Wat kan je leren van de log4j problematiek?

Wat kan je leren van de log4j problematiek?Reinoud

Een ernstige kwetsbaarheid in Apache Log4j was afgelopen maand een zeer groot beveiligingsrisico voor bedrijven. De log4j software wordt met name gebruikt in webapplicaties en systemen die gebruikmaken van Java. Het Nationaal Cyber Security Centrum deed ook melding van de kwetsbaarheden. Ook Interpulse kreeg veel vragen of de log4j software gebruikt werd bij onze klanten en in enkele gevallen hebben wij de updates toe moeten passen, dit deden we pro-actief waar dat nodig was. 

Software vereist regelmatig updates

Ook webapplicaties en websites moeten regelmatig voorzien worden van updates. Een webapplicatie bestaat uit diverse componenten, vaak open source. Deze worden door de community bijgewerkt. Dit kunnen nieuwe functies zijn, maar zijn ook beveiligingsupdates.

Interpulse voert, als onderdeel van onze servicecontracten, een periodieke beveiligingsscan uit. Hierdoor is direct duidelijk welke componenten gebruikt worden binnen je applicatie en wat de laatste versie op de markt is. In onze scan ziet dat er bijvoorbeeld als volgt uit:

Afbeelding uitkomst scan op Log4j aanwezigheid

Je weet dus direct of bijvoorbeeld log4j gebruikt wordt en welke versie geïnstalleerd is.

Verbeteren beveiliging webapplicatie

Naast de controle op componenten voeren we ook een controle uit op een aantal andere beveilgingsaspecten die erg belangrijk zijn voor een veilige webapplicatie. Bijvoorbeeld een controle en waardering van de verbinding naar de applicatie toe.

Voorbeeld uitkomst security scan

Bevat de applicatie bijzondere persoonsgegevens, dan is een A+ wat ons betreft vereist. Voor alle andere applicaties is een A waardering in orde. Scoor je lager, dan zetten we de vereiste acties op een rij en kan dat in overleg aangepakt worden.

Wat kan je direct als les meenemen?

  • Laat periodiek de applicatie controleren op versies
  • Registreer welke componenten gebruikt worden in je applicatie, zodat je bij problemen snel kan zien of je applicatie gevaar loopt.
  • Host je applicaties op een betrouwbare en geïsoleerde omgeving, zoals Microsoft Azure.

Nuttige links:

OWASP top 10: https://owasp.org/www-project-top-ten/ 

ICT Updates.