Spørsmål og svar om Log4j

Log4j er ett av flere verktøy som kan brukes for logging i applikasjoner skrevet i programmeringsspråket Java. Det er programvare publisert som åpen kildekode av Apache Software Foundation og brukes av andre programvareprodusenter og av programvareutviklere generelt i et stort antall applikasjoner. En sårbarhet i verktøyet Log4j kan dermed bli en sårbarhet i de applikasjonene som bruker dette verktøyet.

Den aktuelle sårbarheten i Log4j har fått et formelt referansenummer, CVE-2021-44228, og kan enklest beskrives som et sikkerhetshull i programkoden til verktøyet. Hvor alvorlig en sårbarhet er vurderes på grunnlag av hvordan den kan utnyttes og hvilke følger dette kan få.

Sårbarheten i Log4j ble offentlig kjent 9. desember og har fått en vurdering som plasserer den i den alvorligste kategorien. Dette blant annet på bakgrunn av at den er enkel å utnytte, og er tilknyttet en veldig utbredt funksjonalitet som er integrert i en rekke ulike tjenester. For å gjøre saken verre har det raskt dukket opp åpent tilgjengelige «oppskrifter» på internett for hvordan man kan utnytte sårbarheten.

Dette er ikke ett angrep, men et sikkerhetshull som er oppdaget i en tjeneste som er brukt over hele verden. Digitale tjenester og programmer har sårbarheter. Når disse oppdages blir oppdateringer for å lukke sårbarhetene tilgjengeliggjort fra programvareselskapene, slik at de ikke skal kunne utnyttes av ondsinnede aktører som ønsker å angripe virksomhetene som bruker dem.

Når slike oppdateringer blir offentliggjort medfører det et kappløp mellom de som skal oppdatere systemene sine, og de som vil benytte sikkerhetshull til å komme på innsiden av de sårbare systemene. Som regel dreier det seg om å hacke seg inn hos virksomheter for å stjele informasjon, installere løsepengevirus, eller på andre måter ramme virksomhetene.

Ofte går det svært kort tid fra en sårbarhet publiseres til trusselaktører forsøker å utnytte den – det kan faktisk skje samme dag, som i dette tilfellet. Det gjelder særlig sårbarheter som er enkle å utnytte, og det gjelder spesielt sårbarheter hvor noen allerede har publisert «oppskrifter» på Internett for hvordan man utnytter dem.

Opprinnelig var det én kritisk sårbarhet CVE-2021-44228 (Log4shell, Logjam). Ettersom verdens sikkerhetsmiljø nå studerer løsningen er det nylig oppdatert en ny sårbarhet i versjon 2.15.0: CVE-2021-45046. Denne sårbarheten er mindre alvorlig men allikevel en sårbarhet man bør adressere.

For mer info, se veilederen. 

Ja, internasjonalt er det rapport om dette. 

Verktøyet – Log4j – fungerer som en integrert komponent for en rekke Java-baserte tredjepartsprogramvarer og tjenester. Mange er derfor ikke klar over at de bruker verktøyet og er eksponert for sårbarheten, noe som gjør situasjonen komplisert.

Det første de bør gjøre er å forsikre seg om at de har oppdatert programvaren sin. Hvis dette er utfordrende på kort sikt anbefales det å ta ned tjenester midlertidig frem til man har anledning til å iverksette mer varige tiltak.

For øvrig har vi sendt ut flere varsler med konkrete tekniske råd siden fredag 10. desember. Disse kan leses på samlesiden om Log4j. 

Alle som bruker verktøyet må snarest mulig oppdatere. Hvis dette er utfordrende på kort sikt anbefales det å ta ned tjenester midlertidig frem til man har anledning til å iverksette mer varige tiltak.

Se vår veileder for mer detaljer. 

Vi ser pågående utnyttelsesforsøk av sårbarheten rettet mot norske virksomheter. Dette har vi blant annet fått bekreftet gjennom vårt varslingssystem for kritisk infrastruktur (VDI).

Vi er i kontakt med flere virksomheter angående denne sårbarheten. P.t. er antall og kjennetegn for virksomhetene ikke noe vi kommenterer direkte. Noen virksomheter har selv gått ut og fortalt at de har tatt ned systemer for å få oversikt over situasjonen.  Det er også vårt råd dersom virksomheter er usikre på om de kan være rammet av sikkerhetshullet.

Sårbarheten ble gjort kjent på kvelden 9. desember, og allerede dagen etter begynte vi å se aktive utnyttelsesforsøk gjennom vårt nasjonale sensorsystem, Varslingssystem for digital infrastruktur (VDI). Vi har anbefalt virksomheter som ikke vet om de kan være rammet, om å ta ned tjenester som et føre-var tiltak.

Det kan være vanskelig å oppdage om man er være berørt av Log4j-sårbarheten. Alle som benytter loggverktøyet Log4j må snarest mulig oppdatere systemet. Jo lenger tid det tar før man får gjort dette, jo større er sannsynligheten for at sikkerhetshullet blir, eller allerede har blitt, utnyttet. Virksomheter som ikke har fullstendig kontroll over om man er rammet av sårbarheten, anbefales å ta ned tjenester der man ikke har kontroll. Da vil man kjøpe seg tid til å få oversikt uten samtidig å være eksponert for utnyttelse.

Vi bistår fortløpende virksomheter med informasjon om sårbarheten og anbefalinger rundt hvilke tiltak de bør iverksette. For virksomheter som er deltakere i NSMs Varslingssystem for digital infrastruktur monitorerer vi også for mistenkelig nettverkstrafikk og følger opp disse direkte med varsling og konkrete tiltak. 

Er din virksomhet rammet av en vellykket kompromittering, ta kontakt! 

Det aller viktigste for å forhindre at angrep skjer mot norske virksomheter er at de oppdaterer så fort som mulig, dersom de ikke allerede har gjort det.