Sårbarheten i Log4j är bokstavligen av det värsta slaget (läs mer om detaljerna hos Cert-SE). Via sårbarheten kan angripare lura internetexponerade servrar att köra angriparnas kod. Vi ser redan attacker som pågår i stor omfattning. Det är därför av högsta vikt att alla organisationer vidtar nödvändiga åtgärder.
I större organisationer finns rutiner för hur incidenter av detta slag ska hanteras, något som ofta saknas i mindre organisationer. Det viktigaste för organisationer utan rutiner är att uppdatera allt som uppdateras kan samt att aldrig använda applikationer (eller nätverksansluten hårdvara) som inte längre underhålls av tillverkaren. Om organisationen har en inventarielista över sina applikations- och utrustningsleverantörer så är den listan guld värd i situationer som denna. Då kan personen som är ansvarig för respektive leverantör se vad leverantören skriver om sårbarheten på sin webbplats och vidta de eventuella åtgärder som behövs. På Github finns en lista med länkar till kända påverkade leverantörer och deras informationssidor.
Applikationerna som är mest akuta att uppdatera är de internetexponerade sådana. Om organisationen har egna webbapplikationer eller internetexponerade servrar bör dessa prioriteras. När det är klart följer alla applikationer som på något vis ligger åtkomliga över nätverket.
Med anledning av sårbarhetens allvarlighetsgrad (10 av 10) finns det skäl för många organisationer att vidta ytterligare åtgärder. Detta gäller framförallt organisationer som hanterar känslig data, har haft sårbara applikationer exponerade mot internet eller har hittat spår av potentiella intrång. Sådana organisationer gör klokt i att anlita hjälp för aktiv sårbarhetsskanning och intrångsdetektering.
Min förstnämnda punkt om att patcha och underhålla applikationer gäller dock samtliga organisationer. Tag därför Log4j-incidenten som ett gott skäl att inventera vilka applikationer och leverantörer som ni har. Det behöver inte vara komplicerat. Till och med de som bara har simpla inventariekalkylblad är idag glada över att de åtminstone har en sådan översikt.
