Er is een ernstige kwetsbaarheid gevonden in Apache Log4j, het gaat hierbij om een Java-log-tool welke momenteel door veel webapplicaties en diensten gebruikt zal worden. Het Nationaal Cybersecuritycentrum (NCSC) adviseert om zo snel als mogelijk te updaten.
Apache Log4J kwetsbaarheid
De Nederlandse veiligheidswaakhond verwacht op korte misbruik van de kwetsbaarheid. Inmiddels heeft de kwetsbaarheid de naam Log4shell meegekregen.
Door de Log4shell kwetsbaarheid is het mogelijk om rechten van webservers op afstand te misbruiken. De kans op misbruik binnen enkele dagen is groot waarmee het NCSC een high advies heeft vrijgegeven.
Apache Log4J is in enorm veel applicaties gebruikt. De kwetsbaarheid maakt remote code execution mogelijk. Versies van Log4j 2.0-beta9 tot en met 2.14.1 zijn kwetsbaar. Apache heeft updates uitgebracht.
De manier waarop deze kwetsbaarheid misbruikt kan worden is inmiddels publiekelijk bekend. Gezien de vele aandacht voor deze kwetsbaarheid verwacht het NCSC dat de manieren voor misbruik de komende tijd worden doorontwikkeld. Het is daarom extra van belang om de updates snel te installeren.