Varování: Zranitelnost v Log4j je v České republice kritická! Neprodlená aktualizace je nezbytností

V minulých dnech se objevila nová a velmi závažná zranitelnost, trhlina v bezpečnosti postihující velké množství systémů. Jedna z největších hrozeb, s jakou jsem měl doposud tu čest.

Kde se vzala, tu se vzala CVE-2021-44228 

V některých systémech, které využívají open source knihovnu Apache a logovací systém Log4j, našel zaměstnanec Alibaby zásadní zranitelnost pojmenovanou Log4shell. Následovala opravná aktualizace. Riziko však nezmizelo. Není totiž jasné, kde všude Log4j slouží. Desátého prosince dostala chyba označení CVE-2021-44228 a americký Národní úřad pro standardizaci a technologie její závažnost ohodnotil jako kritickou (stupeň 10 z 10). Napadená můžou být až stovky milionů zařízení…

8. místo v hitparádě zasaženosti

Bezpečnostní chyba postihla velké i malé firmy. Slovenská společnost ESET včera uvedla, že Česko je v rámci zneužívání Log4j osmou nejvíce zasaženou zemí na světě. „V našich datech vidíme významný počet pokusů o exploitaci, kde se Česká republika řadí na osmé místo. Pro srovnání je na prvním místě Japonsko následované Spojenými státy a Polskem, Slovensko uzavírá druhou desítku na osmnáctém místě,” uvádí Jiří Kropáč z ESETu.

Je jasné, že hackeři mají pré.

Jsou připraveni využít zranitelnosti k napadení sítí po celém světě. Čas na nápravu a přijetí nezbytných bezpečnostních opatření je tak výrazně omezený.

Co vše se může stát?

Zranitelnosti typu zero-day jsou nebezpečné tím, že je může útočník okamžitě zneužít k napadení systému. Nebezpečí navíc nečíhá pouze na zařízení připojená k internetu, útočníci se dokážou dostat i do vnitřních sítí, které tyto speciální vstupy následně zpracovávají za použití zmíněné knihovny Log4j.

CVE-2021-44228 umožňuje útočníkovi spustit na napadeném stroji jakýkoli kód. Může tak smazat data, ukrást část databáze, nainstalovat škodlivý program nebo způsobit jiné škody. Dokonce i v případě, že je spouštění kódu zakázáno, může útočník využít tuto zranitelnost ke krádeži dat. Stačí, když vloží vybrané proměnné do parametru své URL a napadený server mu pak pošle informace, které potřebuje.

Jak z toho ven?

V první řadě by měli správci systémů zkontrolovat, zda na svých serverech využívají nástroj Log4j2. V kladném případě by jej pak měli neprodleně aktualizovat na verzi 2.15.0 nebo novější. Aktualizace je k dispozici ke stažení na stránkách projektu. Před nainstalováním by měl správce ověřit pravost a integritu instalované záplaty pomocí PGP nebo GPG klíčů.

Pokud správce z nějakého důvodu nemůže neprodleně nainstalovat aktualizaci, měl by alespoň (ve verzích 2.10 a vyšších) zapnout nastavení log4j2.formatMsgNoLookups, které zabrání zneužití chyby.

Národní úřad pro kybernetickou a informační bezpečnost vydal v souvislosti se zranitelností Log4Shell následující reaktivní opatření:

Plné znění reaktivního opatření NÚKIB

Zdroj: lupa.cz


KONTAKT

Ing. Filip Lang

CEH, MCSA, MCITP, MCTS, MCP
Vedoucí oddělení
Implementace a realizace

+420 724 707 417
filip.lang@nwt.cz

Další články z blogu

7. 6. 2022
Byznys Apps Day: Bezpečnost je permanentní proces

V úterý 24. 5. jsme měli „premiéru“ v pražském kině Přítomnost Žánr: psychothriller inspirovaný skutečnými událostmi V hlavní roli: hackeři všeho druhu Náš...

Přečíst
1. 6. 2022
Dejte si pozor! Závažná zranitelnost CVE-2022-30190

autor: Ing. Filip Lang, Vedoucí oddělení Implementace a realizace Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na závažnou zranitelnost...

Přečíst
4. 5. 2022
Žhavá témata v kybernetické bezpečnosti: NÚKIB

Je z hlediska bezpečnosti lepší používat Signal, Messenger nebo WhatsApp? Jaká jsou aktuálně žhavá témata v oblasti bezpečnosti v kyberprostoru? Jak se...

Přečíst
(c) 2021 NWT a.s.
Website by NWT Marketing
menu-circlecross-circle
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram