Razglašeno stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov
Kritična ranljivost javanske knjižnice Apache Log4j verzij od vključno 2.0 do vključno 2.14.1., ki napadalcem omogoča izvajanje poljubne kode na sistemu ter omogoča izkoriščanje ranljivosti, resno ogroža varnost omrežij in informacijskih sistemov zavezancev iz Zakona o informacijski varnosti in tudi drugih organizacij, ki uporabljajo informacijski produkt Java knjižnica Apache Log4j. Slednji je v široki uporabi in bi posledično ranljivost lahko imela velik vpliv na poslovanje. Na podlagi drugega odstavka 22. člena Zakona o informacijski varnosti Urad Vlade Republike Slovenije za informacijsko varnost kot pristojni nacionalni organ podaja oceno, da gre za stanje povečane ogroženosti varnosti omrežij in informacijskih sistemov.
Na podlagi sporočil o ranljivosti verzij Apache Log4j od vključno 2.0 do vključno 2.14.1. je SI-CERT dne 10. 12. 2021 na svoji spletni strani objavil varnostno obvestilo, da je bila v programski knjižnici Java logging library Log4j odkrita kritična ranljivost, ki napadalcem omogoča izvajanje poljubne kode na sistemu (angl.: RCE – remote code execution). »Proof-of-concept« koda, ki omogoča izkoriščanje ranljivosti, je že na voljo v javnosti. Apache Log4j je popularna programska knjižnica, ki jo uporablja veliko število Java aplikacij. Ranljive so storitve informacijske tehnologije vseh vrst: programska in strojna oprema, odjemalci in strežniki, oblačne storitve, infrastrukturna oprema (virtualizacija, Mobile Device Management, omrežne naprave, tiskalniki, IP kamere itd.). Posebej pomembno je, da so lahko ranljive tudi storitve informacijske tehnologije, ki sicer niso javno dostopne, vendar pa procesirajo podatke iz drugih, javno dostopnih sistemov (npr. Elasticsearch, ki je del ELK sklada za procesiranje in hrambo logov). Ranljivost je moč izkoriščati tudi v zalednih sistemih, ki niso neposredno izpostavljeni na internetu. Izkoriščanje verige ranljivosti naj bi napadalcem omogočalo realizacijo težjega ali kritičnega incidenta oziroma kibernetskega napada. O ranljivosti svojih produktov poroča tudi veliko število proizvajalcev programske opreme kot npr. VMware, IBM Qradar, PulseSecure, Cisco in drugi (več podrobnosti na prej omenjeni spletni stani SI-CERT).
Na podlagi do sedaj zbranih podatkov, ki kažejo na množično razširjenost potencialno ranljivih sistemov, je moč utemeljeno sklepati, da obstaja očitna povečana ogroženost varnosti omrežij in informacijskih sistemov v Republiki Sloveniji, ki uporabljajo zgoraj navedene verzije Apache Log4j.
Urad Vlade Republike Slovenije za informacijsko varnost je na podlagi objavljenih analiz in pridobljenih informacij ter v sodelovanju z drugimi pristojnimi organi in organizacijami ugotovil, da je nastopilo stanje, ko je podana velika verjetnost realizacije težjega ali kritičnega incidenta iz prvega odstavka oziroma kibernetskega napada iz drugega odstavka 21. člena Zakona o informacijski varnosti v 72 urah od zaznave takšne verjetnosti. S tem je resno ogrožena varnost omrežij in informacijskih sistemov zavezancev iz Zakona o informacijski varnosti in tudi drugih organizacij, ki uporabljajo informacijski produkt Java knjižnica Apache Log4j, ki je v široki uporabi in bi posledično ranljivost lahko imela velik vpliv na poslovanje.
Razsežnosti navedenega incidenta informacijske varnosti oziroma razkritih kritičnih ranljivosti množično uporabljenih informacijskih produktov Java knjižnica Apache Log4j in s tem vpliva na izvajanje bistvenih storitev ter delovanje informacijskih storitev, ki so potrebne za nemoteno delovanje države ali zagotavljanje nacionalne varnosti v Republiki Sloveniji, je v tem trenutku težko natančno oceniti. Na Uradu Vlade Republike Slovenije za informacijsko varnost bomo dogajanje pozorno in podrobno spremljali ter po potrebi tudi nemudoma ustrezno ukrepali. Skrbnike informacijskih sistemov pozivamo na takojšnjo namestitev ustreznih popravkov, izvedli pa bomo tudi druge potrebne sorazmerne ukrepe.