Generelle spørsmål og svar om Apache log4j

Publisert: 13.12.2021

Oppdatert: 13.12.2021

Vi mottar mange spørsmål om log4j, og har derfor samlet en del av dem på denne siden.

Denne siden vil oppdateres etterhvert som vi vet mer.

Hva er Log4j?

Log4j er ett av flere verktøy som kan brukes for logging i applikasjoner skrevet i programmeringsspråket Java. Det er programvare publisert som åpen kildekode av Apache Software Foundation og brukes av andre programvareprodusenter og av programvareutviklere generelt i et stort antall applikasjoner. En sårbarhet i verktøyet Log4j kan dermed bli en sårbarhet i de applikasjonene som bruker dette verktøyet.

Hva er sårbarheten i Log4j?

Den aktuelle sårbarheten i Log4j har fått et formelt referansenummer, CVE-2021-44228, og kan enklest beskrives som et sikkerhetshull i programkoden til verktøyet. Hvor alvorlig en sårbarhet er vurderes på grunnlag av hvordan den kan utnyttes og hvilke følger dette kan få.

Sårbarheten i Log4j ble offentlig kjent 9. desember og har fått en vurdering som plasserer den i den alvorligste kategorien. Dette blant annet på bakgrunn av at den er enkel å utnytte, og er tilknyttet en veldig utbredt funksjonalitet som er integrert i en rekke ulike tjenester. For å gjøre saken verre har det raskt dukket opp åpent tilgjengelige «oppskrifter» på internett for hvordan man kan utnytte sårbarheten.

Hvem vil utnytte denne sårbarheten?'

Erfaringsmessig kan det gå gå svært kort tid fra en sårbarhet publiseres til trusselaktører forsøker å utnytte den – det kan faktisk skje samme dag, som i dette tilfellet. Dette gjelder særlig sårbarheter som er enkle å utnytte, og det gjelder spesielt sårbarheter hvor noen allerede har publisert «oppskrifter» på Internett for hvordan man utnytter dem. Dette er attraktive sårbarheter som utgjør «lavthengende frukt» for alle typer trusselaktører – fra kriminelle med økonomisk vinning som motiv, til fremmede stater som er ute etter å stjele sensitiv informasjon fra norske myndigheter eller myndighetstilknyttede virksomheter.

Har dere registrert noen tilfeller der sårbarheten har blitt utnyttet?

Sårbarheten ble gjort kjent på kvelden 9. desember, og allerede dagen etter begynte vi å se aktive utnyttelsesforsøk gjennom vårt nasjonale sensorsystem, Varslingssystem for digital infrastruktur (VDI). Vi har anbefalt virksomheter som ikke vet om de kan være rammet, om å ta ned tjenester som et føre-var tiltak.

Dere sier at dette kan være vanskelig å oppdage/vite om man kan være rammet av feilen. Hva bør virksomheter gjøre for å sjekke dette?

Alle som benytter loggverktøyet Log4j må snarest mulig oppdatere systemet. Jo lenger tid det tar før man får gjort dette, jo større er sannsynligheten for at sikkerhetshullet blir, eller allerede har blitt, utnyttet.

Virksomheter som ikke har fullstendig kontroll over om man er rammet av sårbarheten, anbefales å ta ned tjenester der man ikke har kontroll. Da vil man kjøpe seg tid til å få oversikt uten samtidig å være eksponert for utnyttelse.

Er det mange virksomheter som kan være rammet uten å vite det?

Verktøyet – Log4j – fungerer som en integrert komponent for en rekke Java-baserte tredjepartsprogramvarer og tjenester. Mange er derfor ikke klar over at de bruker verktøyet og er eksponert for sårbarheten, noe som gjør situasjonen komplisert.

Hva må til for å rette opp feilen?

Alle som bruker verktøyet må snarest mulig oppdatere. Hvis dette er utfordrende på kort sikt anbefales det å ta ned tjenester midlertidig frem til man har anledning til å iverksette mer varige tiltak.

Hvor lang tid vil det ta før tjenester er tilbake til vanlig status?

Mange virksomheter vil bruke tid på å fjerne sårbarheten, og de neste dagene vil vise hvordan dette utvikler seg. Det kan forventes ustabilitet i tjenester i noe tid framover som følge av dette.

Hvor mange er berørte så langt? Er det virksomheter, eller også privatpersoner?

Privatpersoner vil merke det hovedsakelig gjennom at tjenester de bruker og er avhengige av kan oppleves ustabile eller blir tatt ned.

Kan dere i korte trekk forklare med folkelige ord hva Log4j er, og hvilke virksomheter som er eller kan være berørt her? Har dette en betydning for folk flest?

Det vil ha en betydning for folk flest i den betydning av at folk flest bruker en eller flere tjenester som er berørt. Folk flest kan derfor forvente ustabile tjenester i tiden fremover.

NCSC ber virksomheter melde fra om det er noen vellykkede forsøk på å utnytte sårbarheten. Har dere fått noen henvendelser hvor dette er varslet? Hvilke virksomheter er rammet?

Vi er i kontakt med flere virksomheter angående denne sårbarheten. P.t. er antall og kjennetegn for virksomhetene ikke noe vi kommenterer direkte. Noen virksomheter har selv gått ut og fortalt at de har tatt ned systemer for å få oversikt over situasjonen. Det er også vårt råd dersom virksomheter er usikre på om de kan være rammet av sikkerhetshullet.

Kan dere si noe om hvordan dette jobbes med nå?

Vi jobber nå med å få flest mulig til å oppdatere programvaren sin og tette sikkerhetshullet. Dette er avgjørende at skjer så fort som mulig.

Hva er status for angrep mot norske virksomheter?

Vi ser pågående utnyttelsesforsøk av sårbarheten rettet mot norske virksomheter. Dette har vi blant annet fått bekreftet gjennom vårt varslingssystem for kritisk infrastruktur (VDI).

Hva gjør NSM for å forhindre at angrep skjer mot samfunnskritiske virksomheter?

Det aller viktigste for å forhindre at angrep skjer mot norske virksomheter er at de oppdaterer så fort som mulig, dersom de ikke allerede har gjort det.

Hvordan bistår dere selskaper som har blitt angrepet?

Vi bistår fortløpende virksomheter med informasjon om sårbarheten og anbefalinger rundt hvilke tiltak de bør iverksette. For virksomheter som er deltakere i NSMs Varslingssystem for digital infrastruktur monitorerer vi også for mistenkelig nettverkstrafikk og følger opp disse direkte med varsling og konkrete tiltak.

Hvilke tiltak bør norske selskaper foreta seg fremover?

Det første de bør gjøre er å forsikre seg om at de har oppdatert programvaren sin. Hvis dette er utfordrende på kort sikt anbefales det å ta ned tjenester midlertidig frem til man har anledning til å iverksette mer varige tiltak.For øvrig har vi sendt ut flere varsler med konkrete tekniske råd siden fredag 10. desember. Disse kan leses på varselsiden vår her (lenke).

Hva er forskjellen på et angrep og en sårbarhet?

Dette er ikke et angrep, men et sikkerhetshull som er oppdaget i en tjeneste som er brukt over hele verden.

Digitale tjenester og programmer har sårbarheter. Når disse oppdages blir oppdateringer for å lukke sårbarhetene tilgjengeliggjort fra programvareselskapene, slik at de ikke skal kunne utnyttes av ondsinnede aktører som ønsker å angripe virksomhetene som bruker dem.

Når slike oppdateringer blir offentliggjort medfører det et kappløp mellom de som skal oppdatere systemene sine, og de som vil benytte sikkerhetshull til å komme på innsiden av de sårbare systemene. Som regel dreier det seg om å hacke seg inn hos virksomheter for å stjele informasjon, installere løsepengevirus, eller på andre måter ramme virksomhetene.

Ofte går det svært kort tid fra en sårbarhet publiseres til trusselaktører forsøker å utnytte den – det kan faktisk skje samme dag, som i dette tilfellet. Det gjelder særlig sårbarheter som er enkle å utnytte, og det gjelder spesielt sårbarheter hvor noen allerede har publisert «oppskrifter» på Internett for hvordan man utnytter dem.