Skip to main content

Moet ik mijn modem updaten om de Apache log4j v2 kwetsbaarheid van 9 december te mitigeren? Zo ja, hoe doe ik dat?

Persoonlijk vind ik dit een nogal verontrustend antwoord. De formulering suggereert dat de Experia/KPN Box en/of andere apparatuur van KPN wel de kwetsbaarheid bevat en alleen dat is al reden genoeg om daar helder en duidelijk over te communiceren. Als je schrijft dat er tot dusver geen misbruik aangetoond is, dan suggereer je daarmee dat dat wel mogelijk had kunnen zijn en dat de kwetsbaarheid dus aanwezig is. Als dat zo is dan ben ik van mening dat wij als abonnee recht hebben om dat te weten opdat wij passende maatregelen kunnen treffen.

Hier ben ik het volledig mee eens. Dit antwoord van KPN lijkt ook af te wijken van de melding door Thomas. 
Dus KPN: geef zekerheid en zorg voor een fatsoenlijk en duidelijk antwoord en uiteraard voor een snelle oplossing. Het argument dat KPN ‘kwaadwillenden’ nu niet wijzer wil maken is een drogreden. Dat zou impliceren dat deze ‘kwaadwillenden’ nu nog niet op de hoogte zouden zijn van kwetsbaarheden in apparatuur van KPN. Nou KPN, ik denk dat dit zeer zeker nu al wel het geval is. Daar helpen jullie uitlatingen niets meer aan!


Persoonlijk vind ik dit een nogal verontrustend antwoord. De formulering suggereert dat de Experia/KPN Box en/of andere apparatuur van KPN wel de kwetsbaarheid bevat en alleen dat is al reden genoeg om daar helder en duidelijk over te communiceren. Als je schrijft dat er tot dusver geen misbruik aangetoond is, dan suggereer je daarmee dat dat wel mogelijk had kunnen zijn en dat de kwetsbaarheid dus aanwezig is. Als dat zo is dan ben ik van mening dat wij als abonnee recht hebben om dat te weten opdat wij passende maatregelen kunnen treffen.

Ik suggereer niets. Ik heb er alle vertrouwen in dat KPN momenteel al het nodige doet om ervoor te zorgen dat klanten veilig gebruik kunnen blijven maken van onze diensten. 

Toch kan ik niet anders dan lezen dat op bepaalde apparatuur van KPN de log4j2 kwetsbaarheid van toepassing is. Je wilt het dan wellicht niet suggereren maar de formulering in jouw eerdere bericht doet dit mijns inziens wel. Naar aanleiding van jouw bericht zou ik zelfs geneigd zijn om apparatuur van KPN los te koppelen zolang geen helderheid verschaft is. Gelukkig heb ik alleen TV ontvangers van KPN en die staan bij mij op een apart vlan achter mijn EdgeRouter zodat vanuit die kwetsbaarheid mijn andere (belangrijke) apparatuur in ieder geval niet benaderd kan worden.

Nogmaals, mocht het zo zijn dat de log4j2 kwetsbaarheid voor een apparaat van KPN van toepassing is, meldt dat dan!!!


“We doen over specifieke apparatuur geen concrete uitspraken” behalve dan dat je hierboven een concrete uitspraak doet over modems. Typisch


Ik vermoed een beetje dat de firmware van de routers en versterkers allemaal door externe partijen ontwikkeld word. Zodoende heeft KPN er helemaal geen weet van of het er in zit. Dat moet KPN ook vragen aan deze partijen. Dat kost tijd. 


Sinds de kwetsbaarheid is ontdekt, volgen we het advies van het Nationaal Cyber Security Centrum (NCSC) op, om alle software-updates door te voeren in de Java log-tool, die wereldwijd in veel webapplicaties en IT-systemen wordt gebruikt. Tegelijkertijd hebben we een eerste analyse gemaakt op ons eigen netwerk en systemen. Deze eerste analyse heeft geen misbruik aangetoond. Dit is goed nieuws. We blijven echter 24/7 monitoren, scannen en doen diepgaander onderzoek om er zeker van te zijn dat er geen misbruik plaats heeft gevonden.

 

We begrijpen ook dat jullie als consument vragen hebben over de veiligheid. Wat betreft de kwetsbaarheid in relatie tot onze modems (zie ook eerdere posts), uit alle gemaakte analyses blijkt dat er tot dusver geen misbruik aangetoond is. Uiteraard willen we kwaadwillenden niet wijzer maken, vandaar dat we geen concrete uitspraken doen over specifieke apparatuur in relatie tot deze kwetsbaarheid. Wel kunnen we delen dat we passende maatregelen nemen en er alles aan doen om ervoor te zorgen dat al onze klanten veilig gebruik kunnen blijven maken van onze diensten.

En dit is gemarkeerd als “Antwoord”??

Sjeeezzz, reageer dan niet!

Wat een tenenkrommend ongelofelijk slecht verhaal.

Tranen trekkend. 

Ik verwacht van een moderator een technisch en inhoudelijk antwoord.

Echt…. :zipper_mouth::nauseated_face::thumbsdown:


Dit is voor nu de informatie die wij als moderators hebben. Meer weet ik gewoon niet. Mocht ons extra informatie bereiken of wat dan ook dan zullen wij dat delen.