Fredag 9. desember varslet NSM om en kritisk sårbarhet i loggverktøyet Apache Log4j. Sårbarheten er en såkalt zero-day-sårbarhet som vil si at det ikke fantes noen programoppdatering (fix/patch) da den ble kjent. Det foreligger nå oppdateringer (patcher) til sårbarheten. Det er viktig at alle foretak sammen med sine leverandører kartlegger om de har sårbarheter, gjør nødvendige oppdateringer og gjennomfører tiltak for å overvåke og håndtere eventuelle forsøk på å unytte sårbarheten.
Sårbarheten blir ansett som svært kritisk da den gjør det mulig å kjøre skadelig kode på en berørt server uten behov for brukernavn og passord. Apache Log4j er åpen ikke-kommersiell kildekode og mye brukt av andre software-leverandører. Det er derfor vanskelig å vite om man har en sårbar versjon av tjenesten i produksjonsmiljøet. Det er observert en rekke forsøk på at sårbarheten er forsøkt utnyttet.
Se nærmere omtale av sårbarheten fra NSM her: