En panel av amerikanska regeringstjänstemän och experter från den privata sektorn med uppgift att undersöka landets stora cybersäkerhetsmisslyckanden har kommit fram till att den ökända Log4j internetfel inte utlöst några “väsentliga” attacker på kritiska infrastruktursystem.
Ett allvarligt fel som finns i Java-baserad programvara med öppen källkod känd som “Log4j” skakade världen i december förra året när tjänstemän uppskattade att det lämnade hundratals miljoner enheter utsatta för potentiella intrång.
Den nyskapade Cybersecurity Review Board, löst utformad efter National Transportation Safety Board och under avdelningen för hemlandsäkerhet (DHS), släppte resultaten av sin undersökning av sårbarheten på torsdagen.
Ledd av ordförande Rob Silvers, biträdande policysekreterare vid DHS, och vice ordförande Heather Adkins, senior chef för säkerhet på Google, fastställde den nya gruppen, som hämtar sin auktoritet från en verkställande order undertecknad av president Biden förra året, i sin inledande rapport att den utbredda sårbarheten äventyrade inte kritisk infrastruktur eller ledde till incidenter med “hög inverkan” av nationella statliga aktörer.
Hittills har “Log4j-exploatering skett på lägre nivåer än vad många experter förutspått med tanke på hur allvarlig sårbarheten är”, står det i rapporten. Ändå varnade styrelsen för att risken för intrång kvarstod.
“Jag tror att vår rekommendation att folk ska övervaka detta understryker att den här incidenten inte är över och att vi kommer att fortsätta att höra om nya kompromisser i framtiden”, sa Adkins på onsdagen under en briefing med reportrar.
Silvers varnade dock för att styrelsen är begränsad i sin förståelse av nuvarande utnyttjande eftersom ägare och operatörer av kritisk infrastruktur ännu inte är skyldiga att rapportera cyberintrång till den federala regeringen. I mars antog kongressen en lagstiftning som kräver att sådana incidenter rapporteras till Cybersecurity and Infrastructure Security Agency (CISA), men byrån har upp till två år på sig att börja utarbeta regler som definierar programmets parametrar.
“Styrelsen noterade att eftersom det för närvarande inte finns något krav på rapportering av cyberincidenter som finns på federal nivå inom kritisk infrastruktur, har vi potentiellt begränsad insyn i exploatering,” sa Silvers.
Silvers lovade att CISA arbetar för att “snabbt implementera” lagen för att fastställa de nya reglerna “så snabbt som möjligt.”
Styrelsens 52-sidiga rapport skisserade en omfattande kronologi av händelser kring upptäckten av Log4j-sårbarheten, med början i slutet av november 2021, när en forskare från det kinesiska e-handelsföretaget Alibaba rapporterade sina skapares utelämnande till Apache Software Foundation (ASF).
“Vi tror att det globala samhället gynnades av att säkerhetsforskaren på Alibaba följde bästa praxis för samordnad avslöjande av sårbarhet genom att föra upptäckten av sårbarheten till Apache Software Foundation, öppen källkodsstiftelsen som stöder Log4j”, sa Silvers till reportrar på onsdagen och applåderade en cybersäkerhetsexpert som först lyfte fram sårbarheten.
Silvers avslöjade också att Cybersecurity Review Board kontaktade den kinesiska ambassadören i USA i ett försök att bättre förstå den kinesiska regeringens korrespondens med Alibaba.
Enligt rapporten informerade den kinesiska regeringen styrelsen om att Alibaba först rapporterade sårbarheten till sitt ministerium för industri och informationsteknologi (MIIT) den 13 december 2021, 19 dagar efter att ASF-frågan avslöjades. Enligt Reuters har Kina straffat Alibaba för att inte rapportera Log4j-sårbarheten tidigare, men den kinesiska regeringen avböjde en begäran från styrelsen om att ge mer information om sanktionerna, enligt sin rapport.
Silvers sa att Kinas “brist på transparens” bara “ökar oron” bland styrelsen för att Kinas “reglerande regim kommer att avskräcka nätverksförsvarare från [disclosing vulnerabilities] med mjukvaruutvecklare” i framtiden.
“Oavsett en eventuell sanktion mot Alibaba, noterade styrelsen oroväckande delar av MIIT-reglerna som styr avslöjandet av säkerhetsbrister,” tillade rapporten, och antydde att den kinesiska regeringens krav att leverantörer rapporterar sårbarheter till dem inom två dagar efter upptäckten “kan ge Kinas regering tidig kunskap om sårbarheter innan leverantörens korrigeringar släpps till samhället.”
”Styrelsen är oroad över att detta kommer att tillåta [Chinese] regeringen ett fönster där man kan utnyttja sårbarheter innan nätverksförsvarare kan korrigera dem. Det är en oroande utsikt att överväga [Chinese] regeringens kända meritlista i stöld av immateriella rättigheter, underrättelseinsamling, övervakning av människorättsaktivister och dissidenter och militära cyberoperationer”, fortsatte rapporten.
Rapporten skisserade också en rad rekommendationer för förbättrad cybersäkerhet framöver, inklusive en push för ett bättre “programvaruekosystem”. Som en del av detta initiativ rekommenderade styrelsen ytterligare investeringar i öppen källkodssäkerhet och uppmanade mjukvaruutvecklare att skapa en “Software Bill of Materials” eller “SBOM” som kan levereras med deras produkt. Den här sortens katalog kommer att skapas för att låta konsumenterna veta vilken typ av programvara som finns i deras produkter och appar, något liknande vad näringsfakta-märkningen gör för livsmedel.
“Vår observation är att organisationer som använder programvara med öppen källkod behöver stödja den gemenskapen direkt – ge dem tillgång till utbildningsprogram, utveckla verktygssatser som kommer att göra saker som SBOM acceptabla,” sa Adkins till reportrar.
Panelen med 15 medlemmar engagerade sig med nästan 80 organisationer och individer som representerade mjukvaruutvecklare, slutanvändare, säkerhetspersonal och företag för att producera torsdagens rapport. Deltagarna var Alibaba, Amazon, Apple, AT&T och Google, förutom ett flertal privata företag, cybersäkerhetsföretag och ett flertal statliga myndigheter runt om i världen.
Cybersecurity Review Board fick till en början i uppdrag att genomföra en obduktion av den massiva SolarWinds-intrång genomfördes av ryska hackare, men fokuserade i slutändan på att undersöka effekten av Log4j-felet.
DHS-sekreterare Alejandro Mayorkas kallade cyberhotsmiljön “så mångsidig och kritisk som den någonsin har varit” under onsdagens briefing. “Vi ser nationella statliga cyberaktörer och cyberbrottslingar, inklusive de som är involverade i ransomware-operationer, rutinmässigt använder cybermetoder för att stjäla data, ekonomisk vinst och utsätta kritisk infrastruktur för risker”, tillade sekreteraren.
I februari lanserade CISA en “Shields”-kampanj för att uppmana amerikanska företag att skydda sig mot eventuella cyberattacker efter Rysslands invasion av Ukraina. Denna varning har hittills varat i 150 dagar.
Aktuella nyheter
Nicole Sganga
