To najpoważniejsza luka od dekad – mówią eksperci cyberbezpieczeństwa o ujawnionej podatności (nazwanej Log4Shell) w powszechnie stosowanej bibliotece oprogramowania. Polskie zespoły cyber podjęły już niezbędne działania. Oto informacja o podjętych przez nie działaniach. Popularna, powszechnie wykorzystywana przez twórców aplikacji, wieloplatformowa biblioteka Apache Log4j posiada krytyczną lukę – taka informacja obiegła świat 10 grudnia 2021 r. W usuwanie skutków incydentu włączyły się także polskie zespoły
odpowiedzialne za cyberbezpieczeństwo.
Najwyższy priotytet
Incydent będzie tematem dzisiejszego posiedzenia Zespołu Incydentów Krytycznych. Działania odpowiednich zespołów zaczęły się jednak wcześniej.
Wykryta podatność, przy dodatkowych warunkach, pozwala atakującemu na przejęcie pełnej kontroli nad serwerem lub stacją roboczą. Zagrożenie dotyczy wszystkich usług oraz systemów wykorzystujących Java Virtual Machine (JVM) i korzystających z biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie.
Ze względu na szerokie zastosowanie biblioteki w wielu aplikacjach i usługach oraz łatwość wykorzystania podatności, obsłudze incydentu nadano najwyższy priorytet we wszystkich zespołach CSIRT poziomu krajowego.
Kiedy tylko pojawiły się pierwsze informacje o wykrytej podatności zespoły CSIRT niezwłocznie podjęły działania, których celem było ograniczenie wpływu podatności na systemy znajdujące się w ich obszarach odpowiedzialności. Szczegóły tych działań został opisane w raporcie zespołów CSIRT poziomu krajowego (załącznik).
Dzięki działaniom CSIRT NASK m.in. udało się zidentyfikować dwa podatne podmioty będące Operatorem Usługi Kluczowej. Zostały o tym powiadomione i skutecznie usunęły podatność.
Rekomendacje
Zespoły CSIRT poziomu krajowego wskazują dwa kierunki działań związanych z obsługą podatności przez uczestników krajowego systemu cyberbezpieczeństwa:
- podjęcie działań naprawczych (aktualizacja biblioteki, współpraca z producentem) lub ograniczenie ryzyka (np. poprzez reguły blokujące, odłączenie usługi, wyłączenie Messages Lookup);
- podjęcie działań detekcyjnych (przeszukiwanie dzienników zdarzeń i innych artefaktów, monitoring procesów i ruchu sieciowego).
Działania zespołów CSIRT poziomu krajowego, oparte na wspólnej, wymienianej na bieżąco wiedzy doprowadziły do sprawnej obsługi incydentu.
Zespoły CSIRT poziomu krajowego nadal będą prowadziły identyfikację podatnych systemów, dystrybuowały ostrzeżenia, a także udzielały wsparcia podmiotom w zakresie wdrażania działań naprawczych i zabezpieczających.