Cyberbezpieczeństwo
CSIRT MON o Log4Shell: To najpoważniejsza luka od dekad. Oto rekomendacje cyberekspertów
„To najpoważniejsza luka od dekad” – mówią eksperci cyberbezpieczeństwa o ujawnionej podatności, nazwanej Log4Shell w powszechnie stosowanej bibliotece oprogramowania. Polskie zespoły cyber podjęły już niezbędne działania, przedstawiły także rekomendacje dla użytkowników.
Popularna, powszechnie wykorzystywana przez twórców aplikacji, wieloplatformowa biblioteka Apache Log4j posiada krytyczną lukę – informacja na ten temat pojawiła się 10 grudnia 2021 roku. W usuwanie skutków incydentu włączyły się także polskie zespoły odpowiedzialne za cyberbezpieczeństwo.
Incydent był tematem posiedzenia Zespołu Incydentów Krytycznych - podaje na swojej stronie Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Ministerstwa Obrony Narodowej (CSIRT MON).
Na czym polega wykryta podatność? Pozwala ona atakującemu na przejęcie pełnej kontroli nad serwerem lub stacją roboczą. Zagrożenie dotyczy wszystkich usług oraz systemów wykorzystujących Java Virtual Machine (JVM) i korzystających z biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie.
Ze względu na szerokie zastosowanie biblioteki w wielu aplikacjach i usługach oraz łatwość wykorzystania podatności, obsłudze incydentu nadano najwyższy priorytet we wszystkich zespołach CSIRT poziomu krajowego - podano. Celem podjętych działań przez zespoły miało być ograniczenie wpływu podatności na systemy znajdujące się w ich obszarach odpowiedzialności. Udało się m.in. zidentyfikować dwa podatne podmioty będące Operatorem Usługi Kluczowej, które zostały o tym powiadomione i które usunęły podatność.
Czytaj też
Jak się chronić?
Zespoły CSIRT poziomu krajowego wskazują dwa kierunki działań związanych z obsługą podatności przez uczestników krajowego systemu cyberbezpieczeństwa . Z jednej strony to podjęcie działań naprawczych (aktualizacja biblioteki, współpraca z producentem) lub ograniczenie ryzyka (np. poprzez reguły blokujące, odłączenie usługi, wyłączenie Messages Lookup).
Z drugiej: podjęcie działań detekcyjnych (przeszukiwanie dzienników zdarzeń i innych artefaktów, monitoring procesów i ruchu sieciowego).
"Działania detekcyjne należy prowadzić w sposób ciągły. Podatność pozostanie w wadliwych bibliotekach i nie ma pewności jakie oprogramowanie będzie korzystało z tych bibliotek - np. przywrócony system z kopii bezpieczeństwa, czy nowo zainstalowana długo nieużywana aplikacja" - wskazano w raporcie na temat Log4Shell, z którym się zapoznaliśmy.
Zespoły CSIRT poziomu krajowego mają nadal monitorować podatność systemów, wydawać ostrzeżenia i udzielać wsparcia w zakresie działań naprawczych i zabezpieczających dla tych, którzy będą tego potrzebowali.
Czytaj też
Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
CSIRT MON/NB