ČESKO – V souvislosti se 𝘇𝗮́𝘃𝗮𝘇̌𝗻𝗼𝘂 𝗸𝘆𝗯𝗲𝗿𝗻𝗲𝘁𝗶𝗰𝗸𝗼𝘂 𝗯𝗲𝘇𝗽𝗲𝗰̌𝗻𝗼𝘀𝘁𝗻𝗶́ 𝗵𝗿𝗼𝘇𝗯𝗼𝘂, která je způsobena zranitelností logovacího frameworku Apache Log4j vydáváme 𝗿𝗲𝗮𝗸𝘁𝗶𝘃𝗻𝗶́ 𝗼𝗽𝗮𝘁𝗿̌𝗲𝗻𝗶́.
Vzhledem k závažné zranitelnosti CVE-2021-44228 (zvané Log4Shell) v komponentně Apache Log4j, přistoupil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) k vydání reaktivního opatření dle § 13 zákona č. 181/2014 Sb., o kybernetické bezpečnosti.
„K vydání reaktivního opatření jsme se rozhodli kvůli extrémně závažné kybernetické hrozbě, která může mít dopad na fungování celé společnosti a která může ohrozit nejen systémy regulované podle zákona o kybernetické bezpečnosti. Proto doporučujeme úkony definované reaktivním opatřením aplikovat i těm subjektům, které do regulace nespadají,“ říká ředitel NÚKIB Karel Řehka.
Zranitelnost umožňuje v postižených systémech vzdálené spuštění kódu zcela bez autentizace,
což může vést k získání plné kontroly nad serverem, postihuje potenciálně velké množství široce používaných produktů a aplikací, které tuto komponentu běžně obsahují.
Celkový počet zranitelných systémů lze v tuto chvíli pouze odhadovat, nicméně celosvětově půjde
o vyšší stovky milionů. NÚKIB v současné době eviduje vysokou frekvenci skenování potenciálně zranitelných systémů v České republice a řadu aktivních zneužití, které budou v následujících dnech velmi pravděpodobně narůstat. Tyto případy jsou hlášeny též od zahraničních partnerů.
Jelikož lze zranitelnost zneužít k automatizovanému šíření malwaru, exfiltraci dat a nasazování ransomwaru, potenciální dopady představují kritické riziko nejen pro regulované subjekty, ale pro veškeré organizace, které používají některý ze zranitelných produktů ve svých systémech.
Reaktivní opatření vydané NÚKIB obsahuje úkony k zabezpečení systémů před kybernetickým bezpečnostním incidentem, který může být v důsledku zranitelnosti způsoben. Součástí reaktivního opatření jsou vedle povinných úkonů také metodické pokyny obsažené v odůvodnění.
Odkaz na plné znění opatření naleznete na tomto odkazu: https://www.nukib.cz/download/uredni_deska/2021-12-15_RO-NUKIB-Log4Shell.pdf
Zdroj: Národní úřad pro kybernetickou a informační bezpečnost
