Log4j kwetsbaarheid en reactie van Elementon

Afgelopen zaterdag (11 december 2021) maakte het NCSC een kwetsbaarheid bekend in het veelgebruikte Log4j. Deze heeft geen gevolgen de producten van Elementon, waaronder Hosting, kerkwebsite, zaaksite, clubsite en maatwerk webdevelopment. In dit bericht een korte samenvatting en uitleg naar aanleiding van vragen.

Dec 14, 2021 17:34

Elementon werkt met persoonsgegevens en beheert persoonsgegevens voor klanten. Het kan hier gaan om hosting of om diensten zoals zaaksite, clubsite en kerkwebsite. Het is voor Elementon gebruikelijk om bij security events een analyse te doen van de kwetsbaarheid van producten en systemen van Elementon en klanten van Elementon. Omdat Elementon goede backups heeft en systemen gemakkelijk opnieuw kan opbouwen is downtime een minder groot risico. Er wordt om die reden bij security events in eerste plaats aandacht besteed aan de veiligheid van persoonsgegevens.

In de veelgebruikte Java library Log4j is een beveiligingslek geconstateerd. Deze library word in veel software gebruikt voor het wegschrijven van logbestanden. De kwetsbaarheid van Log4j heeft geen gevolgen voor de betrouwbaarheid van de diensten die Elementon levert. Hieronder een korte analyse per dienst van Elementon.

Maatwerk websiteontwikkeling. De maatwerk ontwikkeling van Elementon wordt vrijwel uitsluitend uitgevoerd in PHP en is dus niet gevoelig voor het beveiligingsprobleem in Log4j. De websites van alle klanten die gebruik maken van Elementon updates en doorontwikkeling zijn geïnventariseerd voor de Log4j gevoeligheid, dit was eenvoudig, al deze websites gebruiken PHP.
Hosting Het hosting platform van Elementon, D2host, maakt geen gebruik van software waarin Log4j gebruikt word. Log4j is een java library en Elementon hosting maakt in het algemeen al erg weinig gebruik van Java.
Kerkwebsite. Kerkwebsite werkt met gevoelige persoonsgegevens en werd dus als eerste gecontroleerd. Voor de hosting van kerkwebsite wordt D2host gebruikt, deze is dus niet gevoelig voor Log4j. De kerkwebsite webapplicatie maakt net als Elementon maatwerk geen gebruik van Java en dus ook niet van Log4j.
Zaaksite. Zaaksite is qua opzet identiek aan kerkwebsite.
Clubsite. Clubsite is qua opzet identiek aan kerkwebsite.

Op het moment ziet Elementon dus geen reden om in te grijpen in de dienstverlening, de verwachting is ook niet dat dit nodig zal zijn. Heb je vragen over de Log4j kwetsbaarheid in de Elementon dienstverlening neem dan contact op.

Het is voor Elementon niet gebruikelijk om te reageren op separate security events. Vanwege de grote aandacht voor en verstrekkende gevolgen van de Log4j kwetsbaarheid en vragen die gesteld zijn door klanten is besloten om in dit geval een korte uitleg te publiceren.

Tijdlijn

Dinsdag 14 December. Naar aanleiding van gestelde vragen wordt een korte uitleg per dienst van Elementon beschikbaar gesteld.
Maandag 13 December. Op basis van tooling die onderhand beschikbaar is gekomen doet Elementon een uitgebreidere analyse, met name in de D2hosting infrastructuur, en stelt vast dat er geen reden is tot verder ingrijpen.
Zaterdag 11 December. Elementon doet eerste analyse en stelt vast dat geen Elementon diensten geraakt worden door de Log4j kwetsbaarheid.
Zaterdag 11 December. NCSC maakt bekend dat er een kwetsbaarheid is in Log4j en begint met het bijhouden van veelgebruikte software die hierdoor geraakt word.

Relevante links

Uitleg NCSC: https://www.ncsc.nl/actueel/nieuws/2021/december/10/ernstige-kwetsbaarheid-in-apache-log4j
Beveiligingsadvies NCSC: https://www.ncsc.nl/actueel/advisory?id=NCSC-2021-1052
Overzicht met geraakte software en te nemen stappen: https://github.com/NCSC-NL/log4shell/tree/main/software