In dit artikel schetsen we het probleem en geven we aan wat scholen kunnen doen.  

Wat is het probleem? 

De java logtool Log4j is een veelgebruikte tool. Deze tool helpt met logging-analyse en verwerkt sommige onderdelen van de logging. Eén van de manieren waarop Log4j de logging verwerkt was niet goed dicht getimmerd. Hierdoor kon een aanvaller een willekeurige code uitvoeren of klaar zetten voor later gebruik. 

verbeelding van digitale veiligheid met hangslot
© ISTOCK

Inmiddels is er een patch beschikbaar die het probleem met Log4j verhelpt en hebben veel leveranciers hun producten voorzien van de benodigde updates. De kwetsbaarheden zijn in kaart gebracht en verschillende organisaties hebben adviezen uitgebracht en stappenplannen beschikbaar gesteld over hoe om te gaan met de situatie.

Wie is er aan zet? 

Leveranciers van systemen waarin de Log4j tool gebruikt wordt moeten aanpassingen doen in hun systemen (patching) om de kwetsbaarheid te verhelpen. Daarnaast moeten leveranciers controleren of er geen misbruik is gemaakt van systemen die kwetsbaar zijn geweest. Kennisnet houdt een lijst bij van gecontroleerde onderwijsspecifieke systemen. We hebben hiervoor een uitvraag naar brancheorganisaties in het onderwijs uitgestuurd. 

U kunt zelf contact opnemen met uw netwerkleverancier om er zeker van te zijn dat deze voldoende aandacht heeft voor uw situatie en dat deze uw netwerk scant. Als u zelf uw netwerk beheert, voer dan een test uit om te zien of Log4J in uw netwerk wordt gebruikt. Het NCSC heeft een lijst met scansoftware gepubliceerd. Voor een volledige lijst van adviezen verwijzen we naar de pagina van het NCSC. Mbo-instellingen kunnen voor meer informatie terecht bij SURFcert.

En zoals altijd is het belangrijk om updates van software zo snel mogelijk te installeren. 

Lijst met onderwijsspecifieke leveranciers 

Naast de lijst die het NCSC publiceert op github, bouwen wij met onder andere de brancheverenigingen GEU, KBb-E en VDOD een lijst op van onderwijsspecifieke leveranciers. Hier kunt u controleren of de leverancier van de toepassingen die u gebruikt hun toepassingen op het Log4j risico hebben gecontroleerd en waar nodig maatregelen hebben genomen. Deze lijst is ook onderaan deze pagina te vinden en wordt regelmatig geupdatet.

Disclaimer: Kennisnet heeft zelf geen check gedaan op het gebruik van Log4J of patching bij leveranciers. De informatie is gebaseerd op informatie van het NCSC en van zelfverklaring van de leverancier. 

Toekomst 

Een dergelijke grootschalige kwetsbaarheid in deze vorm is nieuw voor het funderend onderwijs. Waar het mbo en ho bij SURFcert terecht kunnen voor het delen van informatie en ondersteuning, is dit nog niet ingeregeld voor het funderend onderwijs. Kennisnet, SIVON, PO-Raad, VO-raad en het ministerie van OCW werken samen om in 2022 ook voor het funderend onderwijs het delen van kwetsbaarheden en inrichten van incidentenresponse goed te organiseren in een CERT. 

Verantwoording 

Voor deze pagina is gebruik gemaakt van informatie en teksten van NCSCSURFZ-CERT. Wilt u meer weten, bezoek dan ook deze pagina’s. Als er meer informatie beschikbaar is, houden we u via deze pagina op de hoogte. 

Diensten van Kennisnet 

Alle diensten van Kennisnet worden altijd zo snel mogelijk gecontroleerd als er nieuwe kwetsbaarheden bekend worden en bijgewerkt als er beveiligingsupdates worden vrijgegeven. Ook voor deze kwetsbaarheid zijn vorige week, direct na het ontvangen van de informatie, passende maatregelen genomen. 

Deel deze pagina: Kwetsbaarheid Log4J heeft ook gevolgen voor funderend onderwijs en mbo

Delen
  • LinkedIn
  • Facebook
  • Twitter
  • E-mail