Die Log4j-Lücke, die Ende letzten Jahres veröffentlicht wurde, ermöglicht es internetbasierten Angreifern, einfach die Kontrolle über alles zu übernehmen, von industriellen Steuerungssystemen bis hin zu Webservern und Unterhaltungselektronik. Die ersten offensichtlichen Anzeichen für die Ausnutzung des Fehlers zeigten sich in Minecraft, einem äußerst beliebten Online-Spiel von Microsoft. Die Entdeckung des Fehlers löste dringende Warnungen von Regierungsbeamten und massive Anstrengungen von Cybersicherheitsexperten aus, um anfällige Systeme zu patchen. Der Vorstand sagte am Donnerstag, dass die Ausnutzung des Log4j-Bugs „etwas überraschend“ auf niedrigerem Niveau stattgefunden habe, als Experten vorhergesagt hätten. Der Vorstand sagte auch, dass ihm keine „signifikanten“ Log4j-Angriffe auf kritische Infrastruktursysteme bekannt seien, stellte jedoch fest, dass einige Cyberangriffe ungemeldet bleiben. Das Board sagte, dass zukünftige Angriffe zum großen Teil wahrscheinlich sind, weil Log4j routinemäßig in andere Software eingebettet ist und es für Unternehmen schwierig sein kann, es in ihren Systemen laufen zu lassen. „Diese Veranstaltung ist noch nicht vorbei“, sagte Silvers. Log4j, geschrieben in der Programmiersprache Java, protokolliert Benutzeraktivitäten auf Computern. Es wurde von einer Handvoll Freiwilliger unter der Schirmherrschaft der Open-Source-Apache Software Foundation entwickelt und gepflegt und ist bei kommerziellen Softwareentwicklern äußerst beliebt. Ein Sicherheitsforscher des chinesischen Tech-Giganten Alibaba informierte die Stiftung am 24. November. Es dauerte zwei Wochen, bis ein Fix entwickelt und veröffentlicht wurde. Chinesische Medien berichteten, dass die Regierung Alibaba dafür bestraft habe, dass es Staatsbeamten den Fehler nicht früher gemeldet habe. Das Gremium sagte am Donnerstag, es habe „beunruhigende Elemente“ in der Politik der chinesischen Regierung zur Offenlegung von Schwachstellen gefunden, und sagte, es könne chinesischen staatlichen Hackern einen frühen Einblick in Computerfehler geben, die sie für schändliche Mittel wie den Diebstahl von Geschäftsgeheimnissen oder das Ausspionieren von Dissidenten verwenden könnten. Die chinesische Regierung hat seit langem Fehlverhalten im Cyberspace bestritten und dem Vorstand mitgeteilt, dass sie einen verbesserten Informationsaustausch über Software-Schwachstellen fördert. Das Gremium gab eine Reihe von Empfehlungen zur Eindämmung der Folgen des Log4j-Fehlers sowie zur allgemeinen Verbesserung der Cybersicherheit ab. Dazu gehört auch der Vorschlag, dass Universitäten und Volkshochschulen Cybersicherheitsschulungen zu einem obligatorischen Bestandteil von Informatikstudiengängen und Zertifizierungsprogrammen machen. Das Cyber Safety Review Board ist dem National Transportation Safety Board nachempfunden, das Flugzeugabstürze und andere schwere Unfälle überprüft, und wurde durch eine im vergangenen Mai von Biden unterzeichnete Durchführungsverordnung beauftragt. Der 15-köpfige Vorstand besteht aus dem FBI, der National Security Agency und anderen Regierungsbeamten sowie Personen aus dem Privatsektor. Einige Befürworter des neuen Vorstands kritisierten das DHS dafür, dass es so lange gedauert habe, es zum Laufen zu bringen. Bidens Executive Order wies den Vorstand an, seine erste Überprüfung der massiven russischen Cyberspionagekampagne namens SolarWinds durchzuführen. Russische Hacker waren in der Lage, in mehrere Bundesbehörden einzudringen, darunter Konten von führenden Cybersicherheitsbeamten des DHS, obwohl die vollständigen Folgen dieser Kampagne noch unklar sind. Silvers sagte, das DHS und das Weiße Haus seien sich einig, dass die Überprüfung des Log4j-Fehlers eine bessere Nutzung des Fachwissens und der Zeit des neuen Vorstands sei.
Log4j-Softwarefehler „endemisch“, sagt das neue Cyber-Sicherheitsgremium
Eine Computer-Schwachstelle, die letztes Jahr in einer allgegenwärtigen Software entdeckt wurde, ist ein „endemisches“ Problem, das laut einem neuen Cybersicherheitsgremium, das von Präsident Joe Biden geschaffen wurde, möglicherweise ein Jahrzehnt oder länger Sicherheitsrisiken darstellen wird. Das Cyber Safety Review Board sagte in einem Bericht, dass es zwar keine Anzeichen für einen größeren Cyberangriff aufgrund der Log4j Fehler, es wird immer noch „für die kommenden Jahre ausgenutzt werden“. „Log4j ist eine der schwerwiegendsten Software-Sicherheitslücken in der Geschichte“, sagte der Vorstandsvorsitzende. Unterstaatssekretär des Ministeriums für innere Sicherheit Rob Silvers, sagte Reportern am Mittwoch.