Kwetsbaarheid Log4J heeft ook gevolgen voor funderend onderwijs en mbo

In dit artikel schetsen we het probleem en geven we aan wat scholen kunnen doen.

Wat is het probleem?

De java logtool Log4j is een veelgebruikte tool. Deze tool helpt met logging-analyse en verwerkt sommige onderdelen van de logging. Eén van de manieren waarop Log4j de logging verwerkt was niet goed dicht getimmerd. Hierdoor kon een aanvaller een willekeurige code uitvoeren of klaar zetten voor later gebruik. 

verbeelding van digitale veiligheid met hangslot — © ISTOCK

Inmiddels is er een patch beschikbaar die het probleem met Log4j verhelpt en hebben veel leveranciers hun producten voorzien van de benodigde updates. De kwetsbaarheden zijn in kaart gebracht en verschillende organisaties hebben adviezen uitgebracht en stappenplannen beschikbaar gesteld over hoe om te gaan met de situatie.

Wie is er aan zet?

Leveranciers van systemen waarin de Log4j-tool gebruikt wordt moeten aanpassingen doen in hun systemen (patching) om de kwetsbaarheid te verhelpen. Daarnaast moeten leveranciers controleren of er geen misbruik is gemaakt van systemen die kwetsbaar zijn geweest. Kennisnet houdt een lijst bij van gecontroleerde onderwijsspecifieke systemen. We hebben hiervoor een uitvraag naar brancheorganisaties in het onderwijs uitgestuurd. 

U kunt zelf contact opnemen met uw netwerkleverancier om er zeker van te zijn dat deze voldoende aandacht heeft voor uw situatie en dat deze uw netwerk scant. Als u zelf uw netwerk beheert, voer dan een test uit om te zien of Log4J in uw netwerk wordt gebruikt. Het NCSC heeft een lijst met scansoftware gepubliceerd. Voor een volledige lijst van adviezen verwijzen we naar de pagina van het NCSC. Mbo-instellingen kunnen voor meer informatie terecht bij SURFcert.

En zoals altijd is het belangrijk om updates van software zo snel mogelijk te installeren.

Een incident … wat nu?

Wanneer u te maken krijgt met een situatie die u niet vertrouwt, volg dan de onderstaande stappen.

Blijf kalm. Neem de tijd om te bepalen wat u gaat doen en voorkom overhaaste acties die eventuele schade groter kunnen maken.
Maak een logboek waarin u alle acties en activiteiten vastlegt. Dat is belangrijk om de situatie later goed te kunnen beoordelen.
Analyseer wat er precies aan de hand is. Zijn er bijvoorbeeld bestanden verdwenen of geblokkeerd, kan er niet meer ingelogd worden in bepaalde systemen of werken computers of laptops niet meer naar behoren?
Bepaal de omvang van de situatie. Ga na hoeveel mensen geraakt worden door de situatie. Gaat het om één gebruiker of een grote groep gebruikers? Gaat het om één systeem of meerdere systemen?
Neem contact op met uw ict-afdeling, ict-beheerpartij of met de helpdesk van het systeem dat niet goed functioneert en deel de informatie die u heeft verzameld. Misschien is er een logische verklaring voor de situatie die zich voordoet, zoals een algemene storing of ongepland onderhoud.
Wanneer u een probleem ervaart met een toepassing die onder beheer van de school valt, zorg er dan voor dat de toepassing of de server waar deze op draait geen contact meer kan maken met het netwerk en internet. Zet de toepassing of server niet uit om het verlies van data te voorkomen en bepaal in overleg met een deskundige wat verder verstandig is om te doen.

Als u na deze stappen de situatie nog steeds niet vertrouwt en vermoedt dat u het slachtoffer bent van een cybersecurity-incident neem dan contact op met Kennisnet via support(vervang deze tekst met @ teken)kennisnet.nl of
0800 321 22 33. Wij proberen u dan zo goed mogelijk te ondersteunen om eventuele schade te beperken.

Lijst met onderwijsspecifieke leveranciers

Naast de lijst die het NCSC publiceert op github, bouwen wij met onder andere de brancheverenigingen GEU, KBb-E en VDOD een lijst op van onderwijsspecifieke leveranciers. Hier kunt u controleren of de leverancier van de toepassingen die u gebruikt hun toepassingen op het Log4j risico hebben gecontroleerd en waar nodig maatregelen hebben genomen. Deze lijst is ook onderaan deze pagina te vinden en wordt regelmatig geupdatet.

Disclaimer: Kennisnet heeft zelf geen check gedaan op het gebruik van Log4J of patching bij leveranciers. De informatie is gebaseerd op informatie van het NCSC en van zelfverklaring van de leverancier.

Toekomst

Een dergelijke grootschalige kwetsbaarheid in deze vorm is nieuw voor het funderend onderwijs. Waar het mbo en ho bij SURFcert terecht kunnen voor het delen van informatie en ondersteuning, is dit nog niet ingeregeld voor het funderend onderwijs. Kennisnet, SIVON, PO-Raad, VO-raad en het ministerie van OCW werken samen om in 2022 ook voor het funderend onderwijs het delen van kwetsbaarheden en inrichten van incidentenresponse goed te organiseren in een CERT.

Verantwoording

Voor deze pagina is gebruik gemaakt van informatie en teksten van NCSC, SURF, Z-CERT. Wilt u meer weten, bezoek dan ook deze pagina’s. Als er meer informatie beschikbaar is, houden we u via deze pagina op de hoogte.

Diensten van Kennisnet

Alle diensten van Kennisnet worden altijd zo snel mogelijk gecontroleerd als er nieuwe kwetsbaarheden bekend worden en bijgewerkt als er beveiligingsupdates worden vrijgegeven. Ook voor deze kwetsbaarheid zijn vorige week, direct na het ontvangen van de informatie, passende maatregelen genomen.

Overzichtslijst status leveranciers Log4J PDF 81 KB downloaden