V minulých dnech se objevila nová a velmi závažná zranitelnost, trhlina v bezpečnosti postihující velké množství systémů. Jedna z největších hrozeb, s jakou jsem měl doposud tu čest.
V některých systémech, které využívají open source knihovnu Apache a logovací systém Log4j, našel zaměstnanec Alibaby zásadní zranitelnost pojmenovanou Log4shell. Následovala opravná aktualizace. Riziko však nezmizelo. Není totiž jasné, kde všude Log4j slouží. Desátého prosince dostala chyba označení CVE-2021-44228 a americký Národní úřad pro standardizaci a technologie její závažnost ohodnotil jako kritickou (stupeň 10 z 10). Napadená můžou být až stovky milionů zařízení…
Bezpečnostní chyba postihla velké i malé firmy. Slovenská společnost ESET včera uvedla, že Česko je v rámci zneužívání Log4j osmou nejvíce zasaženou zemí na světě. „V našich datech vidíme významný počet pokusů o exploitaci, kde se Česká republika řadí na osmé místo. Pro srovnání je na prvním místě Japonsko následované Spojenými státy a Polskem, Slovensko uzavírá druhou desítku na osmnáctém místě,” uvádí Jiří Kropáč z ESETu.
Je jasné, že hackeři mají pré.
Jsou připraveni využít zranitelnosti k napadení sítí po celém světě. Čas na nápravu a přijetí nezbytných bezpečnostních opatření je tak výrazně omezený.
Zranitelnosti typu zero-day jsou nebezpečné tím, že je může útočník okamžitě zneužít k napadení systému. Nebezpečí navíc nečíhá pouze na zařízení připojená k internetu, útočníci se dokážou dostat i do vnitřních sítí, které tyto speciální vstupy následně zpracovávají za použití zmíněné knihovny Log4j.
CVE-2021-44228 umožňuje útočníkovi spustit na napadeném stroji jakýkoli kód. Může tak smazat data, ukrást část databáze, nainstalovat škodlivý program nebo způsobit jiné škody. Dokonce i v případě, že je spouštění kódu zakázáno, může útočník využít tuto zranitelnost ke krádeži dat. Stačí, když vloží vybrané proměnné do parametru své URL a napadený server mu pak pošle informace, které potřebuje.
V první řadě by měli správci systémů zkontrolovat, zda na svých serverech využívají nástroj Log4j2. V kladném případě by jej pak měli neprodleně aktualizovat na verzi 2.15.0 nebo novější. Aktualizace je k dispozici ke stažení na stránkách projektu. Před nainstalováním by měl správce ověřit pravost a integritu instalované záplaty pomocí PGP nebo GPG klíčů.
Pokud správce z nějakého důvodu nemůže neprodleně nainstalovat aktualizaci, měl by alespoň (ve verzích 2.10 a vyšších) zapnout nastavení log4j2.formatMsgNoLookups, které zabrání zneužití chyby.
Národní úřad pro kybernetickou a informační bezpečnost vydal v souvislosti se zranitelností Log4Shell následující reaktivní opatření:
Plné znění reaktivního opatření NÚKIB
Zdroj: lupa.cz
KONTAKT
Ing. Filip Lang
CEH, MCSA, MCITP, MCTS, MCP
Vedoucí oddělení
Implementace a realizace
+420 724 707 417
filip.lang@ictnwt.cz