10 december 2021: Kritieke kwetsbaarheid in Apache Log4j 2
Update 8 oktober 2021
Apache heeft een nieuwe beveiligingsupdate (2.4.51) beschikbaar gesteld om de kwetsbaarheid CVE-2021-41773 te verhelpen. Met de beveiligingsupdate die eerder beschikbaar kwam (2.4.50) bleek de kwetsbaarheid niet volledig verholpen te zijn.
Het advies is om de nieuwe beveiligingsupdate 2.4.51 zo snel mogelijk te installeren.
Oorspronkelijk bericht van 5 oktober 2021
In de Apache webserversoftware zit een ernstige kwetsbaarheid die actief wordt misbruikt. De kwetsbaarheid zit in versie 2.4.49 en heeft als kenmerk CVE-2021-41773. Het Nationaal Cyber Security Centrum (NCSC) heeft de kwetsbaarheid aangeduid als 'High/High’. Dit wil zeggen dat er een grote kans is dat een kwetsbaarheid wordt misbruikt en dat de schade groot kan zijn.
Wat is er aan de hand?
Apache is één van de meest gebruikte webserversoftware om bijvoorbeeld websites beschikbaar te stellen op het internet. Daarnaast zit deze software vaak verwerkt (embedded) in andere software om op die manier bijvoorbeeld management interfaces aan te bieden of andere webapplicaties.
De kwetsbaarheid maakt het voor een kwaadwillende mogelijk om op kwetsbare Apache servers toegang te krijgen tot (systeem)bestanden wat normaal gesproken niet mogelijk zou mogen zijn. Voor dit misbruik is alleen netwerktoegang nodig met een kwetsbare apache webserver. Apache webservers zijn vaak direct toegankelijk via het internet wat deze kwetsbaarheid extra zorgelijk maakt.
Wat kun je doen?
Maakt jouw organisatie gebruik van een website of webapplicatie? Ga dan na of deze gebruik maakt van Apache en controleer om welke versie het gaat. Gaat het om versie 2.4.49, dan is het dringend advies om deze zo snel mogelijk te updaten naar versie 2.4.50.Ben je niet zeker of de website of webapplicatie draait op Apache software, vraag dit dan na bij je IT-dienstverlener.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.