14-december-2021 | Nieuws

Apache Log4j kwetsbaarheid

R6 3199 2 Jonatan 1200pix ©BarbraVerbij 2 met watermerk
Jonatan van Groos
Business Development Manager
apache kwetsbaarheid copy3

De IT-wereld is opgeschud door de ontdekte kwetsbaarheid in Apache Log4j. Vele duizenden applicaties zijn hier kwetsbaar voor, wereldwijd en acuut. 

Wat is er aan de hand?

De kwetsbaarheid komt door een feature van de logging library waarmee code op basis van een URL in wordt geladen. Dat gaat goed zolang de URL naar vertrouwde code verwijst, maar het bleek ook mogelijk om die URL naar een plek op het internet te richten. Als een gebruiker die een deel van een log bericht kan bepalen (bijv. doordat zijn invoer in een formulier wordt gelogd), kan hij hiermee dus willekeurige code uitvoeren. Een zogeheten “remote code execution (RCE)”.

In gewone taal: iemand kan jouw applicatie zijn code laten draaien. Ze kunnen je applicatie dus zelfs inzetten als bitcoin miner of je applicatiedata te pakken krijgen. 

Wat doet Sping?

Er draaien continu veel radertjes. Wij hebben gelukkig de support zo ingericht dat veel automatisch en continu gecontroleerd wordt. Onze monitoring tools checken automatisch op aanwezigheid van (nieuw) risico. Onze favoriete hosting-partners, waaronder Amazon Web Services, draaien proactief scans op het risico en eventueel misbruik. Onze support leest deze uit, klaar om in actie te komen.  

We gaan ook zelf op zoek naar waar deze kwetsbaarheid nog impact kan hebben. We checken de gebruikte componenten bij onze klanten. Daar waar we een risico vinden ondernemen we actie én nemen zo snel mogelijk contact op met de klant. Als dit tot een gewenste actie leidt doen we dat direct. Daarvoor bouwen we structureel flexibiliteit in in onze planning. 

In dit geval was de impact bij de klanten van Sping heel beperkt. Wij bouwen bij voorkeur in Ruby on Rails of NodeJS. Daarin speelt deze kwetsbaarheid niet. Onze klanten zijn dus maar minimaal geraakt. Als het wel betrekking gehad zou hebben op veel van onze klanten staan we altijd klaar om meteen te handelen.

We hadden dus mooi de tijd om een blog te schrijven. 

Algemene conclusies

Bij Sping trekken we de volgende algemene conclusies: 

  • Beveiliging is een steeds groter thema. Deze trend zet door. 
  • Het is cruciaal om applicaties actief te monitoren. 
  • De open source community is razendsnel met het genereren van updates. 
  • Het grote risico is dat die updates niet doorgevoerd worden. Daarvoor is actief en regelmatig onderhoud aan applicaties cruciaal. Stilstand is een groeiend risico.

Wat kan Sping voor jou betekenen?

Sping ontwerpt, bouwt en onderhoudt applicaties voor innovators. We combineren design, tech en business. De hele product lifecycle staan we voor je klaar. Van idee naar blijvend succes. Ontdekken of Sping bij jouw digitale uitdaging past? Neem eens contact met ons op!