Razglašeno stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov

Avtor: Vika Krajnc

Urad Vlade Republike Slovenije za informacijsko varnost kot pristojni nacionalni organ zaradi kritične ranljivosti javanskih knjižnic Apache Log4j verzij od vključno 2.0 do vključno 2.14.1. razglaša stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov.

Kritična ranljivost javanske knjižnice Apache Log4j verzij od vključno 2.0 do vključno 2.14.1., ki napadalcem omogoča izvajanje poljubne kode na sistemu ter omogoča izkoriščanje ranljivosti, resno ogroža varnost omrežij in informacijskih sistemov zavezancev iz Zakona o informacijski varnosti in tudi drugih organizacij, ki uporabljajo informacijski produkt Java knjižnica Apache Log4j. Slednji je v široki uporabi in bi posledično ranljivost lahko imela velik vpliv na poslovanje.

Na podlagi sporočil o ranljivosti verzij Apache Log4j od vključno 2.0 do vključno 2.14.1. je SI-CERT dne 10. 12. 2021 na svoji spletni strani objavil varnostno obvestilo, da je bila v programski knjižnici Java logging library Log4j odkrita kritična ranljivost, ki napadalcem omogoča izvajanje poljubne kode na sistemu (angl.: RCE – remote code execution). »Proof-of-concept« koda, ki omogoča izkoriščanje ranljivosti, je že na voljo v javnosti. Apache Log4j je popularna programska knjižnica, ki jo uporablja veliko število Java aplikacij. Ranljive so storitve informacijske tehnologije vseh vrst: programska in strojna oprema, odjemalci in strežniki, oblačne storitve, infrastrukturna oprema (virtualizacija, Mobile Device Management, omrežne naprave, tiskalniki, IP kamere itd.).  Posebej pomembno je, da so lahko ranljive tudi storitve informacijske tehnologije, ki sicer niso javno dostopne, vendar pa procesirajo podatke iz drugih, javno dostopnih sistemov (npr. Elasticsearch, ki je del ELK sklada za procesiranje in hrambo logov). Ranljivost je moč izkoriščati tudi v zalednih sistemih, ki niso neposredno izpostavljeni na internetu. Izkoriščanje verige ranljivosti naj bi napadalcem omogočalo realizacijo težjega ali kritičnega incidenta oziroma kibernetskega napada. O ranljivosti svojih produktov poroča tudi veliko število proizvajalcev programske opreme kot npr. VMware, IBM Qradar, PulseSecure, Cisco in drugi (več podrobnosti na prej omenjeni spletni stani SI-CERT).

Na podlagi do sedaj zbranih podatkov, ki kažejo na množično razširjenost potencialno ranljivih sistemov, je moč utemeljeno sklepati, da obstaja očitna povečana ogroženost varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki uporabljajo zgoraj navedene verzije Apache Log4j.

Razsežnosti navedenega incidenta informacijske varnosti oziroma razkritih kritičnih ranljivosti množično uporabljenih informacijskih produktov Java knjižnica Apache Log4j in s tem vpliva na izvajanje bistvenih storitev ter delovanje informacijskih storitev, ki so potrebne za nemoteno delovanje države ali zagotavljanje nacionalne varnosti v Republiki Sloveniji, je v tem trenutku težko natančno oceniti. Na Uradu Vlade Republike Slovenije za informacijsko varnost bomo dogajanje pozorno in podrobno spremljali ter po potrebi tudi nemudoma ustrezno ukrepali. Skrbnike informacijskih sistemov pozivamo na takojšnjo namestitev ustreznih popravkov, izvedli pa bomo tudi druge potrebne sorazmerne ukrepe.

Kopa d.d. je svoje stranke in uporabnike o nevarnosti že obvestila in jim poslala nadaljnja navodila ter korake. Za dodatne informacije in podrobnosti smo na voljo na info@kopa.si.

 

Vsebina objavljena na Uradu Vlade Republike Slovenije za informacijsko varnost, 14.12.2021