Een computerkwetsbaarheid die vorig jaar in een alomtegenwoordig stuk software werd ontdekt, is een "endemisch" probleem dat mogelijk tien jaar of langer beveiligingsrisico's met zich meebrengt, volgens een nieuw cyberbeveiligingspanel dat is opgericht door president Joe Biden.
De Onderzoeksraad voor cyberveiligheid zei donderdag in een rapport dat, hoewel er geen teken van grote Cyber aanval vanwege de Log4j-fout, zal het nog steeds "de komende jaren worden uitgebuit".
"log4j is een van de ernstigste softwarekwetsbaarheden in de geschiedenis', zei de voorzitter van de raad van bestuur, onderminister van Binnenlandse Veiligheid, Rob Silvers, woensdag tegen verslaggevers.
Door de Log4j-fout, die eind vorig jaar openbaar werd gemaakt, kunnen aanvallers op internet gemakkelijk de controle over alles krijgen, van industriële controlesystemen tot webservers en consumentenelektronica. De eerste duidelijke tekenen van misbruik van de fout verschenen in Minecraft, een enorm populaire online game van Microsoft.
De ontdekking van de fout leidde tot dringende waarschuwingen van overheidsfunctionarissen en enorme inspanningen van cyberbeveiligingsprofessionals om kwetsbare systemen te patchen.
Het bestuur zei donderdag dat "enigszins verrassend" de exploitatie van de Log4j-bug op een lager niveau had plaatsgevonden dan experts hadden voorspeld. Het bestuur zei ook dat het niet op de hoogte was van enige "aanzienlijke" Log4j-aanvallen op kritieke infrastructuursystemen, maar merkte op dat sommige cyberaanvallen ongemeld gaan.
Het bestuur zei dat toekomstige aanvallen waarschijnlijk voor een groot deel zullen zijn omdat Log4j routinematig is ingebed in andere software en het voor organisaties moeilijk kan zijn om het in hun systemen te vinden.
"Dit evenement is nog niet voorbij", zei Silvers.
Log4j, geschreven in de programmeertaal Java, registreert gebruikersactiviteit op computers. Ontwikkeld en onderhouden door een handvol vrijwilligers onder auspiciën van de open-source Apache Software Foundation, is het enorm populair bij commerciële softwareontwikkelaars.
Een beveiligingsonderzoeker bij de Chinese techgigant Alibaba heeft de stichting op 24 november op de hoogte gebracht. Het duurde twee weken om een oplossing te ontwikkelen en uit te brengen. Chinese media meldden dat de regering strafte Alibaba voor het niet eerder melden van de fout aan staatsfunctionarissen.
Het bestuur zei donderdag dat het "verontrustende elementen" vond in het beleid van de Chinese regering ten aanzien van openbaarmaking van kwetsbaarheden, en zei dat het Chinese staatshackers een vroege blik zou kunnen geven op computerfouten die ze zouden kunnen gebruiken voor snode middelen zoals het stelen van handelsgeheimen of het bespioneren van dissidenten. De Chinese regering ontkent al lang wangedrag in cyberspace en vertelde het bestuur dat het verbeterde informatie-uitwisseling over softwarekwetsbaarheden aanmoedigt.
Het bestuur deed een aantal aanbevelingen om de gevolgen van de Log4j-fout te verminderen en de cyberbeveiliging in het algemeen te verbeteren. Dat omvat de suggestie dat universiteiten en community colleges cyberbeveiligingstraining een verplicht onderdeel maken van computerwetenschappen en certificeringsprogramma's.
De Cyber Safety Review Board is gemodelleerd naar de National Transportation Safety Board, die vliegtuigcrashes en andere zware ongevallen beoordeelt, en werd gemandateerd door een uitvoerend bevel dat Biden afgelopen mei ondertekende. Het 15-koppige bestuur bestaat uit FBI, National Security Agency en andere overheidsfunctionarissen, evenals mensen uit de particuliere sector. Sommige aanhangers van het nieuwe bestuur bekritiseerden DHS omdat het zo lang duurde om het op gang te brengen.
Het uitvoerend bevel van Biden gaf het bestuur opdracht om zijn eerste beoordeling uit te voeren van de massale Russische cyberspionagecampagne die bekend staat als: SolarWinds. Russische hackers waren in staat om verschillende federale agentschappen binnen te dringen, waaronder accounts van topfunctionarissen op het gebied van cyberbeveiliging bij DHS, hoewel de volledige gevolgen van die campagne nog steeds onduidelijk zijn.
Silvers zei dat DHS en het Witte Huis het erover eens waren dat het herzien van de Log4j-fout een beter gebruik was van de expertise en tijd van het nieuwe bestuur.
