FinansWatch

Finanstilsynet advarer mot kritisk sikkerhetshull i mye brukt loggverktøy

Nasjonal Sikkerhetsmyndighet har avdekket et sikkerhetshull i et verktøy mange finansselskaper benytter.

Illustrasjonsbilde. Finanstilsynet ber alle som bruker Apache Log4j om å påse at tjenesten er oppdatert. | Foto: Kacper Pempel/Reuters/Ritzau Scanpix

Nasjonal Sikkerhetsmyndighet (NSM) avdekket 9. desember et sikkerhetshull i loggverktøyet Apache Log4j. Da feilen ble avdekket fantes det ikke noen sikkerhetsoppdatering som tettet hullet, men det er i ettertid blitt publisert av utvikleren.

«Sårbarheten blir ansett som svært kritisk da den gjør det mulig å kjøre skadelig kode på en berørt server uten behov for brukernavn og passord. Apache Log4j er åpen ikke-kommersiell kildekode og mye brukt av andre software-leverandører. Det er derfor vanskelig å vite om man har en sårbar versjon av tjenesten i produksjonsmiljøet. Det er observert en rekke forsøk på at sårbarheten er forsøkt utnyttet», skriver Finanstilsynet på sine nettsider.

Ifølge NSM er det også kjent at det finnes verktøy som cyberkriminelle kan bruke til å utnytte sikkerhetshullet for å skaffe seg adgang til bedriftskritiske systemer.

Finanstilsynet anbefaler alle som har Apache Log4j i sitt produksjonsmiljø å sjekke at de seneste sikkerhetsoppdateringene er lagt inn for å være beskyttet mot at sikkerhetshullet blir utnyttet.

NSM er ikke kjent med at sikkerhetshullet har blitt utnyttet i noen norske virksomheter.

Sparebankstiftelsenes inntekt ned med 34 prosent i fjor

Tysk politi på razzia hos SEBs hovedkontor i Tyskland

Banken lar kunder «spore» eget utslipp 

Mer fra FinansWatch

Pensjonssparing: Flere skrur på «Is i magen»

Med funksjonen «Is i magen» i Kron-appen kan kundene følge med på hvordan nyhetsbildet påvirker investeringene deres. – Dette for å hjelpe kunden å nettopp ha is i magen opp mot opprinnelig spareplan, sier Emma Tryti i Kron.

Les også

Siste nytt

Stillinger

Se flere stillinger

Se flere stillinger

Siste nytt fra EiendomsWatch

Siste nytt fra AdvokatWatch