Log4Shell – informacja o obsłudze incydentu cyberbezpieczeństwa

- To najpoważniejsza luka od dekad – mówią eksperci cyberbezpieczeństwa o ujawnionej podatności (nazwanej Log4Shell) w powszechnie stosowanej bibliotece oprogramowania. Polskie zespoły cyber podjęły już niezbędne działania. Oto informacja o podjętych przez nie działaniach.

Popularna, powszechnie wykorzystywana przez twórców aplikacji, wieloplatformowa biblioteka Apache Log4j posiada krytyczną lukę – taka informacja obiegła świat 10 grudnia 2021 r. W usuwanie skutków incydentu włączyły się także polskie zespoły odpowiedzialne za cyberbezpieczeństwo.

 

Najwyższy priotytet

Wykryta podatność, przy dodatkowych warunkach, pozwala atakującemu na przejęcie pełnej kontroli nad serwerem lub stacją roboczą. Zagrożenie dotyczy wszystkich usług oraz systemów wykorzystujących Java Virtual Machine (JVM) i korzystających z biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie.

Ze względu na szerokie zastosowanie biblioteki w wielu aplikacjach i usługach oraz łatwość wykorzystania podatności, obsłudze incydentu nadano najwyższy priorytet we wszystkich zespołach CSIRT poziomu krajowego.

Kiedy tylko pojawiły się pierwsze informacje o wykrytej podatności zespoły CSIRT niezwłocznie podjęły działania, których celem było ograniczenie wpływu podatności na systemy znajdujące się w ich obszarach odpowiedzialności. Szczegóły tych działań został opisane w raporcie zespołów CSIRT poziomu krajowego (patrz załącznik na końcu artykułu).

Dzięki działaniom CSIRT NASK m.in. udało się zidentyfikować dwa podatne podmioty będące Operatorem Usługi Kluczowej. Zostały o tym powiadomione i skutecznie usunęły podatność.

 

Rekomendacje

Zespoły CSIRT poziomu krajowego wskazują dwa kierunki działań związanych z obsługą podatności przez podmioty należące do krajowego systemu cyberbezpieczeństwa:

  • podjęcie działań naprawczych (aktualizacja biblioteki, współpraca z producentem) lub ograniczenie ryzyka (np. poprzez reguły blokujące, odłączenie usługi, wyłączenie Messages Lookup),
  • podjęcie działań detekcyjnych (przeszukiwanie dzienników zdarzeń i innych artefaktów, monitoring procesów i ruchu sieciowego).

 

Działania zespołów CSIRT poziomu krajowego, oparte na wspólnej, wymienianej na bieżąco wiedzy doprowadziły do sprawnej obsługi incydentu.

Zespoły CSIRT poziomu krajowego nadal będą prowadziły identyfikację podatnych systemów, dystrybuowały ostrzeżenia, a także udzielały wsparcia podmiotom w zakresie wdrażania działań naprawczych i zabezpieczających.

Na stronie CERT Polska (CSIRT NASK) można znaleźć systematycznie aktualizowany artykuł dotyczący zagrożenia oraz rekomendacji działań umożliwiających mitygację zmaterializowanego zagrożenia.