En datorsårbarhet som upptäcktes förra året i en allestädes närvarande mjukvara är ett "endemiskt" problem som kommer att utgöra säkerhetsrisker för potentiellt ett decennium eller mer, enligt en ny cybersäkerhetspanel skapad av president Joe Biden.
Smakämnen Cyber Safety Review Board sa i en rapport på torsdagen att även om det inte har funnits tecken på någon större cyberattack på grund av Log4j-felet kommer det fortfarande att "exploateras i många år framöver."
"log4j är en av de allvarligaste mjukvarusårbarheterna i historien”, sa styrelsens ordförande, Department of Homeland Securitys undersekreterare Rob Silvers, till reportrar på onsdagen.
Log4j-felet, som offentliggjordes i slutet av förra året, låter internetbaserade angripare enkelt ta kontroll över allt från industriella kontrollsystem till webbservrar och hemelektronik. De första uppenbara tecknen på felets utnyttjande dök upp i Minecraft, ett enormt populärt onlinespel som ägs av Microsoft.
Upptäckten av felet ledde till brådskande varningar från regeringstjänstemän och massiva ansträngningar från cybersäkerhetsproffs för att korrigera sårbara system.
Styrelsen sa på torsdagen att "något överraskande" exploateringen av Log4j-felet hade skett på lägre nivåer än vad experter förutspått. Styrelsen sa också att den inte var medveten om några "betydande" Log4j-attacker på kritiska infrastruktursystem men noterade att vissa cyberattack bli orapporterad.
Styrelsen sa att framtida attacker sannolikt till stor del är på grund av att Log4j rutinmässigt är inbäddad med annan mjukvara och kan vara svårt för organisationer att hitta i deras system.
"Det här evenemanget är inte över," sa Silvers.
Log4j, skrivet i programmeringsspråket Java, loggar användaraktivitet på datorer. Utvecklad och underhållen av en handfull volontärer under överinseende av Apache Software Foundation med öppen källkod, är den extremt populär bland kommersiella mjukvaruutvecklare.
En säkerhetsforskare på den kinesiska teknikjätten alibaba meddelade stiftelsen den 24 november. Det tog två veckor att utveckla och släppa en fix. Kinesiska medier rapporterade att regeringen straffade alibaba för att inte ha rapporterat felet tidigare till statliga tjänstemän.
Styrelsen sa på torsdagen att den hittade "oroande element" med den kinesiska regeringens policy mot avslöjande av sårbarhet, och sa att det kan ge kinesiska statliga hackare en tidig titt på datorbrister som de kan använda för skändliga medel som att stjäla affärshemligheter eller spionera på dissidenter. Den kinesiska regeringen har länge förnekat brott i cyberrymden och sagt till styrelsen att den uppmuntrar förbättrad informationsdelning om sårbarheter i mjukvara.
Styrelsen erbjöd ett antal rekommendationer för att mildra nedfallet av Log4j-felet samt förbättra cybersäkerheten generellt. Det inkluderar förslaget att universitet och högskolor gör cybersäkerhetsutbildning till en obligatorisk del av datavetenskapsexamen och certifieringsprogram.
Cyber Safety Review Board är utformad efter National Transportation Safety Board, som granskar flygolyckor och andra större olyckor, och fick mandat av en verkställande order som Biden undertecknade i maj förra året. Styrelsen med 15 medlemmar består av FBI, National Security Agency och andra regeringstjänstemän samt personer från den privata sektorn. Vissa anhängare av den nya styrelsen kritiserade DHS för att det tog så lång tid att få det igång.
Bidens verkställande order uppmanade styrelsen att genomföra sin första granskning av den massiva ryska cyberspionagekampanjen känd som Solarwinds. Ryska hackare kunde göra intrång i flera federala myndigheter, inklusive konton som tillhör topptjänstemän inom cybersäkerhet på DHS, även om det fullständiga resultatet från kampanjen fortfarande är oklart.
Silvers sa att DHS och Vita huset var överens om att granskning av Log4j-felet var en bättre användning av den nya styrelsens expertis och tid.
