Bild: Adobe StockCyber Safety Review Board (CSRB) märkte nyligen säkerhetsexploatet Log4j som en “endemisk sårbarhet” som kommer att dröja sig kvar i flera år, enligt en rapport som släpptes den 11 juli 2022. The sårbarheten i sig upptäcktes tillbaka i december 2021, vilket kräver små eller inga hackingfärdigheter för att dra fördel av luckan i säkerhetsåtgärder.
Måste läsa säkerhetstäckning
“Vi befinner oss i en betydande tidpunkt inom teknik- och cybersäkerhetsindustrin och CSRB:s resultat signalerar en riktning för framtiden”, säger Daniel Trauner, senior chef för säkerhet på Axonius. “Vid någon tidpunkt kommer vi att se ännu mer synlig användning av Software Bill of Materials (SBOM) rapporter. Precis som FDA förväntar sig att konsumenter ska kunna hålla sig informerade om vad de stoppar i sina kroppar genom standardiserade näringsfaktaetiketter med tydliga listor över ingredienser, kommer företag och andra enheter som använder programvara att vilja ha – och i slutändan behöva – transparens om vad går in i programvaran de använder.”
CRSB:s fynd på Log4j
Log4j-sårbarheten, även känd som Log4Shell, är ett Java-baserat loggningsramverk med öppen källkod som samlar in och hanterar information om systemaktivitet. Förutom att den är enkel att använda är filen både gratis att ladda ner och extremt effektiv. Bland Java-utvecklare har denna mjukvara också bäddats in i tusentals andra programvarupaket. Den enkla användningen har gjort att vissa hackare vill utnyttja många programvaror som ännu inte har korrigerats som en del av Log4j.
Misstaget hittades och publicerades som proof-of-concept av en ingenjör för Alibabas molnsäkerhetsteam. Detta blev ett allvarligt problem den 9 december 2021 efter att sårbarheten offentliggjordes, eftersom forskare vid Cloudflare fann att det gjordes 400 skanningar per sekund för att försöka dra fördel av komprometterade system som använder programvaran. Säkerhetsproffs sedan dess har gjort det till en prioritet att minska den potentiella risken för att denna exploatering är lätt och allmänt tillgänglig för massorna.
SER: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
Tips för att skydda dig mot Log4j-missbruket
För att förbereda sig för de långsiktiga effekterna som orsakas av denna sårbarhet rekommenderar CSRB följande tips för organisationer att följa:
- Ta itu med fortsatta risker med Log4j
- Driv befintliga bästa praxis för säkerhetshygien
- Bygg ett bättre mjukvaruekosystem
- Investera i framtiden
Genom att förbereda sig för att ta itu med Log4j-sårbarheten på lång sikt kan organisationer göra ett bättre jobb med att både observera och rapportera åtgärder till rätt myndigheter för övervakningsändamål. Detta kommer att göra det möjligt för de erforderliga myndigheterna att samla in de uppgifter som krävs för att hantera exploateringen i realtid.
Även om dessa ytterligare tips borde komma till nytta, har andra cybersäkerhetsexperter kritat upp exploateringen till företag som helt enkelt har dåliga säkerhetsrutiner och -vanor. Att förstå vilken information och vilken data som skyddas kan leda till utveckling av bättre cyberförsvarsmetoder längre fram.
“Vad som ligger bakom är att de flesta organisationer har fruktansvärda kapitalförvaltningsmetoder. Enkelt uttryckt, om du inte vet vad du har kan du omöjligt säkra det”, säger Matt Chiodi, chief trust officer på Cerby. “Asset management är extremt svårt, särskilt när du tar hänsyn till molnapplikationer. När det kommer till dina egna hemmagjorda applikationer i molnet, håller utvecklare sällan koll på vilka programvarukomponenter de använder. För SaaS-applikationer måste du räkna med att leverantören vet vad de har utvecklat och vilka programvarukomponenter som används. Det här handlar om säkerhet för mjukvaruförsörjningskedjan, som är bruten idag.”
