W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Log4Shell – informacja o obsłudze incydentu cyberbezpieczeństwa

21.12.2021

To najpoważniejsza luka od dekad – mówią eksperci cyberbezpieczeństwa o ujawnionej podatności (nazwanej Log4Shell) w powszechnie stosowanej bibliotece oprogramowania. Polskie zespoły cyber podjęły już niezbędne działania. Oto informacja o podjętych przez nie działaniach.

Grafika w granatowo-niebieskich kolorach. Na pierwszym planie, z prawej strony, symbol kłódki. Na dole elementy symbolizujące sieć cyberbezpieczeństwa.

Popularna, powszechnie wykorzystywana przez twórców aplikacji, wieloplatformowa biblioteka Apache Log4j posiada krytyczną lukę – taka informacja obiegła świat 10 grudnia 2021 r. W usuwanie skutków incydentu włączyły się także polskie zespoły odpowiedzialne za cyberbezpieczeństwo.

Najwyższy priotytet

Incydent będzie tematem dzisiejszego posiedzenia Zespołu Incydentów Krytycznych. Działania odpowiednich zespołów zaczęły się jednak wcześniej.

Wykryta podatność, przy dodatkowych warunkach, pozwala atakującemu na przejęcie pełnej kontroli nad serwerem lub stacją roboczą. Zagrożenie dotyczy wszystkich usług oraz systemów wykorzystujących Java Virtual Machine (JVM) i korzystających z biblioteki Apache Log4j w wersjach od 2.0 do 2.14.1 włącznie.

Ze względu na szerokie zastosowanie biblioteki w wielu aplikacjach i usługach oraz łatwość wykorzystania podatności, obsłudze incydentu nadano najwyższy priorytet we wszystkich zespołach CSIRT poziomu krajowego.

Kiedy tylko pojawiły się pierwsze informacje o wykrytej podatności zespoły CSIRT niezwłocznie podjęły działania, których celem było ograniczenie wpływu podatności na systemy znajdujące się w ich obszarach odpowiedzialności. Szczegóły tych działań został opisane w raporcie zespołów CSIRT poziomu krajowego (załącznik).

Dzięki działaniom CSIRT NASK m.in. udało się zidentyfikować dwa podatne podmioty będące Operatorem Usługi Kluczowej. Zostały o tym powiadomione i skutecznie usunęły podatność.

Rekomendacje

Zespoły CSIRT poziomu krajowego wskazują dwa kierunki działań związanych z obsługą podatności przez uczestników krajowego systemu cyberbezpieczeństwa:

podjęcie działań naprawczych (aktualizacja biblioteki, współpraca z producentem) lub ograniczenie ryzyka (np. poprzez reguły blokujące, odłączenie usługi, wyłączenie Messages Lookup);
podjęcie działań detekcyjnych (przeszukiwanie dzienników zdarzeń i innych artefaktów, monitoring procesów i ruchu sieciowego).
Działania zespołów CSIRT poziomu krajowego, oparte na wspólnej, wymienianej na bieżąco wiedzy doprowadziły do sprawnej obsługi incydentu.

Zespoły CSIRT poziomu krajowego nadal będą prowadziły identyfikację podatnych systemów, dystrybuowały ostrzeżenia, a także udzielały wsparcia podmiotom w zakresie wdrażania działań naprawczych i zabezpieczających.

Na stronie CERT Polska (CSIRT NASK) można znaleźć systematycznie aktualizowany artykuł dotyczący zagrożenia oraz rekomendacji działań umożliwiających mitygację zmaterializowanego zagrożenia.

Materiały

Log4Shell​_Informacja​_nt​_obsługi​_incydentu​_cyberbezpieczeństwa​_(raport)
Log4Shell​_Informacja​_nt​_obsługi​_incydentu​_cyberbezpieczeństwa​_(raport).pdf 0.23MB
{"register":{"columns":[]}}