Er bevindt een kritieke kwetsbaarheid in de opensourcetool Apache Log4j 2. Deze kwetsbaarheid is zeer ernstig en vormt wereldwijd een probleem voor veel organisaties. Ook het funderend onderwijs en mbo kunnen hierdoor geraakt worden omdat het een veelgebruikte tool is door softwareleveranciers.
Wat is Log4J?
Log4j staat voor Log for Java en is de benaming van een logboekprogramma dat gebruikt wordt in Java-applicaties. Het registreert de input van gebruikers en is aanwezig in een grote hoeveelheid webapplicaties. Voor meer informatie over wat Log4J precies is, lees het artikel van het Digital Trust Center.
Op welke manier is Log4j nu kwetsbaar?
In een aantal versies is het mogelijk voor kwaadwillenden om codes toe te voegen aan Log4J. Dit geeft de mogelijkheid om onder andere aanvallen op te zetten op schoolnetwerken of bij andere educatieve dienstverleners. Ook is het mogelijk dat er via deze kwetsbaarheid gevoelige informatie van educatieve dienstverleners en scholen in handen komen van onbevoegden.
Voor meer informatie over de manier waarop kwaadwillende misbruik maken van dergelijke kwetsbaarheden, zie de informatie over ransomware van het Nationaal Cyber Security Centrum (NCSC).
Heeft er al dergelijk misbruik plaats gevonden?
Er is misbruik van deze kwetsbaarheid geconstateerd, binnen Nederland en in het buitenland. Hierbij wordt bijvoorbeeld een achterdeur geïnstalleerd in de software of malware uitgerold. Systemen kunnen zo misbruikt worden voor cryptomining of onderdeel worden van een botnet.
Het Dutch Institute for Vulnerability Disclosure (DIVD) voert brede kwetsbaarheidsscans uit en waarschuwt ook organisaties. Het Digital Trust Center van de Rijksoverheid onderhoudt contacten met het DIVD. Voor nieuws over de uitkomsten van deze scans, volg de nieuwspagina van het Digital Trust Center.
Hoe kan ik achterhalen of mijn school kwetsbaar is voor Log4j?
Om duidelijk te krijgen of uw school kwetsbaar is, kunt u deze stappen zetten:
- Wees u ervan bewust dat het niet altijd zo is dat de aanval van buitenaf ontstaat. Het afsluiten van de internetverbinding is niet in alle gevallen afdoende.
- Controleer of de systemen en applicaties die u gebruikt kwetsbaar zijn (geweest). Gebruik hiervoor onze lijst van onderwijsspecifieke leveranciers (pdf) of de lijst van het NCSC op Github.
- Controleer voor kwetsbare systemen of uw softwareleverancier een patch gereed heeft staan. Indien dit het geval is, voer de benodigde updates uit.
- Controleer kwetsbare systemen én systemen die al gepatcht zijn op misbruik.
Gezien de kans op datalekken als gevolg van deze kwetsbaarheid, is de Autoriteit Persoonsgegevens (AP) betrokken?
De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen zodra zij een datalek hebben. Zij moeten dit melden bij de Autoriteit Persoonsgegevens (AP) en bij de individuen wie het betreft.
Een datalek kunt u melden bij de AP via het Meldloket datalekken.
In hoeverre zijn Kennisnet en de Kennisnet-diensten kwetsbaar (geweest)?
Kennisnet is niet vatbaar voor het beveiligingslek in Log4J. Al onze applicaties die publiek beschikbaar zijn maken geen gebruik van Log4j, of een versie die niet vatbaar is. Daarnaast wordt de manier waarop deze zwakheid wordt misbruikt afgevangen door onze beveiligingsprotocollen.
Bij wie kan ik terecht met vragen?
Kijk hieronder wie u kunt benaderen met vragen over:
- De impact van de Log4J-kwetsbaarheid op de diensten van Kennisnet: support(vervang deze tekst met @ teken)kennisnet.nl
- De impact van de Log4J-kwetsbaarheid op diensten die u bij andere leveranciers afneemt: de website of helpdesk van de betreffende dienstleverancier.
- De impact van de Log4J-kwetsbaarheid op niet-onderwijsgerelateerde diensten: NCSC