Sådan lyder advarslen fra CISA og FBI til de organisationer, der endnu ikke har rettet Log4j-sårbarheden. Det skriver ZDNet med henvisning til en ’current acitivity’-meddelelse på CISAs hjemmeside.
Advarslen kommer, efter at der er opdaget et cyberangreb mod en føderal enhed i USA, hvor angribere trængte ind i netværket ved at udnytte netop Log4j-sårbarheden på en VMware Horizon-server. Angrebet kom ifølge CISA fra en iransk statssponseret APT-gruppe, og det medførte installation af malware til udvinding af kryptovaluta og tyveri af brugernavne og adgangskoder.
Det Hvide Hus mødes torsdag i denne uge med ledere af store teknologivirksomheder, herunder Apple, Google, Amazon, Meta, IBM og Microsoft for at diskutere sikkerheden ved open source-software.
Det skriver The Verge.
Topmødet inkluderer også Apache Software Foundation, der ejer og vedligeholder Log4j-biblioteket - og Oracle, der ejer Java-softwareplatformen, som Log4j-biblioteket kører på. Også GitHub og Linux Open Source Foundation er inviteret til mødet.
UK's sundhedsmyndigheder (National Health Service - NHS) har udsendt en advarsel om, at en ukendt trusselgruppe har rettet sit skyts mod VMware Horizon-implementeringer ved at udnytte Log4j-sårbarheden. Det skriver Bleeping Computer.
Sårbarheden er også kendt som Log4Shell, der blev kendt i midten af december og som siden har fået flere rettelser, som systemadministratorer verden over har arbejdet på at håndtere. Seneste version 2.17.1 anses ifølge Bleeping Computer for at være ’tilstrækkelig sikker’.
Det amerikanske svar på Center for Cybersikkerhed har udgivet en guide til håndtering af sårbarheden i Apache tredjepartsproduktet Log4j, der før jul fik aktører til at advare om massiv risiko for udnyttelse verden over. Seneste opdatering på guiden er fra den 28. december, hvor organisationer atter opfordres til at opgradere til henholdsvis Log4j 2.17.1 (Java 8), 2.12.4 (Java 7) og 2.3.2 (Java 6). Endvidere opfordres organisationerne til at gennemgå Apache Log4j Security sårbarhedshjemmeside for opdateringer og vejledninger til mitigering af risikoen for udnyttelse.