Zakaj je Log4j ena od najnevarnejših varnostnih ranljivosti v zadnjih letih in zakaj vam bo še dolgo povzročala preglavice
9. decembra 2021 je bila objavljena kritična ranljivost Java knjižnice Apache Log4j (CVE-2021-44228). Log4j (v2) je knjižnica za beleženje, katero uporabljajo številne aplikacije napisane v jeziku Java za spremljanje aplikacij. Te dnevniške datoteke so bistvene za odpravljanje težav s programsko opremo in za analizo podatkov. Kritična ranljivost knjižnice Log4j omogoča oddaljenemu napadalcu izvedbo poljubne programske kode na ranljivem sistemu (RCE – Remote Code Execution). Zato svetujemo posebno pozornost, še posebej, če je do ranljivih storitev mogoče dostopati neposredno preko interneta. Ranljive pa so lahko tudi vaše aplikacije in storitve, ki niso javno dostopne na internetu.
Zakaj je Log4j tako problematična ranljivost?
Tveganje je izjemno visoko, saj se Log4j uporablja v številnih okoljih. Konkretno: praktično vsi uporabljamo beleženje v delovnih procesih in Log4j (v2) je zelo pogosto uporabljen modul v Javi. Če uporabljate Javo, je verjetno, da uporabljate Log4j.
To nas vodi do drugega, še pomembnejšega vidika tveganja. Ker je Log4j del številnih komercialnih, odprtokodnih in lastnih aplikacij oziroma storitev, mnoge organizacije niti ne vedo, da so izpostavljena tveganju (Aktualen seznam aplikacij, ki so ranljive zaradi Log4j, najdete na tej povezavi). Da bo težava še večja, bo zaradi kompleksnosti IT-rešitev in poslovnih okolij trajalo zelo dolgo časa, preden bodo lahko vsi, tudi proizvajalci, dosledno identificirali vsa ogrožena informacijska sredstva in odpravili ranljivost.
In ravno to dolgo obdobje negotovosti je največje poslovno tveganje v zvezi z Log4j. Kdaj boste lahko z gotovostjo trdili, da ste v vašem informacijskem okolju izkoreninili ranljivost iz vseh aplikacij? Še dolgo ne. Dejstvo namreč je, da bo identifikacija vseh ranljivih sistemov dolgotrajna in mukotrpna, enostavne in univerzalne rešitve pa ni. Kaj torej storiti?
Kratkoročna rešitev: identifikacija ranljivih sistemov, namestitev popravkov, omejitev dostopov in forenzika
Vsem organizacijam svetujemo, da se takoj osredotočijo na namestitev popravkov in omejitev dostopa do ranljivih storitev:
- Čim prej identificirajte vse aplikacije, ki uporabljajo ranljivo knjižnico. Namestite popravek oziroma nadgradnjo ranljive knjižnice. Podrobni in aktualni postopki so objavljeni tukaj.
- Če popravka ne morete namestiti sami, spremljajte obvestila proizvajalca posamezne aplikacije. Seznam ranljivih aplikacij in trenutni status v zvezi z Log4j se nahaja tukaj.
- Vzpostavite sisteme nadzora prometa med ranljivimi aplikacijami in zunanjimi omrežji (tipično Internet). Blokirajte ves promet (najmanj pa v odhodni smeri), ki ni ključnega pomena za delovanje aplikacij in storitev.
- Upoštevajte, da je bila ranljivost »v divjini« znana 9 dni pred javno objavo – to pomeni 9 dni priložnosti za zlorabo, preden smo začeli aktivno spremljati napade povezane s to ranljivostjo. Na najbolj kritičnih sistemih zato nujno izvedite forenzično analizo in se prepričajte, da niso bili zlorabljeni.
Če imate kakršna koli vprašanja v zvezi s tehničnimi ukrepi oziroma bi potrebovali pomoč pri implementaciji, se obrnite na našo servisno službo na +386 1 474 6 555.
Dolgoročna rešitev: sistem za zaznavo in odziv na kibernetske incidente
Ranljivost Log4j zaradi kompleksnosti IT-rešitev in sistemov še dolgo ne bo v celoti odpravljena. Zato smo pred dolgim obdobjem negotovosti, ko ne bomo zares vedeli ali je naše poslovanje varno oziroma ali so varne vse naše ogrožene aplikacije.
Edini učinkovit odgovor na to tveganje je proaktivno spremljanje varnostnega dogajanja v IT-okolju, analiziranje in odzivanje na kibernetske incidente, 24 ur na dan, vsak dan. Skratka, stalno bedenje nad vašim informacijskim sistemom in prežanje na potencialne nevarnosti.
Storitev NIL-ovega varnostno operativnega centra (SOC) vam omogoča ravno to. SOC je splet vrhunskih strokovnjakov, tehnoloških rešitev, uveljavljenih praks in industrijsko priznanih metodologij, ki skupaj zagotavljajo najvišjo stopnjo obvladovanja informacijske varnosti. Ne samo pred Log4j, ampak tudi pred prihajajočimi oziroma še neodkritimi varnostnimi ranljivostmi. Ker vaš posel ne more biti nikoli 100-odstotno varen pred kibernetskimi napadi. Lahko pa ste 100-odstotno pripravljeni.
Avtor: Matevž Mesojednik, vodja varnostno operativnega centra (SOC), NIL
LOG4J – TEDEN KASNEJE
Teden po tem, ko je ranljivost v programski opremi “Log4j” na noge spravila večino IT-jevcev po svetu, mnoge organizacije še vedno ne znajo oceniti svoje ranljivosti ter izbrati usteznih kratko- in dolgoročnih ukrepov. Kaj storiti takoj in kako dolgoročno odbiti Log4j in prihajajoče kritične varnostne ranljivosti?