Log4j2 – Log4Shell – průšvih nebo bouře ve sklenici vody?

Dne 9. 12. se objevila první oficiální zpráva o existenci zranitelnosti v java třídě jndiLookup v knihovně Apache Log4j 2 ve verzích 2.0–2.14.1. Je pravda, že zneužití této zranitelnosti v nezabezpečeném prostředí je poměrně snadné a tak si téměř každý, kdo se v branži pohybuje, může vyzkoušet napadnout nějaký na internetu dostupný server a vyzkoušet, jestli se mu nepodaří na něm spustit svůj program. Téměř okamžitě po zveřejnění této zranitelnosti se také začaly takové pokusy objevovat a samozřejmě první využití bylo spustit na takto napadeném serveru nějaký program na těžbu kryptoměn (Mimochodem: Kdyby došlo k trvalému zákazu používání kryptoměn na celém světě, počet útoků na IT by se snížil alespoň o 50 %).

Jsou ovšem reálně opravdu všechny systémy s touto komponentou v ohrožení? NUKIB (Národní úřad pro kybernetickou bezpečnost) vydal k této zranitelnosti dokonce opatření, které na tuto zranitelnost reaguje, uvádí k ní informace a také požaduje nápravná opatření po správcích kritické infrastruktury. Přesto – odpověď na otázku z úvodu odstavce zní – určitě ne.

Jednou z podmínek využití této zranitelnosti je fakt, že server s touto zranitelností musí mít možnost stáhnout k sobě nějaký exploit – spustitelný kód. Požadavek na stažení posílá protokolem ldap. Neznám firemní síť, kde by interní servery nebyly chráněny a odstínění od internetu přes Firewall, na kterém jsou povoleny jen ty protokoly a služby, které je nezbytně nutné mít přístupné z DeMilitarizované Zóny. To rozhodně protokol ldap není. Vedle toho jsou samozřejmě i systémy v DMZ chráněné pomocí FW a stejně tak protokol ldap není mezi těmi, které by byly běžně do internetu povolené.

Takže jak odpovědět na otázku v titulku? Pokud máte nechráněný server posazený s přímým přístupem do internetu a máte v něm inkriminovanou komponentu, máte problém. Pokud ne, máte potenciální problém – ale v podstatě stejný, jako s každou jinou zranitelností která se objeví. V obou případech je vhodné aplikovat nápravné kroky – nejlépe provést update na novou verzi. Ale pokud máte server ve vnitřní síti (ale i v DMZ), v samostatné VLAN, do které mají přístup pouze jiné interní sítě (nebo i DMZ), jen na omezený počet protokolů a portů a veškerá další komunikace oběma směry je zakázána – což je v sítích, kde dbají na bezpečnost pravidlem, tak opravdu není potřeba panikařit a rychle shánět někoho, kdo vám řekne jestli jste zranitelní nebo ne a kdo to nejlépe o vánočních svátcích opraví. Naplánujte update produktů na standardní odstávku, vše připravte a proveďte a hlavně bez paniky, ať neuděláte více škody, než užitku. A pro ty ostatní – pokud máte otevřený server v internetu – nu, vy byste měli reagovat rychle, ovšem pokud máte v internetu nechráněný server, tak vás stejně někdo dříve nebo později dostane a řešení je koncepční, jedna rychlá záplata to nespasí. Odpověď tedy zní – pro ty IT, které dbají na bezpečnost, je to zcela jistě bouře ve sklenici vody. A ti ostatní, ti žijí v bouřícím oceánu trvale.

Autor: Vladimír Müller

Čtěte dál …

Svatý grál na Prima ZOOM

Ve španělské Valencii stojí úctyhodná katedrála, která skrývá tajuplný zlatý kalich zdobený vzácnými kameny. Tento historický objekt nevyčíslitelné hodnoty je považován za legendární svatý grál. Přesto existují i jiné artefakty z různých koutů světa, o kterých se říká...

pokračovat ve čtení