Microsoft adviseert extra controle Log4j-systemen en verwacht lange nasleep
Organisaties die van Log4j gebruikmaken doen er verstandig aan om hun systemen extra op eventueel misbruik te controleren, zo adviseert Microsoft. Het techbedrijf verwacht gezien het aantal kwetsbare diensten en software dat het nog lang kan duren voordat alle systemen zijn beveiligd en gepatcht, waardoor continue waakzaamheid van organisaties is vereist.
Door de aard van Log4j zijn niet alleen applicaties kwetsbaar die van de loggingsoftware gebruikmaken, maar ook alle diensten die weer met deze applicaties werken. Daardoor weten organisaties mogelijk niet hoe wijdverbreid het probleem in hun omgeving is, aldus Microsoft. Inmiddels zouden zowel statelijke actoren als doorsnee cybercriminelen misbruik van de Log4j-kwetsbaarheden maken.
Tijdens de laatste week van december bleef het aantal aanvalspogingen hoog, stelt Microsoft verder. "We hebben gezien dat veel aanvallers exploits voor deze kwetsbaarheden aan hun bestaande malwarekits en tactieken toevoegen, van coinminers tot hand-on-keyboard-aanvallen. Organisaties beseffen mogelijk niet hoe hun omgevingen misschien al zijn gecompromitteerd."
Microsoft adviseert dan ook een extra controle van systemen waarop kwetsbare Log4j-versies draaien. Het techbedrijf stelt dat de brede beschikbaarheid van exploitcode en scanningtechnieken een echt en concreet gevaar voor bedrijfsomgevingen vormt. Vanwege de vele software en diensten die zijn getroffen en de snelheid waarmee updates verschijnen en worden toegepast kan het nog lang duren voordat de situatie is verholpen, wat inhoudt dat bedrijven blijvend alert moeten zijn.
Eerst bouwen we samen een brak houten zeilbootje, dan voegen we daar een slap buitenboordmotortje aantoe en varen we samen de grote oceaan op om te kijken naar die schitterende zonsondergang. Dan blijkt er een grote storm te komen (who knew?!). En vervolgens zeggen we dat het levensgevaarlijk is op zee en het wellicht verstandiger is om (voor een zacht prijsje) aan boord te komen van de HMS Azure die toevallig toch in de buurt was...
Wees verstandig: blijf aan wal, stop je kroonjuwelen in de kluis en ga alleen voor de echt noodzakelijke dingen in een klein, maar heel veilig scheepje met een goed getrainde bemanning de zee op.
In dit geval is microsoft enkel de boodschapper met siem en scanning.
Het werkelijke probleem log4j is dat kleine bootje met goed getrainde bemanning (de bouwers van log4h2) waar iedereen van aannam dat omdat het opens source is andere wel zouden opletten dat het veilig is. Vele scheepjes gezonken.
De werkelijke impact van log4j is nog steeds niet helemaal zichtbaar.
De lijst op https://github.com/NCSC-NL/log4shell/tree/main/software bevat honderden kwetsbare applicaties. Waarschijnlijk zijn er nog vele honderden applicaties kwetsbaar die nog niet op de lijst staan.
Daarnaast waren er natuurlijk ook al vele vulnerabilities in OSS bekend https://www.whitesourcesoftware.com/resources/blog/top-security-open-source-vulnerabilities-2020/
Echt gerommel in de marge zou ik dit niet willen noemen. Er god mag weten hoeveel meer ellende er nog zit in niet ge-reviewde geimporteerde library's.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.
In dit geval is microsoft enkel de boodschapper met siem en scanning.
Het werkelijke probleem log4j is dat kleine bootje met goed getrainde bemanning (de bouwers van log4h2) waar iedereen van aannam dat omdat het opens source is andere wel zouden opletten dat het veilig is. Vele scheepjes gezonken.
Je projecteert jouw vreemde ideeën over wat de voor- en nadelen van open source zouden zijn op anderen.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.
Inderdaad maar het zijn wel typerend de script kiddies die zoiets doen (klakkeloos importeren). De professional kijkt naar hoe een geïmporteerde codebase wordt onderhouden, codekwaliteit, etc.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.
Inderdaad maar het zijn wel typerend de script kiddies die zoiets doen (klakkeloos importeren). De professional kijkt naar hoe een geïmporteerde codebase wordt onderhouden, codekwaliteit, etc.
Op de lijst van getroffen applicaties op Github staan alle gerenomeerde namen uit de industrie. Die laten geen prutsers aan hun product schrijven. Hier is sprake van eeen cultuurprobleem.
Want dat is het echt grote probleem: zomaar van alles in je codebase importeren.
Inderdaad maar het zijn wel typerend de script kiddies die zoiets doen (klakkeloos importeren). De professional kijkt naar hoe een geïmporteerde codebase wordt onderhouden, codekwaliteit, etc.
Op de lijst van getroffen applicaties op Github staan alle gerenomeerde namen uit de industrie. Die laten geen prutsers aan hun product schrijven. Hier is sprake van eeen cultuurprobleem.
Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...
Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...
Nee, ook de DevOp wereld realiseert zich nu dat er sprake is van een cultuurprobleem.
"Cultural issues are the first thing to overcome, says Red Hat."
https://www.theregister.com/2021/11/19/why_devsecops_is_important/
Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...
Nee, ook de DevOp wereld realiseert zich nu dat er sprake is van een cultuurprobleem.
"Cultural issues are the first thing to overcome, says Red Hat."
https://www.theregister.com/2021/11/19/why_devsecops_is_important/
Dat verhaal bevestigt mijn verhaal meer dan het jouwe.
Hoogstwaarschijnlijk legacy code uit de tijd dat security nog niet zo speelde...
Nee, ook de DevOp wereld realiseert zich nu dat er sprake is van een cultuurprobleem.
"Cultural issues are the first thing to overcome, says Red Hat."
https://www.theregister.com/2021/11/19/why_devsecops_is_important/
Dat verhaal bevestigt mijn verhaal meer dan het jouwe.
Dan heb je het niet goed gelezen . . .
Ten eerste is het geen Microsoft software.
Ten tweede heb ik liever 1000 bugs welke geen schade opleveren, dan 1 bug die onherstelbaar veel schade oplevert. Statistisch is het maar in de marge qua aantal issues, qua impact is het vele malen groter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.