Alvorlig sikkerhetshull avdekket: – Vi ser omfattende utnyttelsesforsøk på norske virksomheter

Et sikkerhetshull gjør at flere av Brønnøysundregistrenes tjenester er nede. – Samtlige sektorer i Norge er risikoutsatt, opplyser Nasjonal sikkerhetsmyndighet (NSM) til VG.

PROBLEMER: Brønnøysundregistrene er nede for telling som følge av et alvorlig sikkerhetshull.
Publisert Publisert

De advarer mot at angripere kan ta full kontroll over berørte systemer som følge av sårbarheten i et javabasert loggsystem som ble gjort kjent på kvelden 9. desember.

– Og allerede dagen etter begynte vi å se aktive utnyttelsesforsøk gjennom vårt nasjonale varslingssystem. Dette er vårt sensorsystem, som dekker en lang rekke samfunnskritiske virksomheter.

Det Tom-André Røgden, leder av operativ seksjon i NSM Nasjonalt cybersikkerhetssenter, til VG søndag kveld.

Flere tjenester hos Brønnøysundregistrene er stengt som følge av det alvorlige sikkerhetshullet som er avdekket.

Men NSM ser omfattende utnyttelsesforsøk på flere norske virksomheter og sektorer. Utnyttelsesforsøkene kommer fra flerfoldige, foreløpig uidentifiserte aktører. NSM ønsker ikke å si om utnyttelsesforsøkene har vært vellykkede.

De ønsker heller ikke å opplyse hvilke konkrete norske virksomheter, sektorer eller næringer som er rammet.

– Mange ikke klar over at de er sårbare

– Denne sårbarheten er enkel å utnytte for nær sagt hvem som helst, ikke minst fordi det raskt har kommet flere slike «oppskrifter» på hvordan man kan utnytte dem. For å gjøre saken verre dreier dette seg om en programvare som ikke brukes direkte av sluttbrukere, men som er integrert i en lang rekke kjente digitale tjenester som brukes av mange, sier Røgden.

– At den er integrert, gjør også at mange virksomheter ikke nødvendigvis er klare over at de er sårbare for utnyttelse.

NSM vet ikke ennå hva som er intensjonene til de flerfoldige, foreløpig uidentifiserte aktørene, som forsøker å utnytte denne sårbarheten.

– Det kan spenne fra kriminelle aktører som planter krypteringsvirus til fremmede etterretningstjenester som stjeler sensitiv informasjon fra norske myndigheter eller myndighetstilknyttede virksomheter, sier Røgden til VG.

– Kort kan vi si at omfanget av sårbarheten tilsier at samtlige sektorer i Norge er risikoutsatt fordi sikkerhetshullet er såpass utbredt i bruk, sa pressevakt Anniken Beyer Fjeld til VG tidligere søndag kveld.

– Kritisk

Feilen ble oppdaget i et javabasert loggsystem, Log4j, som er basert på åpen kildekode. Sårbarheten kalles en av de største sikkerhetstruslene på flere år.

– Sårbarheten vurderes stadig som særlig kritisk da den i prinsippet berører alt som er integrert mot og logges av Log4j, hvilket omfatter et foreløpig uavklart, men likevel stort antall utbredte tjenester, skrev NSM lørdag i en pressemelding.

Verktøyet brukes av mange Java-baserte applikasjoner og tjenester, er enkel å utnytte, og vil gi angripere full kontroll over berørte systemer, forklarte NSM i en pressemelding fredag.

Sårbarheten ble ifølge NSM kjent 9. desember og en såkalt utnyttelseskode for sårbarheten ble publisert samme dag.

– NSM Nasjonalt cybersikkerhetssenter har fredag sendt ut varsler om en svært alvorlig sårbarhet i det Java-baserte loggverktøyet Apache Log4j, skrev de videre i pressemeldingen fredag.

De oppfordrer også sterkt til at berørte bedrifter bør iverksette tiltak umiddelbart.

Det var Dagens Næringsliv som først omtalte saken.

RAMMET: Også Altinn har måttet ta grep etter sikkerhetshullet ble avdekket.

Brønnøysundregistrene: – Tok ned tjenestene for å være på den sikre siden

Presseansvarlig i Brønnøysundregistrene, Frode Nordfjellmark, sier til VG at de ble varslet av NSM om sikkerhetshullet fredag.

– Vi ble gjort klar over den den verdensomspennende sårbarheten og valgte umiddelbart å ta ned alle tjenestene våre for å være på den sikre siden.

De har alt av tilgjengelig personell på jobb for å gjennomføre de nødvendige sikkerhetsoppdateringene, forteller han.

– Vi har god fremdrift i arbeidet og gjør det vi kan for at tjenestene våre skal være tilgjengelige så snart som mulig.

Senere søndag kveld opplyser han at enkelte av tjenestene igjen skal fungere.

– De nettbaserte publikumstjenestene er fortsatt nede, sier han.

– Tjenestene våre er ikke tilgjengelige for øyeblikket grunnet nødvendig vedlikehold, skriver Brønnøysundregistrene på hjemmesidene sine.

Ifølge NSM har de siden fredag observert det de betegner som omfattende utnyttelsesforsøk gjennom sitt Varslingssystem for digital infrastruktur.

Også Altinn opplyser om problemer med tjenesten sin, men deres tjenester er ikke nede slik som Brønnøysundregistrenes er.

– På grunn av sårbarhet i systemer som benyttes over hele verden, har vi foreløpig måtte deaktivere søket i Altinn, skriver Altinn på hjemmesidene sine.

– Altinn er ikke nede, og det er ikke et sikkerhetshull i Altinn, sier operativ ansvarlig Dan Remi Mørk i Digitaliseringsdirektoratet til VG.

– Det er kun et søk som er deaktivert. Men når du logger inn i Altinn, så er alt som før, sier Mørk.

Brønnøysundregistrene er en statlig forvaltningsetat som består av 18 forskjellige statlige elektroniske registre, mens Altinn er offentlig en internettportal som tilrettelegger for dialog mellom offentlige etater, næringslivet og privatpersoner.

Rettelse: I den første nyhetsmeldingen VG publiserte om saken, sto det at Altinn var nede. Dette stemmer ikke. Det korrekte er at søkefunksjonen på fremsiden til Altinn er nede. Ingen andre tjenester til Altinn er berørt av angrepet. Feilen ble rettet klokken 18.03 søndag 12.12.2021.

Publisert