Afgelopen vrijdag, 10 december, kondigde het Nationaal Cyber Security Centrum aan dat er dringend actie moet worden ondernomen naar aanleiding van de Apache Log4j-kwetsbaarheid.
Update vrijdag 17 december
Op dit moment is er geen nieuwe informatie te melden. We werken nog steeds op volle kracht aan dit issue en zullen met nieuwe informatie komen na het weekend of zodra er nieuwe informatie is. Ga naar de Customer Portal voor meer informatie over uw specifieke situatie.
We willen benadrukken dat deze Apache Log4j-kwetsbaarheid de komende periode waarschijnlijk risico's zal opleveren voor de bedrijfscontinuïteit van een aantal organisaties. Voor meer informatie verwijzen wij naar Github, de Informatiebeveiligingsdienst (in het Nederlands) en NCSC (eveneens in het Nederlands).
------------------------------------------
Update donderdag 16 december
Tot nu toe zijn er geen aanwijzingen dat de Apache Log4j-kwetsbaarheid is misbruikt in een van onze systemen of diensten.
Zoals eerder aangegeven, blijven we onze netwerkomgeving scannen en analyseren we de rapporten op mogelijke afwijkingen. Dit geldt ook voor de interne tests die we uitvoeren om kwetsbare Log4j-installaties te identificeren, waarbij we nauw samenwerken met onze integratiepartners. Als een patch nodig is, zullen wij updaten naar de laatst beschikbare versie van Apache Log4j (2.16).
We hebben een lijst van niet-kwetsbare applicaties gepubliceerd op onze Customer Portal. Deze lijst wordt regelmatig bijgewerkt met de meest recente informatie.
We helpen onze klanten proactief bij het scannen van hun eigen omgevingen op een mogelijke Apache Log4j-kwetsbaarheid. Verder organiseren we Ask me anything-sessies waarin we onze klanten op de hoogte houden. Meer informatie hierover kunnen onze klanten vinden op de Customer Portal.
We blijven er bij klanten op aandringen om contact op te nemen met hun externe leveranciers en eventuele andere integratiepartners, om de Apache Log4j-kwetsbaarheid ook te verhelpen voor toepassingen en systemen die buiten het beheer van Centric vallen.
Deze Apache Log4j-kwetsbaarheid zal de komende periode waarschijnlijk risico's opleveren voor de bedrijfscontinuïteit van een aantal organisaties. Voor meer informatie verwijzen wij naar Github, de Informatiebeveiligingsdienst (in het Nederlands) en het NCSC (eveneens in het Nederlands).
------------------------------------------
Update woensdag 15 december
Op dit moment zijn er geen aanwijzingen dat de Apache Log4j-kwetsbaarheid is misbruikt in een van onze systemen of services.
De komende tijd blijven we onze netwerkomgeving scannen en de rapporten analyseren op mogelijke afwijkingen. Dit geldt ook voor de interne tests die we uitvoeren om mogelijk kwetsbare Log4j-installaties te identificeren, waarbij we nauw samenwerken met onze integratiepartners. Als een patch nodig is, zullen we updaten naar de laatst beschikbare versie van Apache Log4j (2.16).
Omdat Apache Log4j in veel softwarecomponenten van derden wordt gebruikt, kost het enige tijd om vast te stellen of Centric-applicaties veilig te gebruiken zijn in verband met deze kwetsbaarheid. We werken er hard aan om deze informatie voor iedere applicatie beschikbaar te maken via onze Customer Portal.
Centric blijft zich inzetten voor de veiligheid van de applicaties en systemen die onder ons beheer vallen. We adviseren onze klanten om de site van Github te raadplegen en de adviezen van de Informatiebeveiligingsdienst en het NCSC op te volgen. Daarnaast raden we aan contact op te nemen met externe leveranciers en eventuele integratiepartners om deze kwetsbaarheid ook te verhelpen voor applicaties en systemen die buiten het beheer van Centric vallen.
-----------------------------------------
Update dinsdag 14 december
Zoals eerder gemeld worden alle Centric-domeinen en -omgevingen continu gemonitord en geëvalueerd door onze experts om de omgevingen en applicaties van onze klanten te beveiligen. Op dit moment hebben we scans van onze serveromgeving uitgevoerd die meer dan 4.700 verschillende serverinstallaties omvatten. Dit komt overeen met 85% van onze serveromgeving. Uit deze scans blijken op dit moment geen aanwijzingen van misbruik van de Apache Log4j-kwetsbaarheid.
50 beveiligingsadviseurs en -coördinatoren werken fulltime met onze klanten om potentiële Apache Log4j-risico's in hun omgevingen te identificeren. Deze experts brengen verslag uit over de status van iedere toepassing zodra deze duidelijk is. Tot nu toe zien we geen aanwijzingen voor exploits binnen onze systemen.
In de komende periode voltooien we de eerste scans van onze netwerkomgeving en analyseren we de rapporten op mogelijke onregelmatigheden. Daarnaast gaan we verder met interne tests om kwetsbare installaties van Apache Log4j te identificeren en werken we nauw samen met onze integratiepartners om zo nodig actie te kunnen ondernemen.
Centric gaat verder op de hierboven beschreven wijze voor de applicaties en systemen die Centric beheert of controleert. Wij adviseren onze klanten om ook zelf Github te raadplegen en de aanbevelingen van de Informatiebeveiligingsdienst en het NCSC op te volgen. Daarnaast raden we aan contact op te nemen met externe leveranciers en eventuele integratiepartners om deze kwetsbaarheid ook te verhelpen voor applicaties en systemen die buiten het beheer van Centric vallen.
------------------------------------------
Update maandag 13 december
Alle Centric-domeinen en -omgevingen worden continu gemonitord en geëvalueerd door onze experts om de omgevingen en applicaties van onze klanten te beschermen. Tot nu toe is er geen beveiligingslek gevonden. Onze klantteams en beveiligingsexperts werken nauw samen met onze klanten om de Apache Log4j-kwetsbaarheid te verhelpen.
Wij verstrekken klanten informatie over softwareleveranciers met wie zij samenwerken en adviseren hen contact op te nemen met eventuele externe leveranciers.
Daarnaast raden wij onze klanten aan om de site van Github te raadplegen en de adviezen van de Informatiebeveiligingsdienst en het NCSC op te volgen.
Klanten die vragen hebben over hun systemen worden vriendelijk verzocht contact op te nemen met Centric via hun gebruikelijke kanaal.
-------------------------------------------
Update zondag 12 december
Het team van security-experts en ontwikkelaars van Centric is direct een onderzoek gestart om Centric en zijn klanten maximaal te beschermen.
Er heeft geen inbreuk plaatsgevonden en we blijven zeer alert met geautomatiseerde monitoring van al het netwerkverkeer.
We staan in voortdurend contact met de Nederlandse overheid en de leveranciers van diverse, mogelijk getroffen softwarepakketten.
Klanten die vragen hebben over hun systemen, worden vriendelijk verzocht contact op te nemen met Centric via hun gebruikelijke kanaal.