De fleste sårbarheter som oppdages i programvare som fortsatt støttes av leverandøren, kan ganske enkelt fjernes ved å installere en sikkerhetsoppdatering. Fullt så enkelt er det ikke med Log4Shell, den mye omtalte sårbarheten som ble oppdaget i Apache Log4j-rammeverket i slutten av 2021.
Tusenvis av programvaresystemer bygger på Log4j-rammeverket, enten direkte eller indirekte gjennom andre rammeverk og biblioteker. Dette gjør at det har vært vanskelig for både utviklere og kunder å få oversikt over hvilke systemer som er berørt.
Denne manglende oversikten og konsekvensene av denne, vil kunne vare i mange år framover. Dette mener Cyber Safety Review Board, et amerikansk panel etablert av president Biden.
_logo.svg.png){kind=logo}
I minst et tiår
I en fersk rapport skriver panelet at det kjenner til at mange virksomheter ennå ikke har fått patchet sårbare Log4j-instanser. Gitt utbredelsen av Log4j vil sårbare versjoner av rammeverket forbli i systemer i hele det neste tiåret, og kanskje enda lengre, mener panelt, som skriver at vi vil se at angrepskode vil utvikles til mer effektivt å utnytte disse svakhetene.
I rapporten opplyses det samtidig at panelet ikke er kjent med noen Log4j-baserte angrep av betydning mot kritiske infrastruktursystemer. Panelet mener det generelt er noe overraskende at utnyttelse av Log4Shell-sårbarheten har vært på et lavere nivå enn det mange eksperter hadde ventet, gitt hvor alvorlig sårbarheten er. Panelet har ikke funnet noe klart svar på hvorfor dette har vært slik. Samtidig ses det ikke bort fra at det er kan være betydelige mørketall i de rapporterte tilfellene.
Log4j: Sårbarheten kan fortsatt skape problemer i årevis
