LOG4J

Frykter at Log4-sårbarheten vil utnyttes i minst ti år framover

Den store utbredelsen fører til at mange fortsatt ikke har skiftet ut de sårbare versjonene overalt.

Selv om det er lenge siden det kom sikkerhetsfikser til Log4Shell-sårbarheten, er det fortsatt mange som bruker sårbare versjoner av rammeverket.
Selv om det er lenge siden det kom sikkerhetsfikser til Log4Shell-sårbarheten, er det fortsatt mange som bruker sårbare versjoner av rammeverket. Illustrasjon: Colourbox. Montasje: Digi.no
Harald BrombachHarald BrombachNyhetsleder
19. juli 2022 - 09:53

De fleste sårbarheter som oppdages i programvare som fortsatt støttes av leverandøren, kan ganske enkelt fjernes ved å installere en sikkerhetsoppdatering. Fullt så enkelt er det ikke med Log4Shell, den mye omtalte sårbarheten som ble oppdaget i Apache Log4j-rammeverket i slutten av 2021. 

Tusenvis av programvaresystemer bygger på Log4j-rammeverket, enten direkte eller indirekte gjennom andre rammeverk og biblioteker. Dette gjør at det har vært vanskelig for både utviklere og kunder å få oversikt over hvilke systemer som er berørt. 

Denne manglende oversikten og konsekvensene av denne, vil kunne vare i mange år framover. Dette mener Cyber Safety Review Board, et amerikansk panel etablert av president Biden. 

I minst et tiår

I en fersk rapport skriver panelet at det kjenner til at mange virksomheter ennå ikke har fått patchet sårbare Log4j-instanser. Gitt utbredelsen av Log4j vil sårbare versjoner av rammeverket forbli i systemer i hele det neste tiåret, og kanskje enda lengre, mener panelt, som skriver at vi vil se at angrepskode vil utvikles til mer effektivt å utnytte disse svakhetene. 

I rapporten opplyses det samtidig at panelet ikke er kjent med noen Log4j-baserte angrep av betydning mot kritiske infrastruktursystemer. Panelet mener det generelt er noe overraskende at utnyttelse av Log4Shell-sårbarheten har vært på et lavere nivå enn det mange eksperter hadde ventet, gitt hvor alvorlig sårbarheten er. Panelet har ikke funnet noe klart svar på hvorfor dette har vært slik. Samtidig ses det ikke bort fra at det er kan være betydelige mørketall i de rapporterte tilfellene.

Det kan ta tiår før Log4J ikke lenger er et problem. Det er fremdeles svært mange sårbare versjoner som er i bruk.
Les også

Log4j: Sårbarheten kan fortsatt skape problemer i årevis

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.