Knjižnica Java logging library Log4j je v široki uporabi, zato bi lahko imela ranljivost velik vpliv na poslovanje. Ogroženi so namreč vsi informacijski sistemi od prometa do plinovodov, nuklearke, bank in drugih. Kritična ranljivost javanske knjižnice Apache Log4j verzij od vključno 2.0 do vključno 2.14.1. napadalcu omogoča izvedbo poljubne programske kode na ranljivem sistemu. To pomeni, da bi lahko prišlo do nepooblaščenih dostopov do informacijskih sistemov, ki uporabljajo omenjeno knjižnico.
"Ranljivost najdemo tako v odprtokodnih aplikacijah, lastnih rešitvah in številnih komercialnih produktih. Identifikacija vseh ranljivih komponent je zahtevna, univerzalne rešitve za različne postavitve sistemov ni," so zapisali v opozorilu Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT. Do zlorabe ranljivosti pride ob zapisu posebnega niza znakov, ki vsebuje JNDI zahtevek, v dnevniško datoteko. Ranljivost se že aktivno izkorišča v napadih na omrežju.
Ogrožene so tako vse države, ki uporabljajo to zelo popularno knjižnico, tudi Slovenija. "Do poskusov vdorov in napadov je že prišlo, nismo pa še zaznali, da bi prišlo tudi do konkretnega izkoriščanja," pravi vodja SI-CER Gorazd Božič.
Hekerji so, kot pojasnjuje, ugotovili, kako se knjižnico izkoristi za zagon zlonamerne kode. "Vendar pa je izraba te ranljivosti na srečo nekoliko bolj konkretna, zato se je ne da izkoristiti za trivialne oz. bolj komplicirane napade. Obstajata pa dve večji ranljivostmi, med katerimi so tudi veliki komercialni produkti, ki uporabljajo knjižnico in ki jih prodajajo velike programske hiše," razlaga.
Ob tem pa dodaja, da obstaja tudi potencial da bi se ranljivost uporabilo za velike napade. "Upamo sicer, da do teh ne bo prišlo, je pa treba zvišati stopnjo pripravljenosti," pravi Božič, ki dodaja, da situacijo spremljajo ter se usklajujejo tudi z drugimi državami. Skrbnikom sistemov svetujejo čimprejšnjo identifikacijo vse programske opreme, ki uporablja ranljivo knjižnico ter namestitev popravkov oz. izvedbo mitigacijskih mehanizmov. "Že v petek smo o nevarnosti obvestili najbolj kritično infrastrukturo, ki so tako že za vikend začeli odpravljati napake," je pojasnil.
"Zaenkrat zaznavamo predvsem poskuse manjših zločinov, kot je nameščanje programov za rudarjenje kriptovalut," razlaga in oddaja, da ti zločini ter skeniranje ranljivosti sistemov prihajajo iz tujine: "Ne morem pa trditi iz katere države, saj lahko hekerji uporabljajo tudi vmesnike oz. opremo, ki zakrije izvor napada."
Varnostni pregledi na programih in na knjižnici so bili sicer izvedeni, vendar pa Božič poudarja, da tudi z njimi ni mogoče zaznati vsake napake. "Z varnostnim pregledom se lahko zmanjša verjetnost za napake, ni pa nujno mogoče zagotoviti popolne varnosti," pravi.
Iz Urada vlade RS za informacijsko varnost so ob tem sporočili, da je razsežnosti navedenega incidenta informacijske varnosti oziroma razkritih kritičnih ranljivosti množično uporabljenih informacijskih produktov Java knjižnica Apache Log4j in s tem vpliva na izvajanje bistvenih storitev ter delovanje informacijskih storitev v tem trenutku težko natančno oceniti. Dogajanje bodo pozorno spremljali in po potrebi nemudoma ukrepali, so zagotovili, skrbnike informacijskih sistemov zavezancev pa pozvali na takojšnjo namestitev ustreznih popravkov. "Izvedli pa bomo tudi druge potrebne sorazmerne ukrepe," dodajajo.
SI.CERT je bil sicer ustanovljen že leta 1995, vendar pa tudi Božič priznava, da se je kibernetsko varnost v Sloveniji v preteklosti nekoliko zanemarjalo. "Naša država se je šele pred kratkim zavedala, da je treba stvari urejati tudi na tem področju. Zdaj poskušamo počasi nadoknaditi tudi za nazaj," še pravi.
KOMENTARJI (3)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.