Ernstige kwetsbaarheid in Apache Log4j-tool

apache log4jIn het nieuws wordt momenteel gesproken over de kwetsbaarheid in de Apache Log4j-‘tool’. De Apache Log4j-‘tool’ bevat een ernstige, zogenoemde, ‘zero-day’ kwetsbaarheid. Dit betekent feitelijk dat er al misbruik van wordt gemaakt door cybercriminelen.

Wat is er aan de hand?
De kwetsbaarheid geeft cybercriminelen de mogelijkheid om zonder toestemming op afstand code uit te voeren en een server over te nemen. Uitleg over deze kwetsbaarheid vind je via:

Tweakers: Ernstige kwetsbaarheid in apache log4j 2 kan duizenden organisaties treffen
Security.nl: Kwetsbaarheid in Apache Log4j 2 maakt remote code execution mogelijk
Tech Vortex: https://www.youtube.com/watch?v=yUmVN-JJY2Y

Wat kun je het beste doen?
Wij raden met klem aan om de website van het Nationaal Cyber Security Centrum van de Rijksoverheid regelmatig te raadplegen voor advies en een overzicht van de applicaties en toepassingen welke tot nu toe kwetsbaar zijn gebleken. Bezoek de site via deze link. Deze lijst is nog niet volledig en zal de komende dagen aangevuld worden. Daarom raden wij je ook aan om zo snel mogelijk contact op te nemen met jouw software leverancier(s). Vraag je software leverancier wat zij ondernemen tegen de Log4j kwetsbaarheid.

Wat doet PCI?

De door PCI beheerde systemen, waarbij deze kwetsbaarheid zou kunnen bestaan, zijn of worden zo snel als mogelijk voorzien van nu beschikbare mitigerende maatregelen. Niettemin, ook wij zijn afhankelijk van de oplossingen die ter beschikking gesteld worden door de betrokken software ontwikkelaars. Daarom kunnen wij niet garanderen dat je geen hinder zal ondervinden van deze kwetsbaarheid. Wij blijven de ontwikkelingen op de voet volgen en houden de berichtgeving via diverse kanalen nauwlettend in de gaten.