Log4Shell een jaar later: lessen voor de volgende code rood

21 december 2022 | IB&P | nieuwsberichten, informatie, informatiebeveiliging (nieuws)

Op 14 december 2021 publiceerden Fox IT en NCC Group een blogpost over Log4Shell, code CVE-2021-44228. Het is nu een jaar later, een geschikt moment om terug te kijken. Wat hebben we goed gedaan en wat kunnen we de volgende keer beter doen?

Log4Shell was een schoolvoorbeeld van een code rood scenario: het benutten ervan was makkelijk, de software werd op grote schaal gebruikt in allerlei toepassingen die toegankelijk waren vanaf het internet, patches waren nog niet beschikbaar en een succesvolle aanval zou resulteren in de mogelijkheid op afstand code uit te voeren. Tot overmaat van ramp liepen de adviezen in de eerste uren van het incident sterk uiteen, met als gevolg tegenstrijdige informatie over welke producten waren getroffen.

We kijken nu terug naar hoe we het Log4Shell-probleem in het begin hebben aangepakt. Maar ook welke lessen we hebben geleerd, voor als er weer zoiets gebeurt. Het tweede deel van deze blog gaat over de rest van het jaar, waarin we zijn benaderd door allerlei verschillende organisaties die via Log4Shell zijn aangevallen. Die gevallen hebben we onderzocht en we hebben daar de nodige conclusies uit getrokken.

Quick wins

Tijdens het Log4Shell-incident was onze primaire doelstelling onze klanten veilig te houden door gecompromitteerde systemen snel en effectief te identificeren. Toen we ons bewust werden van een proof-of-concept waarmee aanvallers Log4Shell gemakkelijk konden exploiteren, was ons eerste aandachtspunt het verkrijgen van zichtbaarheid. Maatregelen om de zichtbaarheid te vergroten, zullen bovendien vaak helpen bij de rest van de respons. Een van de eerste dingen die we deden was het toevoegen van detectie voor exploitatiepogingen. We waren vervolgens in staat om een lijst van zeer betrouwbare Indicators of Compromise (IOC s) op te stellen en deze te gebruiken als input voor de jacht op noodsituaties.

Maar die emergency threat hunting -aanpak was niet waterdicht. Het zijn quick wins die ons de broodnodige tijd gaven om dieper in de kwetsbaarheid te duiken en te onderzoeken hoe die het beste kon worden opgespoord. We wilden echter in staat zijn om in real time mislukte exploitatiepogingen te onderscheiden van succesvolle. Onderzoek hiernaar kostte tijd, maar binnen een dag hadden we onze detectie van real-time exploitatie werkend.

Verder lezen bij de bron

Over
Laatste berichten

IB&P

Kennisdeler bij IB&P

Vanuit IB&P houden we je graag op de hoogte van het laatste nieuws op het gebied van informatiebeveiliging en privacy. We plaatsen iedere werkdag gemiddeld twee nieuwsberichten en bundelen deze elke week in een mooi overzicht.

Laatste berichten van IB&P (alles zien)

Nieuwe blauwdruk helpt organisaties data betrouwbaar te delen - 18 februari 2026
Overheid wist bijtijds van verkoop Solvinity (DigiD), verzuimde in te grijpen - 18 februari 2026
Tien gemeenten beboet voor illegaal verwerken van informatie over islamitische mensen - 17 februari 2026

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Ransomware bij een leverancier – waarom wachten geen strategie is

Een ransomware-incident bij een leverancier kan de gemeentelijke dienstverlening direct raken, juist omdat overzicht, contractmanagement en voorbereiding vaak onvoldoende zijn ingericht. Door inzicht te hebben in leveranciers, duidelijke afspraken te maken en ook organisatorisch na te denken over handelingsperspectief, voorkom je dat de gemeente bij een incident in een afwachtende slachtofferrol belandt.

Verder lezen

Onzichtbare AI in systemen: privacyrisico’s voor gemeenten

In deze blog leggen we uit hoe AI ongemerkt gemeentelijke software binnendringt, waarom dit een privacyrisico vormt en hoe je hier als gemeente grip op houdt.

Verder lezen

Het belang van de Management Review binnen het ISMS

Een ISMS is geen tool die je even aanzet en afvinkt. Het is een continu proces waarin je risico’s beheerst, maatregelen borgt en blijft verbeteren. En in dat proces is één moment echt cruciaal: de management review. In deze blog leg ik uit wat dit inhoudt, waarom het zo belangrijk is en hoe je het als gemeente maximaal benut.

Verder lezen

Iedere maandag het nieuwsoverzicht om 09:00 in je mailbox? Abonneer je hier

Meer recente berichten

Nieuwe blauwdruk helpt organisaties data betrouwbaar te delen	18 februari 2026 \| IB&P \| nieuwsberichten, opinie, privacy (nieuws)	Verder lezen
Overheid wist bijtijds van verkoop Solvinity (DigiD), verzuimde in te grijpen	18 februari 2026 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Tien gemeenten beboet voor illegaal verwerken van informatie over islamitische mensen	17 februari 2026 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Belgisch ziekenhuis heeft na ransomware-aanval weer toegang tot patiëntendossiers	17 februari 2026 \| IB&P \| informatie, informatiebeveiliging (nieuws), nieuwsberichten	Verder lezen
Gemeenten kunnen weinig doen tegen slimme deurbellen, zegt VNG	16 februari 2026 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Bevolkingsonderzoek hervat samenwerking gehackt Clinical Diagnostics	16 februari 2026 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
De AVG in de praktijk: regels en verplichtingen	13 februari 2026 \| IB&P \| privacy (nieuws), nieuwsberichten, informatie	Verder lezen
Vrouwen langer in onzekerheid door vertraging bevolkingsonderzoek	13 februari 2026 \| IB&P \| nieuwsberichten, informatie, informatiebeveiliging (nieuws)	Verder lezen
Datalek bij Autoriteit Persoonsgevens	12 februari 2026 \| IB&P \| nieuwsberichten, informatie, privacy (nieuws)	Verder lezen
Storing bij atoomklok NIST legt risico’s tijdsservers bloot	12 februari 2026 \| IB&P \| nieuwsberichten, opinie, informatiebeveiliging (nieuws)	Verder lezen