ICT Concept actueel

Nieuws

ICT Concept platform niet getroffen door Log4j 2 kwetsbaarheid

13/12/2021 -

Auteur: Mark Noordzij - Manager NOC & Cloud (ICT Concept)

Een nieuw ontdekte kwetsbaarheid in een wereldwijd veel gebruikt open source softwarecomponent, Apache Log4j 2, leidt momenteel tot veel onrust binnen organisaties. Log4j 2 wordt gebruikt voor het loggen van Java-applicaties. Mogelijk heeft u ook de berichtgeving over deze kwetsbaarheid gelezen en wilt u weten of uw systemen kwetsbaar zijn. Daarom informeren wij u middels deze e-mail welke stappen wij als ICT Concept nemen om risico's te mitigeren en wat u zelf kunt doen.

ICT Concept platform doorgelicht en veilig

Het cloudplatform van ICT Concept wordt net als ieder ICT-systeem opgebouwd uit vele tientallen bouwblokken. Het betreffende Log4j 2 component wordt gebruikt in een klein aantal onderdelen van onze systemen, en toen het lek bekend werd gemaakt hebben wij direct in afstemming met de betreffende leveranciers eventuele risico's kunnen afdekken met een patch.

Dit betekent dat onze systemen niet kwetsbaar zijn voor het betreffende lek, en dat onze security systemen ook in staat zijn om pogingen tot misbruik te herkennen en te blokkeren. Uit onze logs en analyses blijkt dat er geen inbreuk is gemaakt op systemen of data van klanten, en wij zullen ook actief op verdachte zaken blijven monitoren.

Risico's in softwareproducten

Bovengenoemde veiligheidsmaatregelen hebben primair betrekking op het ICT Concept cloudplatform en on premises servers die door ICT Concept beheerd worden. Op deze systemen werken naast de beheerders van ICT Concept mogelijk nog meer leveranciers, bijvoorbeeld die van uw kantoorsoftware. Met softwareleveranciers waarvan wij zelf weten dat zij gebruik maken van het getroffen component houden wij zoveel mogelijk ruggenspraak over eventueel te nemen stappen. Echter, omdat het component onderdeel is van hun software, kunnen wij als ICT Concept zelf een eventuele patch niet installeren omdat deze als onderdeel of update van de gebruikte software moet worden toegepast.

De softwareleverancier in kwestie moet dus zorgen voor een patch. Wij zullen ervoor zorgen dat elke leverancier die dit op een door ons beheert systeem moet doen, indien gewenst, volledige hulp en ondersteuning krijgt. Ondertussen zijn door ons bewaakte servers zoals beschreven wel in staat misbruik te herkennen en te blokkeren, maar de kwetsbaarheid moet hoe dan ook gerepareerd worden.

Voor wat betreft de software van onze Lexxyn Groep Partners (CClaw, NEXTmatters, NEXTassyst, FORTUNA, DMSforLegal, ContactManager, LegalWord, Xelion) kunnen wij na overleg met hen al bevestigen dat de kwetsbaarheid, voor zover nu bekend, niet op deze producten toepassing is. Ook hier zullen wij actief contact met hen over onderhouden.

Wat kunt u zelf doen?

Als u zelf het beheer van uw (on premises) servers regelt, dan adviseren wij u zo snel mogelijk de gegeven adviezen op de site van het NCSC te volgen. Omdat Log4j 2 als open source softwarecomponent zoveel gebruikt wordt is het zaak om iedere server in uw organisatie die met het internet verbonden is zo snel mogelijk te controleren, en indien nodig te patchen. Als u twijfelt of uw omgeving veilig is, dan kunt u natuurlijk altijd contact opnemen met onze Servicedesk voor verder advies.