Od vydání reaktivního opatření souvisejícího se zranitelností Log4Shell uběhl více než měsíc. Tato zranitelnost s označením CVE-2021-44228 se nachází v logovací komponentě Apache Log4j a má nejvyšší možné skóre kritičnosti – CVSS 10.0. Log4j pro logování využívají stovky systémů a aplikací, celkový počet zranitelných systémů byl v době odhalení zranitelnosti odhadován na vyšší stovky miliónů systémů po celém světě, což Log4Shell činí natolik kritickou. Zranitelnost umožňuje napadnout i systémy, které nejsou přímo dostupné z internetu, spustit v nich kód zcela bez autentizace a získat plnou kontrolu nad serverem. Útočníci tak mohou získat přístupové údaje, číst a exfiltrovat data či instalovat další škodlivé kódy, včetně ransomwaru. To vše při relativně malém úsilí, protože zneužití této zranitelnosti není technicky náročné.
Zranitelnost Log4Shell byla zveřejněna 9. prosince a NÚKIB na ní druhý den upozornil na svých webových stránkách. Po několika dnech analyzování a vyhodnocování potenciálního dopadu na českou kybernetickou bezpečnost se rozhodl pro vydání reaktivního opatření dle § 13 zákona č. 181/2014 Sb., o kybernetické bezpečnosti.
Poté, co NÚKIB reaktivní opatření 15. prosince vydal, se v nástroji Log4j objevily další zranitelnosti (CVE-2021-44832, CVE-2021-45046, CVE-2021-45105). Jakmile se pozornost bezpečnostní komunity upnula na Log4j, začali ji výzkumníci po celém světě analyzovat a nacházet v dotčené logovací komponentě další slabá místa. Žádná z těchto zranitelností ale nebyla tak kritická jako původní Log4Shell a u žádné nedošlo k plošnému zneužívání. CVE-2021-45046 sice měla skóre kritičnosti 9.0, ale doporučení ve vydaném reaktivním opatření se vztahovaly na celou komponentu Log4j a z toho důvodu ho nebylo potřeba měnit. Obecně je ale potřeba, aby si organizace udržovaly povědomí o nových zranitelnostech a neustále aktualizovaly všechny své systémy.
Následky Log4Shell zatím nejsou tak rozsáhlé, jak jsme v souvislosti s natolik kritickou zranitelností očekávali. NÚKIB k 21. lednu 2022 eviduje tři incidenty a všechny s ohledem na jejich limitované dopady klasifikuje jako „méně významné“:
- Administrátoři první organizace se po vydání reaktivního opatření NÚKIB rozhodli zjistit, zda ve svých systémech nemají zranitelné prvky. Během provádění doporučených postupů našli v jednom z jejich serverů log, který ukazoval na možný bezpečnostní incident. Útočníka zachytili ve chvíli, kdy se do jejich systémů snažil instalovat nástroj pro vzdálenou správu;
- Ve druhém případě nainstalovali útočníci na webový server napadené organizace cryptominer;
- Ve třetí organizace útočníci kompromitovali server pro správu mobilních zařízení, podle dostupných dat se ale dál v infrastruktuře nedostali.
Situace je podobná i světě. Ihned po zveřejnění zranitelnosti došlo k jejímu plošnému zneužívaní ze strany skupin provozujících cryptominery a botnety, ke svým útokům ji začala používat i jedna z nejaktivnějších ransomwarových skupin Conti. Závažné incidenty, za kterými by stály APT skupiny, zatím ale veřejně známé nejsou.
Nabízí se několik pravděpodobných vysvětlení. Prvním je, že oběti nemusí vědět o tom, že byly kompromitovány. Kompromitace mohla proběhnout rychle a sofistikovanější útočníci si mohli obratem vytvořit jinou persistenci a zamést po sobě stopy, které by ukazovaly na kompromitaci Log4j. Řada APT skupin totiž často v sítích svých obětí vyčkává na vhodný okamžik k útoku nebo pokouší zůstat nepozorována pro účely kyberšpionáže. Další možností je, že organizace mají své produkty s Log4j zabezpečené. Po vydání reaktivního opatření se NÚKIB přihlásily desítky organizací s žádostí o skenování jejich systémů. Skeny ve většině organizacích zachytily technologie zabraňující skenování. Třetí strany tak nemohou jednoduše zjistit, jestli se v infrastruktuře těchto organizací zranitelné systémy nachází nebo ne. Sofistikovaný útočník by při cíleném útoku taková opatření dokázal obejít, ale proti plošným skenům, kdy se útočníci snaží objevit zranitelné systémy při co nejmenším úsilí, jsou opatření účinná.
I přes to je ale pravděpodobné, že počet incidentů, které NÚKIB v souvislosti se zranitelností eviduje, není finální a další budou přibývat. Log4Shell se může projevit i v incidentech, ve kterých ji útočníci mohou zneužít k laterálnímu pohybu uvnitř infrastruktury. Vzhledem ke svému charakteru se systémy zranitelné vůči Log4Shell budou vyskytovat i ve střednědobém horizontu. Log4j je zakomponovaný v miliónech programů a organizace jsou závislé na tom, kdy je jejich autoři opraví. Microsoft Threat Intelligence Center (MSTIC) navíc potvrdilo, že si Log4Shell přidávají do palety používaných nástrojů i APT skupiny. Jsou to skupiny, které obecně mají dlouhodobější cíle a v sítích svých obětí se často snaží zůstat nepozorovány. Existuje tak reálná možnost, že jejich útoky se projeví později.