Nasjonal Sikkerhetsmyndighet (NSM) avdekket 9. desember et sikkerhetshull i loggverktøyet Apache Log4j. Da feilen ble avdekket fantes det ikke noen sikkerhetsoppdatering som tettet hullet, men det er i ettertid blitt publisert av utvikleren.

«Sårbarheten blir ansett som svært kritisk da den gjør det mulig å kjøre skadelig kode på en berørt server uten behov for brukernavn og passord. Apache Log4j er åpen ikke-kommersiell kildekode og mye brukt av andre software-leverandører. Det er derfor vanskelig å vite om man har en sårbar versjon av tjenesten i produksjonsmiljøet. Det er observert en rekke forsøk på at sårbarheten er forsøkt utnyttet», skriver Finanstilsynet på sine nettsider.

Ifølge NSM er det også kjent at det finnes verktøy som cyberkriminelle kan bruke til å utnytte sikkerhetshullet for å skaffe seg adgang til bedriftskritiske systemer.

Finanstilsynet anbefaler alle som har Apache Log4j i sitt produksjonsmiljø å sjekke at de seneste sikkerhetsoppdateringene er lagt inn for å være beskyttet mot at sikkerhetshullet blir utnyttet.

NSM er ikke kjent med at sikkerhetshullet har blitt utnyttet i noen norske virksomheter.

Sparebankstiftelsenes inntekt ned med 34 prosent i fjor

Tysk politi på razzia hos SEBs hovedkontor i Tyskland

Banken lar kunder «spore» eget utslipp