Öryggisveikleiki í java kóðasafni Log4Shell

Steingrímur Fannar Stefánsson • Dec 13, 2021

Veikleiki sem uppgötvaðist 9. desember 2021

Flestum ætti að vera ljóst eftir fréttalestur og tilkynningar frá Þekkingu til viðskiptavina sinna að veikleiki uppgötvaðist þann 9. desember í java library sem kallast “Log4Shell” (log4j) CVE-2021-44228. Um er að ræða veikleika sem snýr að mestu að apache (linux) vefþjónustum.

Öryggisgalli í java kóðasafni Log4Shell

Algengar spurningar

  • Hvað er Log4j?

    Þann 9. desember uppgötvaðist veikleiki í java library sem kallast “Log4Shell” (log4j) CVE-2021-44228. Um er að ræða veikleika sem snýr að mestu að apache (linux) vefþjónustum og er í töluverðri notkun í hug- og tækjabúnaði til að sjá um utanumhald sögu yfir ýmsa atburði sem hafa átt sér stað í viðkomandi kerfum/hugbúnaði.

  • Hvernig veit ég að búnaður frá þriðja aðila innihaldi ekki Log4j?

    Það þarf að skoða allan búnað því það er ekki hægt að útiloka fyrr en skoðun hefur farið fram. Best er að setja sig í samband við þjónustuaðila og spyrjast fyrir um þann búnað sem þú ert með eða hafa beint samband við framleiðanda.

  • Hefur atvik átt sér stað vegna Log4j á Íslandi?

    Óvissustig Almannavarna vegna Log4j veikleikans var líst yfir þann 13. desember síðastliðinn. Þegar þetta er skrifað hefur ekkert atvik verið tilkynnt til netöryggissveitarinnar. Hægt er að fylgjast með fréttum hjá Certis:  https://www.cert.is/

  • Hvað getum við gert til þess að koma í veg fyrir netárás?

    Netárásum er sífellt að fjölga og þær breytast mjög hratt af sama skapi. Framleiðendur öryggislausna eru stöðugt að uppfæra sínar lausnir til að koma í veg fyrir óþægindi og tjón sem getur hlotist af. Mikilvægt er því að skoða reglulega í samráði við þjónustuaðila hvort fyrirtæki þitt sé með þær öryggislausnir sem hentar. Öryggið byrjar hjá þér!

Framvinda

15. desember 2021

Eins og komið hefur fram í tilkynningum frá Þekkingu, þá höfum við verið með mikinn viðbúnað vegna veikleikans ,,Log4Shell” (log4j) CVE-2021-44228. Hópur sérfræðinga hefur verið í vinnu undanfarna daga að kortleggja áhrifin bæði á okkar eigin kerfum sem og skoða kerfi viðskiptavina. Við höfum gert viðeigandi ráðstafanir varðar innviði Þekkingar og viðskiptavina. Búið er að hafa samband við þá viðskiptavini sem eru útsettir fyrir veikleikanum og hefur verið girt fyrir veikleikann þar sem þeir hafa fundist með uppfærslum eða tímabundnum aðgerðum. 

Þekking vill samt sem áður benda á mikilvægi þess að fyrirtæki athugi önnur kerfi hjá sér sem eru t.d. í þjónustu hjá öðrum aðilum varðar þennan veikleika. Þekking getur aðstoðað við að kortleggja stöðuna ef óskað er eftir því.

Fyrirtæki sem eru ekki í rekstrarþjónustu Þekkingar en eru í hýsingu eru hvött til þess að hafa samband við okkur til þess að óska eftir skoðun á þeirra kerfum. Áfram er unnið að frekari skoðunum og kortlagningu ásamt lagfæringum í samstarfi við birgja sem eiga í hlut og eru að nýta log4j kóða í sínum lausnum.

Þjónustuver Þekkingar aðstoðar og veitir frekari upplýsingar ef þörf er á í síma 460 3110 eða á verk@thekking.is

Nánari upplýsingar um öryggisgallann: Netöryggisveit CERT-IS hefur verið virkjuð

13. desember 2021

Þekking hefur verið með mikinn viðbúnað vegna þessa og hefur hópur sérfræðinga verið í vinnu alla helgina við að kortleggja áhrifin af þessum hugbúnaðargalla bæði á okkar eigin kerfum sem og skoða kerfi viðskiptavina.

Vinnuhópurinn hefur farið yfir alla linux vefþjóna og opnanir inn á þá en það er vinna framundan að greina og skoða möguleika á uppfærslum með hugbúnaðarframleiðendum. Búið er að hafa samband við þá viðskiptavini sem eru útsettir fyrir veikleikanum og hefur verið girt fyrir veikleikann þar sem þeir hafa fundist með uppfærslum eða tímabundnum aðgerðum.

Áfram er unnið að frekari skoðunum og kortlagningu ásamt lagfæringum í samstarfi við birgja sem eiga í hlut og eru að nýta log4j kóða í sínum lausnum.

Hafir þú áhuga á samtali um öryggislausnir hvetjum við þig til að hafa samband við okkur.

Nánari upplýsingar um öryggisgallann: Netöryggisveit CERT-IS hefur verið virkjuð

Á síðasta ári var tilkynnt um kaup Wise á öllu hlutafé Þekkingar og gengu kaupin í gegn á haustmánuð

Nánar um sameiningu Wise og Þekkingar

By Ólöf Kristjánsdóttir 16 May, 2024
Nánar um sameiningu Wise og Þekkingar
Hýsingarumhverfi flutt í nýtt gagnaver atNorth

Nýtt gagnaver á Akureyri

By Jóhannes Stefánsson 07 Feb, 2024
Hýsingarumhverfi Þekkingar hefur verið flutt í nýtt gagnaver atNorth.
Þú hefur orðið fyrir tölvuárás

Þú hefur orðið fyrir tölvuárás!

By Steingrímur Fannar Stefánsson 06 Nov, 2023
Þegar stutt er liðið á símtalið finnur þú að hjartslátturinn er á fullu, hitinn í andlitinu að verða óbærilegur og stress-hnútur heltekur líkamann. Þú hefur orðið fyrir tölvuárás! Eina sem þú hugsar um er hvernig nærðu verðmætunum til baka, hvert verður tjónið?
Fleiri fréttir
Share by: