NSM Nasjonalt cybersikkerhetssenter sendte 10.desember ut varsler via Nasjonal sikkerhetsmyndighet om en svært alvorlig sårbarhet i det Java-baserte loggverktøyet Apache Log4j. 

Log4j er et verktøy som brukes for logging i applikasjoner som er skrevet i programmeringsspråket Java. Verktøyet har vært i bruk i veldig mange år av javabaserte serverapplikasjoner, og nå har det blitt avdekket en veldig alvorlig sårbarhet i nyere versjoner.

Programvaren er publisert som åpen kildekode av Apache Software Foundation og brukes av andre programvareprodusenter og av programvareutviklere generelt i et stort antall applikasjoner. En sårbarhet i verktøyet Log4j kan dermed bli en sårbarhet i de applikasjonene som bruker dette verktøyet.

På grunn av at så mange bruker Java-baserte applikasjoner og tjenester, er det enkelt for angripere å utnytte og ta full kontroll over de som er berørt.

Slik jobber vi mot sårbarheten

Vi i Procano sjekker opp med alle leverandører at de er sikret, i tillegg scanner vi gjennom alle våre servere og PCer som vi drifter for å se om Log4j finnes noe sted.

I hendelser som er av ett så stort omfang som denne er vi avhengig av ett god samarbeid med kundene. Vi anbefaler alle våre kunder som har andre programvareleverandører og som driver direkte eller indirekte utvikling av programvare om å ta en gjennomgang med sine utviklere og leverandører.

Vi har foretatt en omfattende undersøkelse av våre systemer og underleverandører, og ser at vi foreløpig ikke er påvirket av sikkerhetshullet. Vi vil fortsette med vår kontinuerlige monitorering av denne hendelsen og vil gi våre kunder beskjed dersom det blir funnet en svakhet med våre systemer eller underleverandører.

Les mer om varselet og hvordan det påvirker programvare her.

Lurer du på noe mer rundt Log4j og hvordan det påvirker dere kan dere ta kontakt med oss.