- Open administratie
Miquel Estapé, nieuwe directeur van het AOC
Op 10 december werd een kwetsbaarheid in de Apache Java-registerbibliotheek openbaar gemaakt 'Log4j 2', een tool ontwikkeld door de Apache Foundation die softwareontwikkelaars helpt bij het schrijven van logberichten die tot doel hebben een bepaalde transactie tijdens runtime vast te leggen. Bovendien kunt u met Log4j berichten filteren op basis van belangrijkheid.
'Log4j 2' is een veelgebruikt logsysteem dat wordt gebruikt door ontwikkelaars van web- en servertoepassingen op basis van Java en andere programmeertalen. Bijgevolg de kwetsbaarheid Het is van invloed op een breed scala aan services en applicaties, waaronder bedrijfsapplicaties en cloudservices.
Het gevaar dat deze kwetsbaarheid met zich meebrengt, is dat a aanvaller kan ontploffen-la door schadelijke code te verzenden die uiteindelijk door Log4j wordt gelogd en de aanvaller toegang geeft tot het systeem, wat zal in staat zijn om code op afstand uit te voeren.
Acties
Op dezelfde dag, 10 december, heeft het CCN-CERT een waarschuwing afgegeven met een indicator van kritiek gevaarsniveau, nadat de kwetsbaarheid bekend werd toen deze op 9 december door een cybersecurity-ingenieur op github werd gemeld, met verschillende golven van aanbevelingen op 10 en 13 december.
Om de verificatie-, inperkings- en uitroeiingsmaatregelen te nemen die passend worden geacht, doet het Catalaanse Agentschap voor cyberbeveiliging een reeks aanbevelingen die zijn opgenomen in de Cyberbeveiligingsbulletin "Log4J-kwetsbaarheden".
De SGAD heeft, met betrekking tot zijn eigen systemen, getroffen systemen en applicaties geïdentificeerd en om mitigerende maatregelen te nemen die updates en configuratie-aanpassingen prioriteit geven. De SGAD heeft contact opgenomen met de COCS-CDTIC-contacten en verzocht om de toepassing van de aanbevelingen van CCN-CERT om de kwetsbaarheid te verminderen en om de SGAD te informeren over de ondernomen acties.