Apache Log4j (Log4Shell) Vulnerability

Dne 9. prosince vydala nadace Apache Software Foundation bezpečnostní doporučení týkající se zranitelnosti vzdáleného spuštění kódu (CVE-2021-44228). Ta má vliv na protokolovací nástroj Log4j založený na Java. MITRE ohodnotil zranitelnost jako kritickou a přidělil jí CVSS skóre 10/10. Krátce nato útočníci začali využívat zranitelnost Log4j, což přimělo vládní instituce pro kybernetickou bezpečnost po celém světě, včetně Agentury pro kybernetickou bezpečnost a zabezpečení infrastruktury Spojených států a rakouského CERT, aby vydaly výstrahy a vyzývaly organizace, aby okamžitě opravily své systémy.

Jak rozšířená je zranitelnost Log4j a jaké druhy systémů jsou ovlivněny?

Zranitelnost Log4j je extrémně rozšířená a může ovlivnit podnikové aplikace, vestavěné systémy a jejich dílčí součásti. Aplikace založené na jazyku Java včetně Cisco Webex, Minecraft a FileSilla FTP jsou příklady postižených programů, ale v žádném případě se nejedná o vyčerpávající seznam. Tato zranitelnost se týká dokonce i mise vrtulníku Mars 2020, Ingenuity, která využívá Apache Log4j pro protokolování událostí.

Patch!

V tomto okamžiku je aktualizace knihovny log4j nejudržitelnějším zmírněním. Kromě nových standardních nastavení, která znamenají, že nové instalace nejsou zranitelné, byly opraveny i další problémy související s vyhledáváním JNDI. Ve verzi 2.16.0 jsou vyhledávání JNDI standardně zapnuta pouze v localhost.

Verze 2.16.0 problém řeší a je již k dispozici.

NCSC-NL, nizozemský národní CERT, zveřejnil seznam dotčeného softwaru na GitHubu:

Je však důležité poznamenat, že tyto seznamy se neustále mění, takže pokud není zahrnuta konkrétní aplikace nebo systém, neberte to jako záruku, že to nebude ovlivněno.

https://github.com/NCSC-NL/log4shell/…

Tento seznam se neustále rozšiřuje.

Subjekty podléhající zákonu o kybernetické bezpečnosti musí bezodkladně provést bezpečnostní aktualizace a prověřit, zda nedošlo ke kompromitaci jejich systémů.

Více informací naleznete zde: https://www.nukib.cz/download/uredni_deska/…

Další novinky

ISMS – Řízení bezpečnosti informací

ISMS – Řízení bezpečnosti informací

29. listopadu 2023 Více informací
NÚKIB hlásí snížení celkového počtu kybernetických incidentů

NÚKIB hlásí snížení celkového počtu kybernetických incidentů

02. srpna 2023 Více informací
Splunk conf23: Revoluční průlom v analytice a bezpečnosti dat

Splunk conf23: Revoluční průlom v analytice a bezpečnosti dat

28. července 2023 Více informací
Security Operations Bootcamp je za námi: Záplava znalostí a networkingu v oblasti Big Data a kyberbezpečnosti

Security Operations Bootcamp je za námi: Záplava znalostí a networkingu v oblasti Big Data a kyberbezpečnosti

14. července 2023 Více informací
Sands Security Operations Bootcamp – Hotel Atlantis Brno

Sands Security Operations Bootcamp – Hotel Atlantis Brno

11. května 2023 Více informací
Zobrazit další