Les agences gouvernementales ont passé des dizaines de milliers d’heures à sécuriser les depuis sa découverte en décembre, le dans son rapport inaugural au public. La vulnérabilité Log4j pourrait être un problème depuis une décennie ou plus, a déclaré le conseil.

Le problème est lié à une bibliothèque de journalisation Java largement utilisée, Apache Log4j, et peut être utilisée par des pirates pour prendre le contrôle de serveurs informatiques si elle n’est pas corrigée. La bibliothèque est populaire en partie parce qu’elle est gratuite, mais cela signifie que les entreprises doivent créer elles-mêmes des correctifs. Cela peut être un ascenseur gargantuesque et le comité d’examen,a noté qu’une agence du cabinet avait passé 33 000 heures à répondre à la faiblesse.

Au moment où la vulnérabilité Log4j est devenue publique, le gouvernement américain a averti les entreprises d’être en état d’alerte contre les cyberattaques. Bien que des attaques exploitant la vulnérabilité aient eu lieu, elles n’ont pas été aussi graves qu’on le craignait.

« Au moment de la rédaction de cet article, le Conseil n’a connaissance d’aucune attaque significative basée sur Log4j sur des systèmes d’infrastructure critiques », a déclaré le Cyber ​​Safety Review Board. « De manière quelque peu surprenante, le Conseil a également constaté qu’à ce jour, de manière générale, l’exploitation de Log4j s’est produite à des niveaux inférieurs à ce que de nombreux experts avaient prédit, compte tenu de la gravité de la vulnérabilité. »

Parce qu’il est si répandu, le conseil a qualifié le problème de « vulnérabilité endémique » qui pourrait persister pendant des années.

« Un risque important demeure », indique le rapport.