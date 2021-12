Nacionalni odzivni center za kibernetsko varnost je izdal opozorilo o kritični ranljivosti knjižnice Java logging library Log4j, ki napadalcu omogoča poljubne programske kode na ranljivem sistemu ali krajo občutljivih informacij. Ranljive so informacijsko-tehnične storitve vseh vrst: programska in strojna oprema, odjemalci in strežniki, oblačne storitve, infrastrukturna oprema. Urad Vlade RS za informacijsko varnost je zato ugotovil, da je nastopilo stanje, ko je podana velika verjetnost realizacije težjega ali kritičnega incidenta oz. kibernetskega napada. Do večjega vdora za zdaj še ni prišlo, se pa dogajajo skeniranja ranljivosti sistemov ter poskusi manjših zločinov, kot je nameščanje oprem za rudarjenje kriptovalut na tuje sisteme.

Knjižnica Java logging library Log4j je v široki uporabi, zato bi lahko imela ranljivost velik vpliv na poslovanje. Ogroženi so namreč vsi informacijski sistemi od prometa do plinovodov, nuklearke, bank in drugih. Kritična ranljivost javanske knjižnice Apache Log4j verzij od vključno 2.0 do vključno 2.14.1. napadalcu omogoča izvedbo poljubne programske kode na ranljivem sistemu. To pomeni, da bi lahko prišlo do nepooblaščenih dostopov do informacijskih sistemov, ki uporabljajo omenjeno knjižnico.

Log4j je popularna programska knjižnica, ki jo uporablja veliko število Java aplikacij. Ranljive so tako strežniške aplikacije kot odjemalci. Posebej opozarjamo, da so lahko ranljive tudi aplikacije, ki niso javno dostopne, vendar pa procesirajo podatke iz javno dostopnih virov.

"Ranljivost najdemo tako v odprtokodnih aplikacijah, lastnih rešitvah in številnih komercialnih produktih. Identifikacija vseh ranljivih komponent je zahtevna, univerzalne rešitve za različne postavitve sistemov ni," so zapisali v opozorilu Nacionalnega odzivnega centra za kibernetsko varnost SI-CERT. Do zlorabe ranljivosti pride ob zapisu posebnega niza znakov, ki vsebuje JNDI zahtevek, v dnevniško datoteko. Ranljivost se že aktivno izkorišča v napadih na omrežju. Ogrožene so tako vse države, ki uporabljajo to zelo popularno knjižnico, tudi Slovenija. "Do poskusov vdorov in napadov je že prišlo, nismo pa še zaznali, da bi prišlo tudi do konkretnega izkoriščanja," pravi vodja SI-CER Gorazd Božič.

"Do poskusov vdorov je že prišlo, nismo pa še zaznali, da bi prišlo tudi do konkretnega izkoriščanja," pravi vodja SI-CER Gorazd Božič.

Hekerji so, kot pojasnjuje, ugotovili, kako se knjižnico izkoristi za zagon zlonamerne kode. "Vendar pa je izraba te ranljivosti na srečo nekoliko bolj konkretna, zato se je ne da izkoristiti za trivialne oz. bolj komplicirane napade. Obstajata pa dve večji ranljivostmi, med katerimi so tudi veliki komercialni produkti, ki uporabljajo knjižnico in ki jih prodajajo velike programske hiše," razlaga. Ob tem pa dodaja, da obstaja tudi potencial da bi se ranljivost uporabilo za velike napade. "Upamo sicer, da do teh ne bo prišlo, je pa treba zvišati stopnjo pripravljenosti," pravi Božič, ki dodaja, da situacijo spremljajo ter se usklajujejo tudi z drugimi državami. Skrbnikom sistemov svetujejo čimprejšnjo identifikacijo vse programske opreme, ki uporablja ranljivo knjižnico ter namestitev popravkov oz. izvedbo mitigacijskih mehanizmov. "Že v petek smo o nevarnosti obvestili najbolj kritično infrastrukturo, ki so tako že za vikend začeli odpravljati napake," je pojasnil. "Zaenkrat zaznavamo predvsem poskuse manjših zločinov, kot je nameščanje programov za rudarjenje kriptovalut," razlaga in oddaja, da ti zločini ter skeniranje ranljivosti sistemov prihajajo iz tujine: "Ne morem pa trditi iz katere države, saj lahko hekerji uporabljajo tudi vmesnike oz. opremo, ki zakrije izvor napada." Varnostni pregledi na programih in na knjižnici so bili sicer izvedeni, vendar pa Božič poudarja, da tudi z njimi ni mogoče zaznati vsake napake. "Z varnostnim pregledom se lahko zmanjša verjetnost za napake, ni pa nujno mogoče zagotoviti popolne varnosti," pravi.

V uradu dodajajo še, da o ranljivosti svojih produktov poroča tudi veliko število proizvajalcev programske opreme (npr. VMware, IBM Qradar, PulseSecure, Cisco in drugi).