Duitsland geeft code rood af wegens Log4j-lek, VS komt met patch-deadline
De Duitse overheid heeft code rood afgegeven wegens het beveiligingslek in Apache Log4j 2 en spreekt van een zeer gevaarlijk it-dreigingsniveau dat tot uitval van een groot aantal diensten kan leiden. De Amerikaanse overheid heeft inmiddels voor alle federale overheidsinstanties een patch-deadline afgekondigd, wat inhoudt dat de beveiligingsupdate om het probleem te verhelpen op 24 december geïnstalleerd moet zijn.
Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, spreekt van een zeer ernstige dreigingssituatie, veroorzaakt door het lek in de populaire loggingsoftware Apache Log4j 2 die wereldwijd door duizenden bedrijven wordt gebruikt voor het verzamelen van logdata van Java-applicaties. Via de kwetsbaarheid is het mogelijk om web- en applicatieservers over te nemen. Inmiddels wordt er misbruik van het lek gemaakt waarvoor afgelopen vrijdag een update verscheen.
Volgens het BSI is de volledige omvang van de dreigingssituatie op dit moment niet definitief vast te stellen, maar lopen mogelijk alle Java-applicaties die via de kwetsbare loggingsoftware logs verzamelen risico. De Duitse overheidsinstantie hanteert vier niveaus voor de dreigingen op internet. Vandaag werd besloten dat dreigingsniveau naar het allerhoogste niveau op te schalen, namelijk code rood. Het gaat in dit geval om een zeer gevaarlijke dreiging die tot uitval van veel diensten en verstoringen kan leiden.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security roept organisaties via Twitter op om de beveiligingsupdate meteen te installeren. Daarnaast verplicht het CISA alle federale overheidsinstanties via een "Binding Operational Directive" om de Log4j 2-update voor 24 december van dit jaar uit te rollen. Via het directive moet het risico van actief misbruikte kwetsbaarheden worden verkleind.
Nu wordt de zwakte op de infrastructuur pas goed duidelijk.
Men werkt ergens naar toe. Mark my worden, read my lips.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
Ben ik even blij dat ik niet in zo'n omgeving werk.
Ook betekent het kunnen uitvoeren van willekeurige code op de server van een ander dat locaal exploiteerbare kwetsbaarheden opeens remote exploiteerbaar zijn. Dat is ook niet bepaald wenselijk.
Daarom is dit ook ernstig als services met de minimaal benodigde rechten draaien en impliceert dit niet dat dat niet goed zit.
Nu wordt de zwakte op de infrastructuur pas goed duidelijk.
Men werkt ergens naar toe. Mark my worden, read my lips.
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
Maar je hebt helemaal gelijk. Het WWW begint op zijn einde te raken en we moeten naar alternatieven kijken, want zoals het nu gaat ben je alleen maar een consument en verlies je op den duur een hele hoop meer dan dat je denkt.
Het aantal pogingen in het afgelopen weekend was enorm, dit is veel groter dan heartbleed en in de komende weken gaan we een hoop ransomware aanvallen zien.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Hoezo probleem? Dit is helemaal geen probleem als je zelf de broncode hebt (dan verander je even een afhankelijkheid, bouwt opnieuw en pusht het naar je servers). Als je geen toegang tot de broncode hebt en de leverancier waar je zo op vertrouwt langzaam regeert, tja, dan zou ik maar eens lang en goed gaan nadenken over vendor lock-in en de beperkingen van het gebruiken van propriëtaire closed source oplossingen.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Jouw gegevens worden gegarandeerd in dit soort omgevvingen verwerkt.
Ben ik even blij dat ik niet in zo'n omgeving werk.
Het is nog veel erger: degene die het lek gedicht heeft is een vrijwilliger.
Het gaat namelijk om open source code.
Iemand heeft -om niet- het lek gedicht dat miljoenen applicaties waar gegarandeerd ook uw gegevens in worden verwerkt, kwetsbaar maakte. Lees: https://blog.filippo.io/professional-maintainers/
Fijne kerstdagen !
Terug, wat dit alles betreft naar de jaren zestig van de vorige eeuw.
En jawel: dan kan ook ik, dit niet meer schrijven, niet meer internet op en meer.
Maar misschien krijgen we dan juist wel weer een inhoudelijk gezien, echt betere wereld.
Flipper (the Highly Skilled & Nyenrode Crackin' Dolphin [Still alive]).
Je kunt ook in Noord Korea gaan wonen, ik denk dat ze daar geen last hebben van log4j problemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.