Nasjonalt cybersikkerhetssenter (NCSC) har i kveld kommet med en ny oppdatering om sårbarheten som har blitt funnet i loggverktøyet Apache Log4j, som brukes i mange ulike sammenhenger. Digi.no omtalte sårbarheten fredag formiddag.
Der går det fram at det ikke har blitt sett noen vellykkede angrepsforsøk i Norge, men gjennom VDI-systemet (Varslingssystem for digital infrastruktur) har det blitt observert utnyttelsesforsøk mot en rekke virksomheter i Norge. I tillegg har NCSC fått informasjon fra flere samarbeidspartnere om tilsvarende utnyttelsesforsøk.
Mange er trolig ikke klar over bruken
I tillegg til at sårbarheten tillater fjernkjøring av kode av ikke-autentiserte brukere, og at utnyttelseskode er tilgjengelig, er nettopp de mangfoldige bruksområdene med på å gjøre denne sårbarheten ekstra alvorlig.
– […] Log4j fungerer som en integrert komponent for en rekke Java-baserte tredjepartsprogramvarer og -tjenester brukt av svært mange virksomheter. Dermed vil ikke nødvendigvis virksomheter være klar over at de er eksponert for sårbarheten, og ansvaret for å sikkerhetsoppdatere ligger i flere tilfeller hos tredjepart som leverer den aktuelle tjenesten, skriver NCSC.
Digi.no kjenner til at det hos Nasjonalt cybersikkerhetssenter har vært betydelig møtevirksomhet om denne saken i ettermiddag, noe som har gjort det vanskelig å få noen uttalelse derfra.
Virksomheter som avdekker vellykket utnyttelse av sårbarheten, bes om å ta kontakt med NCSCs operasjonssenter.
Tiltakene
Som tiltak oppfordrer NCSC brukere av Log4j om umiddelbart å oppgradere til versjon 2.15.0-rc2 – altså en «release candidate», som er tilgjengelig på Github. Denne er sannsynligvis identisk med den endelige versjonen som Apache tilbyr fra sitt eget nettsted.
NSCS mener at dersom man ikke er i stand til å oppdatere Log4j straks, bør man enten ta aktuelle tjenester av nett eller skru av Log4j inntil en varig løsning kan tas i bruk.
Som midlertidig løsning skal det være mulig å sette systemparameteren «log4j2.formatMsgNoLookups» til «true» eller å fjerne JndiLookup-klasse fra klassestien.