Een beveiligingslek in software in het algemene nieuws. Dan moet er wel wat aan de hand zijn! Inderdaad als dit soort berichten het algemene nieuws haalt is er sprake van serieuze problemen die aandacht verdienen. Seecr heeft ook meteen onderzoek gedaan naar wat de mogelijke impact is voor onze klanten en diensten.
Wat is Log4Shell?
Logging van gegevens is het opslaan van data over het gebruik van een software systeem met als doel achteraf kunnen terugvinden hoe het is gebruikt. Een veelgebruikte library (gedeeld software component) is Log4J, deze wordt gebruikt in veel softwarepakketten. In deze Log4J software is een fout ontdekt die mogelijk kan leiden tot inbreuk van buitenaf in het systeem. Deze bug heeft de naam Log4Shell gekregen omdat het toegang kan verschaffen tot een ander systeem. De combinatie van inbreuk en het wijd verspreid gebruik hiervan leidt terecht tot aandacht in het nieuws.
Dit is een zeer beknopte weergave van Log4Shell, er valt meer te lezen op de site van Nationaal Cyber Security Center.
Impact
Door het wijdverbreide gebruik van Log4J is de impact groot. In ons dagelijks leven gebruiken we veel apparaten met software, telefoons, tablets, computers, maar ook slimme thermostaten of verlichting. Op hun beurt zijn die ook weer afhankelijk van cloud diensten. Zowel op apparaten als in gebruikte diensten kan deze kwetsbaarheid optreden. In een analyse heeft Seecr gekeken naar de eigen software en diensten, en naar mogelijke impact van extern.
Uit onze analyse bleek dat de meeste van onze diensten geen gebruik maken van Log4J. Het merendeel van onze software is geschreven in Python. We maken ook gebruik van Java voor onze zoekdiensten die is gebaseerd op Lucene, ook daar maken we geen gebruik van Log4J. Voor één dienst maken we gebruik van Neo4J waarin Log4J als library wordt gebruikt, echter in de configuratie staat de logging uit. Inmiddels is er ook voor dit pakket een nieuwe versie met beveiligingsupdate geïnstalleerd.
Conclusie
De software en diensten van Seecr lopen geen direct gevaar door deze ontdekte bug. We schatten in de dat de impact van verstoring door gebruikte andere diensten zeer beperkt is. We streven in ons werk ernaar dat de focus voor u ligt op data en wat er mee gedaan kan worden en niet op toolchains. Zoals wel blijkt uit deze kwetsbaarheid is aandacht voor de tools wel degelijk belangrijk, dat is wat u van ons ook kunt verwachten. Wil je meer weten over hoe we je kunnen helpen?