LOG4J

Nasjonalt cybersikkerhetssenter: Forsøk på å utnytte Log4j-sårbarheten i Norge

Mange er ikke klar over at de bruker verktøyet.

Log4j-sårbarheten har flere egenskaper som gjør den ekstra alvorlig.
Log4j-sårbarheten har flere egenskaper som gjør den ekstra alvorlig. Illustrasjon: PantherMedia/Sergey Nivens
Harald BrombachHarald BrombachNyhetsleder
10. des. 2021 - 20:41

Nasjonalt cybersikkerhetssenter (NCSC) har i kveld kommet med en ny oppdatering om sårbarheten som har blitt funnet i loggverktøyet Apache Log4j, som brukes i mange ulike sammenhenger. Digi.no omtalte sårbarheten fredag formiddag

Der går det fram at det ikke har blitt sett noen vellykkede angrepsforsøk i Norge, men gjennom VDI-systemet (Varslingssystem for digital infrastruktur) har det blitt observert utnyttelsesforsøk mot en rekke virksomheter i Norge. I tillegg har NCSC fått informasjon fra flere samarbeidspartnere om tilsvarende utnyttelsesforsøk.

Apples Safari-nettleser har en sårbarhet som utgjør en potensielt stor personvern-trussel.
Les også

Apples nettleser kan lekke surfehistorikk og Google-data – prøv demoen som viser sårbarheten i aksjon

Mange er trolig ikke klar over bruken

I tillegg til at sårbarheten tillater fjernkjøring av kode av ikke-autentiserte brukere,  og at utnyttelseskode er tilgjengelig, er nettopp de mangfoldige bruksområdene med på å gjøre denne sårbarheten ekstra alvorlig.

– […] Log4j fungerer som en integrert komponent for en rekke Java-baserte tredjepartsprogramvarer og -tjenester brukt av svært mange virksomheter. Dermed vil ikke nødvendigvis virksomheter være klar over at de er eksponert for sårbarheten, og ansvaret for å sikkerhetsoppdatere ligger i flere tilfeller hos tredjepart som leverer den aktuelle tjenesten, skriver NCSC.

Digi.no kjenner til at det hos Nasjonalt cybersikkerhetssenter har vært betydelig møtevirksomhet om denne saken i ettermiddag, noe som har gjort det vanskelig å få noen uttalelse derfra. 

Virksomheter som avdekker vellykket utnyttelse av sårbarheten, bes om å ta kontakt med NCSCs operasjonssenter. 

Tiltakene

Som tiltak oppfordrer NCSC brukere av Log4j om umiddelbart å oppgradere til versjon 2.15.0-rc2 – altså en «release candidate», som er tilgjengelig på Github. Denne er sannsynligvis identisk med den endelige versjonen som Apache tilbyr fra sitt eget nettsted

NSCS mener at dersom man ikke er i stand til å oppdatere Log4j straks, bør man enten ta aktuelle tjenester av nett eller skru av Log4j inntil en varig løsning kan tas i bruk. 

Som midlertidig løsning skal det være mulig å sette systemparameteren «log4j2.formatMsgNoLookups» til «true» eller å fjerne JndiLookup-klasse fra klassestien.

Daglig leder Nandor Helgheim i Enivest er ikke særlig fornøyd med forslaget til at selskapet må slippe til konkurrenter i sitt nett.
Les også

Ny runde for regulering av bredbånd. Enivest vil ikke bli regulert

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.