Log4j2 – Log4Shell – průšvih nebo bouře ve sklenici vody?

Vzdělávání

Dne 9. 12. se objevila první oficiální zpráva o existenci zranitelnosti v java třídě jndiLookup v knihovně Apache Log4j 2 ve verzích 2.0–2.14.1. Je pravda, že zneužití této zranitelnosti v nezabezpečeném prostředí je poměrně snadné a tak si téměř každý, kdo se v branži pohybuje, může vyzkoušet napadnout nějaký na internetu dostupný server a vyzkoušet, jestli se mu nepodaří na něm spustit svůj program. Téměř okamžitě po zveřejnění této zranitelnosti se také začaly takové pokusy objevovat a samozřejmě první využití bylo spustit na takto napadeném serveru nějaký program na těžbu kryptoměn (Mimochodem: Kdyby došlo k trvalému zákazu používání kryptoměn na celém světě, počet útoků na IT by se snížil alespoň o 50 %).

Jsou ovšem reálně opravdu všechny systémy s touto komponentou v ohrožení? NUKIB (Národní úřad pro kybernetickou bezpečnost) vydal k této zranitelnosti dokonce opatření, které na tuto zranitelnost reaguje, uvádí k ní informace a také požaduje nápravná opatření po správcích kritické infrastruktury. Přesto – odpověď na otázku z úvodu odstavce zní – určitě ne.

Jednou z podmínek využití této zranitelnosti je fakt, že server s touto zranitelností musí mít možnost stáhnout k sobě nějaký exploit – spustitelný kód. Požadavek na stažení posílá protokolem ldap. Neznám firemní síť, kde by interní servery nebyly chráněny a odstínění od internetu přes Firewall, na kterém jsou povoleny jen ty protokoly a služby, které je nezbytně nutné mít přístupné z DeMilitarizované Zóny. To rozhodně protokol ldap není. Vedle toho jsou samozřejmě i systémy v DMZ chráněné pomocí FW a stejně tak protokol ldap není mezi těmi, které by byly běžně do internetu povolené.

Takže jak odpovědět na otázku v titulku? Pokud máte nechráněný server posazený s přímým přístupem do internetu a máte v něm inkriminovanou komponentu, máte problém. Pokud ne, máte potenciální problém – ale v podstatě stejný, jako s každou jinou zranitelností která se objeví. V obou případech je vhodné aplikovat nápravné kroky – nejlépe provést update na novou verzi. Ale pokud máte server ve vnitřní síti (ale i v DMZ), v samostatné VLAN, do které mají přístup pouze jiné interní sítě (nebo i DMZ), jen na omezený počet protokolů a portů a veškerá další komunikace oběma směry je zakázána – což je v sítích, kde dbají na bezpečnost pravidlem, tak opravdu není potřeba panikařit a rychle shánět někoho, kdo vám řekne jestli jste zranitelní nebo ne a kdo to nejlépe o vánočních svátcích opraví. Naplánujte update produktů na standardní odstávku, vše připravte a proveďte a hlavně bez paniky, ať neuděláte více škody, než užitku. A pro ty ostatní – pokud máte otevřený server v internetu – nu, vy byste měli reagovat rychle, ovšem pokud máte v internetu nechráněný server, tak vás stejně někdo dříve nebo později dostane a řešení je koncepční, jedna rychlá záplata to nespasí. Odpověď tedy zní – pro ty IT, které dbají na bezpečnost, je to zcela jistě bouře ve sklenici vody. A ti ostatní, ti žijí v bouřícím oceánu trvale.

Autor: Vladimír Müller

Čtěte dál …