Spørsmål og svar om Log4j
Her er svar på noen av spørsmålene vi oftest har fått.
Ofte stilte spørsmål
Hva er Log4j?
Log4j er ett av flere verktøy som kan brukes for logging i applikasjoner skrevet i programmeringsspråket Java. Det er programvare publisert som åpen kildekode av Apache Software Foundation og brukes av andre programvareprodusenter og av programvareutviklere generelt i et stort antall applikasjoner. En sårbarhet i verktøyet Log4j kan dermed bli en sårbarhet i de applikasjonene som bruker dette verktøyet.
Hva er sårbarheten i Log4j?
Den aktuelle sårbarheten i Log4j har fått et formelt referansenummer, CVE-2021-44228, og kan enklest beskrives som et sikkerhetshull i programkoden til verktøyet. Hvor alvorlig en sårbarhet er vurderes på grunnlag av hvordan den kan utnyttes og hvilke følger dette kan få.
Sårbarheten i Log4j ble offentlig kjent 9. desember og har fått en vurdering som plasserer den i den alvorligste kategorien. Dette blant annet på bakgrunn av at den er enkel å utnytte, og er tilknyttet en veldig utbredt funksjonalitet som er integrert i en rekke ulike tjenester. For å gjøre saken verre har det raskt dukket opp åpent tilgjengelige «oppskrifter» på internett for hvordan man kan utnytte sårbarheten.
Hva er forskjellen på et angrep og en sårbarhet?
Dette er ikke ett angrep, men et sikkerhetshull som er oppdaget i en tjeneste som er brukt over hele verden. Digitale tjenester og programmer har sårbarheter. Når disse oppdages blir oppdateringer for å lukke sårbarhetene tilgjengeliggjort fra programvareselskapene, slik at de ikke skal kunne utnyttes av ondsinnede aktører som ønsker å angripe virksomhetene som bruker dem.
Når slike oppdateringer blir offentliggjort medfører det et kappløp mellom de som skal oppdatere systemene sine, og de som vil benytte sikkerhetshull til å komme på innsiden av de sårbare systemene. Som regel dreier det seg om å hacke seg inn hos virksomheter for å stjele informasjon, installere løsepengevirus, eller på andre måter ramme virksomhetene.
Ofte går det svært kort tid fra en sårbarhet publiseres til trusselaktører forsøker å utnytte den – det kan faktisk skje samme dag, som i dette tilfellet. Det gjelder særlig sårbarheter som er enkle å utnytte, og det gjelder spesielt sårbarheter hvor noen allerede har publisert «oppskrifter» på Internett for hvordan man utnytter dem.
Hvor mange sårbarheter er det snakk om?
Opprinnelig var det én kritisk sårbarhet CVE-2021-44228 (Log4shell, Logjam). Ettersom verdens sikkerhetsmiljø nå studerer løsningen er det nylig oppdatert en ny sårbarhet i versjon 2.15.0: CVE-2021-45046. Denne sårbarheten er mindre alvorlig men allikevel en sårbarhet man bør adressere.
For mer info, se veilederen.
Har sårbarheten blitt brukt til løsepengeangrep?
Ja, internasjonalt er det rapport om dette.
Er mange virksomheter rammet uten å vite det?
Verktøyet – Log4j – fungerer som en integrert komponent for en rekke Java-baserte tredjepartsprogramvarer og tjenester. Mange er derfor ikke klar over at de bruker verktøyet og er eksponert for sårbarheten, noe som gjør situasjonen komplisert.
Hvilke tiltak bør norske selskaper foreta seg fremover?
Det første de bør gjøre er å forsikre seg om at de har oppdatert programvaren sin. Hvis dette er utfordrende på kort sikt anbefales det å ta ned tjenester midlertidig frem til man har anledning til å iverksette mer varige tiltak.
For øvrig har vi sendt ut flere varsler med konkrete tekniske råd siden fredag 10. desember. Disse kan leses på samlesiden om Log4j.
Hva må til for å rette opp feilen?
Alle som bruker verktøyet må snarest mulig oppdatere. Hvis dette er utfordrende på kort sikt anbefales det å ta ned tjenester midlertidig frem til man har anledning til å iverksette mer varige tiltak.
Se vår veileder for mer detaljer.
Hva er status for angrep mot norske virksomheter?
Vi ser pågående utnyttelsesforsøk av sårbarheten rettet mot norske virksomheter. Dette har vi blant annet fått bekreftet gjennom vårt varslingssystem for kritisk infrastruktur (VDI).
Er norske virksomheter rammet?
Vi er i kontakt med flere virksomheter angående denne sårbarheten. P.t. er antall og kjennetegn for virksomhetene ikke noe vi kommenterer direkte. Noen virksomheter har selv gått ut og fortalt at de har tatt ned systemer for å få oversikt over situasjonen. Det er også vårt råd dersom virksomheter er usikre på om de kan være rammet av sikkerhetshullet.
Har dere registrert noen tilfeller der sårbarheten har blitt utnyttet?
Sårbarheten ble gjort kjent på kvelden 9. desember, og allerede dagen etter begynte vi å se aktive utnyttelsesforsøk gjennom vårt nasjonale sensorsystem, Varslingssystem for digital infrastruktur (VDI). Vi har anbefalt virksomheter som ikke vet om de kan være rammet, om å ta ned tjenester som et føre-var tiltak.
Hva bør virksomheter gjøre for å sjekke om de er sårbare?
Det kan være vanskelig å oppdage om man er være berørt av Log4j-sårbarheten. Alle som benytter loggverktøyet Log4j må snarest mulig oppdatere systemet. Jo lenger tid det tar før man får gjort dette, jo større er sannsynligheten for at sikkerhetshullet blir, eller allerede har blitt, utnyttet. Virksomheter som ikke har fullstendig kontroll over om man er rammet av sårbarheten, anbefales å ta ned tjenester der man ikke har kontroll. Da vil man kjøpe seg tid til å få oversikt uten samtidig å være eksponert for utnyttelse.
Hvordan bistår NCSC selskaper som har blitt angrepet?
Vi bistår fortløpende virksomheter med informasjon om sårbarheten og anbefalinger rundt hvilke tiltak de bør iverksette. For virksomheter som er deltakere i NSMs Varslingssystem for digital infrastruktur monitorerer vi også for mistenkelig nettverkstrafikk og følger opp disse direkte med varsling og konkrete tiltak.
Er din virksomhet rammet av en vellykket kompromittering, ta kontakt!
Hva gjør NSM for å forhindre angrep mot samfunnskritiske virksomheter?
Det aller viktigste for å forhindre at angrep skjer mot norske virksomheter er at de oppdaterer så fort som mulig, dersom de ikke allerede har gjort det.