En datamaskinsårbarhet oppdaget i fjor i et allestedsnærværende stykke programvare er et "endemisk" problem som vil utgjøre sikkerhetsrisikoer i potensielt et tiår eller mer, ifølge et nytt cybersikkerhetspanel opprettet av president Joe Biden.
De Gjennomgangsutvalget for cybersikkerhet sa i en rapport torsdag at selv om det ikke har vært tegn til noen større Cyber angrep på grunn av Log4j-feilen, vil den fortsatt "bli utnyttet i årene som kommer."
"log4j er en av de mest alvorlige programvaresårbarhetene i historien, sa styrets leder, Department of Homeland Securitys undersekretær Rob Silvers, til journalister onsdag.
Log4j-feilen, som ble offentliggjort sent i fjor, lar internettbaserte angripere enkelt ta kontroll over alt fra industrielle kontrollsystemer til webservere og forbrukerelektronikk. De første åpenbare tegnene på feilens utnyttelse dukket opp i Minecraft, et enormt populært nettspill som eies av Microsoft.
Feilens oppdagelse førte til presserende advarsler fra myndighetspersoner og massiv innsats fra cybersikkerhetseksperter for å lappe sårbare systemer.
Styret sa torsdag at «noe overraskende» hadde utnyttelsen av Log4j-feilen skjedd på lavere nivåer enn eksperter forutså. Styret sa også at det ikke var klar over noen "betydelige" Log4j-angrep på kritiske infrastruktursystemer, men bemerket at noen cyberattacks gå urapportert.
Styret sa at fremtidige angrep sannsynligvis i stor grad er fordi Log4j er rutinemessig innebygd med annen programvare og kan være vanskelig for organisasjoner å finne kjørende i systemene deres.
"Denne begivenheten er ikke over," sa Silvers.
Log4j, skrevet i programmeringsspråket Java, logger brukeraktivitet på datamaskiner. Utviklet og vedlikeholdt av en håndfull frivillige i regi av åpen kildekode Apache Software Foundation, er den ekstremt populær blant kommersielle programvareutviklere.
En sikkerhetsforsker ved den kinesiske teknologigiganten Alibaba varslet stiftelsen 24. november. Det tok to uker å utvikle og utgi en løsning. Kinesiske medier rapporterte at regjeringen straffet Alibaba for ikke å rapportere feilen tidligere til statlige tjenestemenn.
Styret sa torsdag at det fant "urovekkende elementer" med den kinesiske regjeringens politikk mot avsløring av sårbarhet, og sa at det kan gi kinesiske statshackere et tidlig blikk på datamaskinfeil de kan bruke til ondsinnede midler som å stjele forretningshemmeligheter eller spionere på dissidenter. Den kinesiske regjeringen har lenge benektet forseelser i cyberspace og fortalte styret at de oppfordrer til forbedret informasjonsdeling om programvaresårbarheter.
Styret ga en rekke anbefalinger for å redusere nedfallet av Log4j-feilen, samt å forbedre cybersikkerhet generelt. Det inkluderer forslaget om at universiteter og høyskoler gjør nettsikkerhetstrening til en påkrevd del av informatikkgrads- og sertifiseringsprogrammer.
Cyber Safety Review Board er modellert etter National Transportation Safety Board, som gjennomgår flyulykker og andre større ulykker, og ble pålagt av en executive order Biden undertegnet i mai i fjor. Styret på 15 medlemmer består av FBI, National Security Agency og andre myndighetspersoner samt personer fra privat sektor. Noen tilhengere av det nye styret kritiserte DHS for å ta så lang tid å få det opp og gå.
Bidens eksekutivordre påla styret å gjennomføre sin første gjennomgang av den massive russiske nettspionasjekampanjen kjent som Solarwinds. Russiske hackere var i stand til å bryte flere føderale byråer, inkludert kontoer som tilhører topp cybersikkerhetstjenestemenn ved DHS, selv om det fullstendige resultatet fra denne kampanjen fortsatt er uklart.
Silvers sa at DHS og Det hvite hus var enige om at gjennomgang av Log4j-feilen var en bedre bruk av det nye styrets ekspertise og tid.
