Kwetsbaarheid in Apache Log4j

Sinds zaterdag 18 december 2021 is er door het NCSC (Nationaal Cyber Security Centrum) gecommuniceerd over een kritieke kwetsbaarheid in Apache Log4j. Log4j is een veelgebruikte library die gebruikt wordt om logging functionaliteit te bouwen in software, geschreven in de programmeertaal Java. Deze kwetsbaarheid maakt het voor aanvallers mogelijk de rechten van uw (web)servers op afstand te misbruiken.

Omdat deze software in zeer veel producten gebruikt wordt kan de impact groot zijn. De software zit in vele honderden, zo niet duizenden softwareproducten en applicaties. Wij adviseren u om in ieder geval pro-actief bij uw applicatie-leveranciers na te gaan of betreffende Log4j tooling binnen uw applicaties wordt gebruikt en om evt. beschikbare updates hiervoor direct door te voeren.

DocReview Platform

Bij klanten die gebruik maken van het DocReview platform is geen risico. Deze applicaties zijn gebouwd op het .net framework en hebben geen Java componenten in zich.

Securitech Academy

Bij klanten die gebruik maken van onze online leerplatform Securitech Academy is geen risico. Deze web-applicatie heeft geen Java componenten in zich.

Overige applicaties
Interne applicaties, welke niet benaderbaar zijn via het internet, zijn geïnventariseerd en onderzocht. Op basis daarvan bleek dat wij niet kwetsbaar zijn.

Actieve monitoring
We volgen actief het nieuws en updates vanuit onder andere de NCSC (Nationaal Cyber Security Centrum) en staan in nauw contact met onze leveranciers.