Log4j je logovací aplikační rámec pro Javu vyvíjený Apache Software Foundation. V rámci aplikačních rámců pro logování v Javě se vyvinul ve faktický standard. Stejně jako Java samotná je multiplatformní. Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na velmi závažnou zranitelnost logovacího frameworku Apache Log4j s identifikátorem CVE-2021-44228.
Zranitelnost „Log4Shell“ se závažností CVSSv3 9.8 potenciálně postihuje veškeré aplikace, které ji k logování používají a umožňují příjem požadavků skrze libovolný protokol. Zalogováním speciálně vytvořeného požadavku, který útočník na server zašle, dojde kvůli chybě v interpretaci k jeho spuštění, čímž může získat plnou kontrolu nad serverem.
Log4j je nativní součástí produktů Apache, např. Apache Struts, Apache Druid, Apache Flume, Apache Flink, Apache Kafka a dalších. Framework využívají například Redis, ElasticSearch, Logstash a obecně většina aplikací běžících na Javě.
Ke zranitelnosti byl zveřejněn Proof-of-concept a byly již zaznamenány případy skenování a zneužívání. Lze očekávat, že s ohledem na veřejně dostupný kód a nízkou složitost zneužití bude četnost útoků narůstat a zranitelnost může být využita jako vstupní bod například pro ransomware operátory.
Jelikož zranitelnost je spojena s vysokou hrozbou neoprávněného přístupu, což může v důsledku vést k celkové kompromitaci či nedostupnosti systému, je třeba zvážit všechny možné dopady zneužití zranitelnosti. V případě, že tyto dopady převýší akceptovatelnou míru rizika je třeba zvážit omezení odchozího spojení do internetu.
NÚKIB vydává reaktivní opatření v souvislosti se zranitelností Log4Shell
Vzhledem k závažné zranitelnosti CVE-2021-44228 (zvané Log4Shell) v komponentně Apache Log4j, přistoupil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) k vydání reaktivního opatření dle § 13 zákona č. 181/2014 Sb., o kybernetické bezpečnosti.
„K vydání reaktivního opatření jsme se rozhodli kvůli extrémně závažné kybernetické hrozbě, která může mít dopad na fungování celé společnosti a která může ohrozit nejen systémy regulované podle zákona o kybernetické bezpečnosti. Proto doporučujeme úkony definované reaktivním opatřením aplikovat i těm subjektům, které do regulace nespadají.“
Karel Řehka, ředitel NÚKIB
Zranitelnost umožňuje v postižených systémech vzdálené spuštění kódu zcela bez autentizace,
což může vést k získání plné kontroly nad serverem, postihuje potenciálně velké množství široce používaných produktů a aplikací, které tuto komponentu běžně obsahují.
Celkový počet zranitelných systémů lze v tuto chvíli pouze odhadovat, nicméně celosvětově půjde o vyšší stovky milionů. NÚKIB v současné době eviduje vysokou frekvenci skenování potenciálně zranitelných systémů v České republice a řadu aktivních zneužití, které budou v následujících dnech velmi pravděpodobně narůstat. Tyto případy jsou hlášeny též od zahraničních partnerů.
Jelikož lze zranitelnost zneužít k automatizovanému šíření malwaru, exfiltraci dat a nasazování ransomwaru, potenciální dopady představují kritické riziko nejen pro regulované subjekty, ale pro veškeré organizace, které používají některý ze zranitelných produktů ve svých systémech.
Reaktivní opatření vydané NÚKIB obsahuje úkony k zabezpečení systémů před kybernetickým bezpečnostním incidentem, který může být v důsledku zranitelnosti způsoben. Součástí reaktivního opatření jsou vedle povinných úkonů také metodické pokyny obsažené v odůvodnění.