Bezpečnostní experti nedávno objevili zranitelnost CVE-2021-44228 (Log4Shell) ve starších verzích knihovny Log4j 2.x pro Javu a práci s logy.
Chyba v nástroji pro práci s logy v Javě
Pro běžného smrtelníka by to byla za běžné situace poměrně okrajová a ryze technicistní zpráva, jelikož ale patří Java k nejrozšířenějším technologiím pro podnikové aplikace a Log4j je integrální součástí mnoha produktů od nadace Apache, problém se nabaluje jako sněhová koule a může se týkat ohromného množství zejména serverových aplikací.
V potenciálním ohrožení nicméně mohou být i některé na Javě postavené produkty pro běžné uživatele. Zranitelností se tak zabývá třeba výrobce nasů QNAP a zjišťuje, jestli nemohou být napadnutelné jeho aplikace, protože sám používá softwary od nadace Apache.
NÚKIB vydal příkaz pro kritickou infrastrukturu
Kvůli zranitelnosti může záškodník skrze Log4j spustit vlastní kód. Chyba se týká verzí 2.0 až 2.14.1 a záplata je součástí balíčku 2.15.0-rc2 z 10. prosince.
Ověření zneužit zranitelnosti:
Zneužití zranitelnosti lze ověřit vyhledáním řetězců `${jndi:ldap://`,`${jndi:rmi://`, `${jndi:ldaps://` v lozích serveru. K vyhledání lze použít například příkaz a YARA pravidlo publikované zde.
Odstranění zranitelnosti:
Zranitelnost lze mitigovat nastavením parametru `log4j2.formatMsgNoLookups` na `True`, ve verzích 2.0 až 2.14.1. Zranitelnost také opravuje aktualizace 2.15.0-rc2 vydaná 10.12.2021, která tento parametr nastavuje na `True` v defaultní konfiguraci.
NÚKIB
Před chybou varuje také tuzemský Národní úřad pro kybernetickou a informační bezpečnost, který dnes vydal veřejnou vyhlášku – opatření obecné povahy s povely pro kritickou infrastrukturu státu. Jedná se tedy o soubor bodů, které musejí provést IT oddělení klíčových počítačových systémů, aby zabránila případným škodám.
Plné znění reaktivního opatření NÚKIB: