Inden 24. december skal alle amerikanske myndigheder have sikret og patchet den alvorlige Log4j-sårbarhed, der blev opdaget i sidste uge og som regnes for at være blandt de mest alvorlige sårbarheder i nyere tid.
Sådan lyder meldingen fra det amerikanske it-sikkerheds-agentur US Cybersecurity and Infrastructure Security Agency, CISA.
Her har man tilføjet Log4j til listen over ‘kendte sårbarheder, der udnyttes’ lige nu [‘known exploited vulnerabilities catalog,’ red]. Denne liste finder du her.
CISA meddeler, at Log4j bliver udnyttet af et hastigt voksende antal hackere og udgør ‘en presserende udfordring’ for it-afdelingerne.
“Man skal hurtigst muligt patche eller modvirke denne sårbarhed. Vi opfordrer alle til at opgradere til log4j-version 2.15.0 eller at installere deres leverandørs anbefalede løsning omgående,” lyder det fra CISA.
Sikkerheds-agenturet peger desuden på tre initiativer, som alle it-sikkerhedsansvarlige i de amerikanske myndigheder dernæst bør sætte i gang:
- Få klarhed over hvilke eksterne enheder, der kan have installeret log4j.
- Få styr på, at it-sikkerhedsfolkene adresserer hver enkelt alert på alle eksterne enheder.
- Installer en WAF - webapplikations-firewall - som automatisk opdaterer, så it-sikkerhedsafdelingen (SOC) skal håndtere færre alerts.