Kritisk sikkerhetshull i Apache Log4j - hva betyr det?
Privatpersoner og virksomheter er i det daglige avhengige av en lang rekke digitale tjenester og programmer som de fleste vanligvis ikke tenker over. Det blir ofte avdekket sårbarheter i disse tjenestene og programmene, og slike sårbarheter er én av grunnene til at programvareselskaper tilgjengeliggjør oppdateringer av programvaren de tilbyr. De gjør dette for å rette opp i sårbarhetene, slik at de ikke skal kunne utnyttes av ondsinnede aktører som ønsker å angripe virksomhetene som bruker dem.
Hver gang en tilbyder tilgjengeliggjør slike oppdateringer er det dermed et kappløp. På den ene siden står de ondsinnede aktørene som ønsker å utnytte sårbarhetene for å hacke seg inn hos virksomheter, og enten stjele informasjon, installere løsepengevirus, eller på andre måter ramme virksomhetene. Mange av disse aktørene sitter aktivt og følger med på sårbarheter som publiseres, for å rekke å utnytte dem før de utbedres. På den andre siden står de som er ansvarlige for å sikkerhetsoppdatere systemene sine, og dermed fjerne sårbarhetene før trusselaktørene rekker å utnytte dem.
Det går ofte svært kort tid fra en sårbarhet publiseres til trusselaktører forsøker å utnytte den – det kan faktisk skje samme dag. Dette gjelder særlig sårbarheter som er enkle å utnytte, og det gjelder spesielt sårbarheter hvor noen allerede har publisert «oppskrifter» på Internett for hvordan man utnytter dem. Dette er attraktive sårbarheter som utgjør «lavthengende frukt» for alle typer trusselaktører.
Den aktuelle sårbarheten NSM har jobbet med siden fredag, er nettopp en slik sårbarhet. Den er enkel å utnytte for nær sagt hvem som helst, ikke minst fordi det raskt har kommet flere slike «oppskrifter» på hvordan man kan utnytte dem. For å gjøre saken verre dreier dette seg om en programvare som ikke brukes direkte av sluttbrukere, men som er integrert i en lang rekke kjente digitale tjenester som brukes av mange. At den er integrert gjør også at mange virksomheter ikke nødvendigvis er klare over at de er sårbare for utnyttelse.
Alt dette gjør at sårbarheten vurderes som ekstremt alvorlig, og gjennom helgen har vi sett konsekvensene av dette. Sårbarheten ble gjort kjent på kvelden 9. desember, og allerede dagen etter begynte vi å se aktive utnyttelsesforsøk gjennom vårt nasjonale Varslingssystem for digital infrastruktur (VDI). Dette er vårt sensorsystem, som dekker en lang rekke samfunnskritiske virksomheter.
Intensjonene til de mange foreløpig uidentifiserte aktørene som forsøker å utnytte denne sårbarheten, er ukjente. Det kan spenne fra kriminelle aktører som planter krypteringsvirus til fremmede etterretningstjenester som stjeler sensitiv informasjon fra norske myndigheter eller myndighetstilknyttede virksomheter.
Mange virksomheter vil bruke tid på å fjerne sårbarheten, og de neste dagene vil vise hvordan dette utvikler seg.
På grunn av integrasjon mellom Log4j og andre tjenester antar flere virksomheter at man ved starten av kommende arbeidsuke vil oppleve funksjonsforstyrrelser i tjenester, som følge av at Log4j-mitigerende tiltak.
NSM har kommet med flere varsler om den aktuelle saken: