwt opnieuw en pusht het naar je servers). Als je geen toegang tot de broncode hebt en de leverancier waar je zo op vertrouwt langzaam regeert, tja, dan zou ik maar eens lang en goed gaan nadenken over vendor lock-in en de beperkingen van het gebruiken van propriëtaire closed source oplossingen.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Jouw gegevens worden gegarandeerd in dit soort omgevvingen verwerkt.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Het is nog veel erger: degene die het lek gedicht heeft is een vrijwilliger.
Het gaat namelijk om open source code.
Iemand heeft -om niet- het lek gedicht dat miljoenen applicaties waar gegarandeerd ook uw gegevens in worden verwerkt, kwetsbaar maakte. Lees: https://blog.filippo.io/professional-maintainers/
Fijne kerstdagen !
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
Je kunt ook in Noord Korea gaan wonen, ik denk dat ze daar geen last hebben van log4j problemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
