Een computerkwetsbaarheid die vorig jaar werd ontdekt in een alomtegenwoordig stuk software is een”endemisch”probleem dat mogelijk tien jaar of langer beveiligingsrisico’s met zich meebrengt, volgens een nieuw cyberbeveiligingspanel dat is opgericht door president Joe Biden. De Cyber Safety Review Board zei in een rapport dat hoewel er geen teken is geweest van een grote cyberaanval als gevolg van de Log4j-fout, deze nog”de komende jaren zal worden uitgebuit”.
“Log4j is een van de ernstigste softwarekwetsbaarheden in de geschiedenis”, zei de voorzitter van de raad van bestuur, onderminister van Binnenlandse Veiligheid, Rob Silvers, woensdag tegen verslaggevers.
Door de Log4j-fout, die eind vorig jaar openbaar werd gemaakt, kunnen aanvallers op internet gemakkelijk de controle krijgen over alles, van industriële controlesystemen tot webservers en consumentenelektronica.
De eerste duidelijke tekenen van misbruik van de fout verschenen in Minecraft, een enorm populaire online game van Microsoft.
De ontdekking van de fout leidde tot dringende waarschuwingen van overheidsfunctionarissen en enorme inspanningen van cyberbeveiligingsprofessionals om kwetsbare systemen te patchen.
Het bestuur zei donderdag dat”enigszins verrassend”de exploitatie van de Log4j-bug op een lager niveau had plaatsgevonden dan experts hadden voorspeld. Het bestuur zei ook dat het niet op de hoogte was van enige”aanzienlijke”Log4j-aanvallen op kritieke infrastructuursystemen, maar merkte op dat sommige cyberaanvallen niet worden gemeld.
Het bestuur zei dat toekomstige aanvallen waarschijnlijk voor een groot deel zullen zijn omdat Log4j routinematig is ingebed in andere software en voor organisaties moeilijk te vinden is in hun systemen.
“Dit evenement is nog niet voorbij”, zei Silvers.
Log4j, geschreven in de programmeertaal Java, registreert gebruikersactiviteiten op computers. Ontwikkeld en onderhouden door een handvol vrijwilligers onder auspiciën van de open-source Apache Software Foundation, is het enorm populair bij commerciële softwareontwikkelaars.
Een beveiligingsonderzoeker bij de Chinese techgigant Alibaba bracht de stichting op 24 november op de hoogte. Het duurde twee weken om een oplossing te ontwikkelen en uit te brengen. Chinese media meldden dat de regering Alibaba strafte omdat het de fout niet eerder aan staatsfunctionarissen had gemeld.
Het bestuur zei donderdag dat het”verontrustende elementen”vond in het beleid van de Chinese regering ten aanzien van het openbaar maken van kwetsbaarheden, en zei dat het Chinese staatshackers een vroege blik zou kunnen geven op computerfouten die ze zouden kunnen gebruiken voor snode middelen zoals het stelen van handelsgeheimen of dissidenten bespioneren.
De Chinese regering ontkent al lang wangedrag in cyberspace en vertelde het bestuur dat het verbeterde informatie-uitwisseling over softwarekwetsbaarheden aanmoedigt.
Het bestuur deed een aantal aanbevelingen om de gevolgen van de Log4j-fout te verminderen en de cyberbeveiliging in het algemeen te verbeteren. Dat omvat de suggestie dat universiteiten en community colleges cyberbeveiligingstraining een verplicht onderdeel maken van computerwetenschappen en certificeringsprogramma’s.
De Cyber Safety Review Board is gemodelleerd naar de National Transportation Safety Board, die vliegtuigcrashes en andere zware ongevallen beoordeelt, en werd gemandateerd door een uitvoerend bevel dat Biden afgelopen mei ondertekende.
Het 15-koppige bestuur bestaat uit FBI, National Security Agency en andere overheidsfunctionarissen, evenals mensen uit de particuliere sector.
Sommige aanhangers van het nieuwe bestuur bekritiseerden DHS omdat het zo lang duurde om het op gang te krijgen.
Het uitvoerend bevel van Biden gaf het bestuur opdracht om zijn eerste beoordeling uit te voeren van de massale Russische cyberspionagecampagne die bekend staat als SolarWinds.
Russische hackers waren in staat om verschillende federale agentschappen binnen te dringen, waaronder accounts van topfunctionarissen op het gebied van cyberbeveiliging bij DHS, hoewel de volledige gevolgen van die campagne nog steeds onduidelijk zijn.
Silvers zei dat DHS en het Witte Huis het erover eens waren dat het beoordelen van de Log4j-fout een beter gebruik was van de expertise en tijd van het nieuwe bestuur.
FacebookTwitterLinkedin