Enkele dagen geleden werd bekend dat er een ernstige kwetsbaarheid zit in het veelgebruikte Apache Log4J. Dit programmaonderdeel wordt gebruikt in veel op Java gebaseerde applicaties.

Dit zorgt ervoor dat enorm veel applicaties en diensten in 1 klap kwetsbaar zijn voor datalekken en misbruik. Zoals het NCSC in hun 'high/high' beveiligingsadvies schrijft: "De kwetsbaarheid maakt het mogelijk voor een ongeauthenticeerde kwaadwillende op afstand om willekeurige code uit te voeren met de rechten van de bovenliggende applicatie". 

De kwetsbaarheid heeft CVE code 'CVE-2021-44228'.

Uit ons eigen onderzoek blijkt dat de door ons gebruikte software geen gebruik maakt van Apache Log4J. Ons webhosting platform maakt gebruik van o.a. Apache httpd, MySQL, MariaDB, Plesk, Bind en die zijn allen voor zover nu bekend niet kwetsbaar. De kwetsbaarheid is vooral van toepassing op in Java geschreven programma's, niet op de eerder genoemde software die wij gebruiken. Onze software staat ook niet in de door de NCSC gepubliceerde lijst van kwetsbare programma's.

Ook Joomla en Wordpress zijn uit zichzelf niet kwetsbaar omdat die niet in Java geschreven zijn.

Wij adviseren u om binnen uw kantoor- of automatiseringssoftware ook een check uit te voeren. De kwetsbaarheid blijkt namelijk al uitgebuit te worden door hackers die hiermee ongeautoriseert systemen proberen binnen te dringen. Daarnaast geldt dat websites die niet rechtstreeks vatbaar zijn voor de hack, eventueel wel gemanipuleerd kunnen worden wanneer men via een andere hack achter uw login gegevens komt.

Het inschakelen van 2FA in al uw accounts (Joomla, Wordpress, Plesk, etc) voegt extra veiligheid toe. Informeer bij ons over hoe dit te doen als u er zelf niet uit komt.