De GBA waarschuwt voor een veiligheidsrisico in het Log4j-framework

De Gegevensbeschermingsautoriteit (GBA) en het Centrum voor Cybersecurity België (CCB) wijzen op een veiligheidsrisico in het veelgebruikte Log4j-framework. De kwetsbaarheid, gecatalogeerd als CVE-2021-44228, is een niet-geauthentiseerde Remote Code Execution (RCE).

Deze kwetsbaarheid heeft ook gevolgen voor standaardconfiguraties van meerdere Apache-frameworks, waaronder Apache Struts2, Apache Solr, Apache Druid, Apache Flink, enz.

Verder hebben andere mainstream organisaties bevestigd dat hun software kwetsbaar is voor de Log4j kwetsbaarheid: Apple, Amazon, Twitter, Steam, Baidu, NetEase, Tencent, Elastic, enz.

Verwerkingsverantwoordelijken en hun verwerkers/leveranciers die het Log4j-framework gebruiken worden gevraagd om de aanbevolen acties van het CCB (CERT advisory #2021-21) door te voeren. Meer bepaald zijn alle Log4j versies van 2.0 tot en met 2.15 als kwetsbaar geïdentificeerd.

Verwerkingsverantwoordelijken dienen een integriteits- en confidentialiteitonderzoek door te voeren. Meer informatie over hoe men dit onderzoek dient te voeren is beschikbaar via deze link.

Verwerkingsverantwoordelijken die reeds een inbraak of incident hebben vastgesteld, worden aangespoord om dit te melden op de website van het CERT.

Veiligheidsincidenten die eveneens een gegevensinbreuk uitmaken dienen overeenkomstig art. 33 AVG te worden gemeld bij de Gegevensbeschermingsautoriteit.

Contactgegevens:

• CCB: info@ccb.belgium.be
• GBA: contact@apd-gba.be