De Apache Log4j kwetsbaarheid uitgelegd

Ernstig beveiligingsrisico in Log4j

Beveiliging

Recent is er een kwetsbaarheid gevonden in de Apache Log4j tool. Log4j is een opensource Java-logtool die door veel verschillende applicaties wordt gebruikt. De kwetsbaarheid kan potentieel grote schade aanrichten bij organisaties. Daarom is het belangrijk om direct de laatste update van Log4j (v2.15.0) te installeren. Wij leggen hier uit wat de Log4j kwetsbaarheid precies is.

Inhoudsopgave

Wat is Apache?

Apache is een opensource webserver waar in 2018 ongeveer 23% van alle websites gebruik van maakte. Veel WordPress websites draaien bijvoorbeeld op de technologie van Apache Software Foundation. Het is eigenlijk de basistechnologie waar veel van deze websites draaien. Apache wordt vaak in combinatie gebruikt met verschillende databases, scripttalen en programmeertalen. Log4j is een onderdeel van de Apache Logging Services die door veel verschillende applicaties wordt gebruikt.

Wat doet Log4j precies?

Bijna elke applicatie maakt verschillende logbestanden aan, waarmee informatie over het gebruik van een applicatie wordt opgeslagen. Deze informatie kan voor ontwikkelaars relevant zijn om bijvoorbeeld fouten uit de applicaties te halen. Log4j is zo’n tool van Apache dat het mogelijk maakt om logbestanden aan te maken. Deze logbestanden zijn in de basis handige informatie voor ontwikkelaars om producten en diensten te verbeteren. Log4j wordt in veel verschillende applicaties gebruikt, zoals bijvoorbeeld Netflix en McAfee.

Welke kwetsbaarheid zit er in Log4j?

Log4j is dus een stukje software dat verschillende logbestanden aanmaakt om gegevens te noteren. De bedoeling van dit stukje software is om logbestanden op te slaan of te verzenden naar een andere server. In het geval van Log4j kunnen er verschillende functies worden gebruikt voordat dit logbestand wordt gecreëerd. Denk dan aan bijvoorbeeld een functie die de huidige datum meegeeft aan het logbestand, zodat je weet wanneer deze is aangemaakt.

In Log4j zijn er dus verschillende van deze functies die kunnen worden aangeroepen voordat een logbestand wordt gecreëerd. De kwetsbaarheid zit hem nu in een van deze functies. Het is voor kwaadwillende mogelijk om te verwijzen naar een externe website. Deze website kan kwaadaardige software bevatten die automatisch door Log4j wordt uitgevoerd. Deze kwetsbaarheid is erg gemakkelijk te misbruiken door kwaadwillende, waardoor het door Apache is beoordeeld als een kritiek beveiligingsrisico.

Volgens het cybersecuritybedrijf Sophos is het al een aantal cybercriminelen gelukt om ransomware te installeren bij hun doelwitten. Dit betekent dat organisaties getroffen kunnen worden en dat er losgeld kan worden geëist.

Welke acties moeten er worden ondernomen?

Apache heeft inmiddels een update voor de Log4j tool uitgebracht (v2.15.0). Deze update lost de kwetsbaarheid op en is cruciaal om te installeren. Vraag naar je huidige IT-partij om deze updates direct te installeren, omdat de kans op misbruik op korte termijn groot kan zijn. Deze kwetsbaarheid wordt namelijk door het Nederlandse Nationaal Cyber Security Centrum (NCSC) bestempeld als een hoog risico.

Opmerking

 Bij OfficeGrip hebben wij de nieuwste Log4j update geïnstalleerd voor onze klanten. Wij inventarissen of deze kwetsbaarheid daadwerkelijk is misbruikt en nemen indien nodig contact op met onze partners.

Download het gratis eBook:

Zero Trust: Een nieuw beveiligingstijdperk

Zero-Trust-een-nieuw-beveiligings-tijdperk-3

eBook aanvragen

Meer lezen

Met Microsoft Copilot hoef je niet te kiezen
Copilot

OpenAI of Anthropic? Met Microsoft Copilot hoef je niet te kiezen

Je hoeft in de praktijk niet meer te denken in “OpenAI of Anthropic”, want Microsoft Copilot blijft draaien op de nieuwste modellen van OpenAI en breidt tegelijk uit met modellen van Anthropic (modelkeuze). Daarmee wordt Copilot steeds meer een multi-model werkplatform: je benut AI binnen je Microsoft 365-werkomgeving, in plaats van dat je voor verschillende taken steeds naar andere omgevingen of tools hoeft uit te wijken.

Microsoft laat bovendien zien dat het die uitbreiding actief doorzet: op 16 april 2026 is bijvoorbeeld Anthropic Claude Opus 4.7 toegevoegd in Microsoft Copilot, beschikbaar in Copilot Cowork en Copilot Studio, met uitrol richting Copilot in Excel. Voor organisaties die zelf agents en prompts bouwen is die modelkeuze ook praktisch toepasbaar via Copilot Studio, waar je in de prompt builder het model en instellingen kunt aanpassen. Daarbij hoort wel één transparante governance-noot: Microsoft benoemt dat Anthropic-modellen buiten Microsoft-managed omgevingen worden gehost en onder Anthropic-voorwaarden/data handling vallen- dus zet dit bewust aan en neem het mee in je beleid.

Lees meer...
april 24, 2026 Geen reacties
Cyberbeveiligingswet
Achtergrond

Cyberbeveiligingswet stap dichterbij

De Cyberbeveiligingswet is op 15 april 2026 aangenomen door de Tweede Kamer en ligt nu bij de Eerste Kamer. De wet is nog niet formeel in werking getreden, maar de overheid stuurt nog steeds op invoering in het tweede kwartaal van 2026. Voor organisaties betekent dit dat afwachten niet verstandig meer is: wie mogelijk onder de wet valt, of levert aan organisaties die eronder vallen, doet er goed aan nu te starten met het in kaart brengen van risico’s, verantwoordelijkheden en benodigde maatregelen. Zodra de wet ingaat, moeten betrokken organisaties direct kunnen voldoen aan verplichtingen zoals zorgplicht, meldplicht en registratieplicht.

Lees meer...
april 16, 2026 Geen reacties

ADRES

Blauwhekken 5b
4751 XD Oud Gastel

CONTACT

CUSTOMER CARE

LINKS

Building Our Future - Your.Cloud - White
ISO-27001