Het is voor het NCSC niet mogelijk om voor iedere applicatie die gebruik maakt van Log4j het beveiligingsadvies te updaten. Een vermelding van een applicatie op deze lijst mag u daarom zien als een update van het HIGH/HIGH beveiligingsadvies (hoge kans op grote schade).

Het is goed mogelijk dat het voor organisaties onduidelijk is hoe te handelen in deze situatie. Daarom hebben wij onderstaande te-nemen-stappen opgesteld:

  1. Inventariseer of Log4j v2 in uw netwerk wordt gebruikt. Hiervoor zijn verschillende scripts voor Linux en Windows beschikbaar. Ook verschillende kwetsbaarheidsscanners hebben updates of plugins uitgebracht om te controleren of systemen kwetsbaar zijn. U vindt deze op GitHub. Let wel: deze scans bieden geen 100% garantie dat u geen kwetsbare systemen heeft.
  2. Wees u ervan bewust dat ook systemen zonder internetverbinding risico kunnen lopen. Aanvallen van binnenuit zijn ook mogelijk.
  3. Controleer voor kwetsbare systemen of uw softwareleverancier reeds een patch beschikbaar heeft gesteld en voer deze zo spoedig mogelijk uit.
    1. a.  Indien het systeem informatie verwerkt wat afkomstig is van het internet en er is geen patch beschikbaar, neem dan mitigerende maatregelen waar mogelijk.
      b.  Als updaten niet mogelijk is, adviseert Apache de volgende maatregelen:
      i.   Versie 2.10 of hoger: stel log4j.formatMsgNoLookups or Dlog4j.formatMsgNoLookups in op true
      ii.  Versie 2.7 of hoger: gebruik %m{nolookups} in de PatternLayout configuratie
      iii. Alle versies: verwijder de JndiLookup en JndiManager classes uit log4j-core.jar
      c.  Waar dit niet mogelijk is, adviseren wij te overwegen of het wenselijk is het systeem uit te schakelen totdat een patch beschikbaar is.
      d.  De Github lijst die het NCSC bijhoudt, kan u van informatie voorzien over nieuw uitgebrachte patches, maar wij raden aan zelf om ook pagina’s van softwareleveranciers te monitoren.
  4. Controleer zowel systemen die al gepatcht zijn als ook kwetsbare systemen op misbruik. Wij adviseren te kijken naar misbruik vanaf ten minste 1 december.
  5. Wij adviseren u om detectiemaatregelen in te schakelen. Verschillende organisaties hebben voor detectiemaatregelen voor hun Firewall-producten beschikbaar gesteld. Ook voor het inschakelen van deze maatregelen geldt dat dit geen garantie biedt dat elke vorm van misbruik wordt tegengehouden.
  6. De gevonden kwetsbaarheid kan gebruikt worden om een ransomware-aanval uit te voeren. Het NCSC adviseert om de juiste voorbereidingen te treffen, door capaciteit beschikbaar te houden en uw back-ups op orde te hebben.

bron: UPDATE: Kwetsbare Log4j applicaties en te nemen stappen | Nieuwsbericht | Nationaal Cyber Security Centrum (ncsc.nl)