Gre za kritično ranljivost javanske knjižnice Apache Log4j, različic od vključno 2.0 do vključno 2.14.1., ki resno ogroža varnost omrežij in informacijskih sistemov zavezancev iz zakona o informacijski varnosti in tudi drugih organizacij, ki uporabljajo omenjeno knjižnico. Ta je v široki uporabi, zato bi ranljivost lahko imela velik vpliv na poslovanje, so v uradu zapisali v sporočilo za javnost.

Urad je na podlagi objavljenih analiz in pridobljenih informacij ter v sodelovanju z drugimi pristojnimi organi in organizacijami ob tem ugotovil, da je nastopilo stanje, ko je podana velika verjetnost realizacije težjega ali kritičnega incidenta oziroma kibernetskega napada, kot ju opredeljuje 21. člen zakona o informacijski varnosti, v 72 urah od zaznave takšne verjetnosti.

Razsežnosti navedenega incidenta oziroma razkritih kritičnih ranljivosti množično uporabljenih informacijskih produktov Apache Log4j in s tem vpliva na izvajanje bistvenih storitev ter delovanje informacijskih storitev, ki so potrebne za nemoteno delovanje države ali zagotavljanje nacionalne varnosti v Sloveniji, je v tem trenutku težko natančno oceniti, pojasnjujejo v uradu.

Skrbnike informacijskih sistemov zavezancev pa pozivajo k takojšnji namestitvi ustreznih popravkov, izvedli pa bodo tudi druge potrebne sorazmerne ukrepe.

Kot še pojasnjujejo v uradu, je nacionalni odzivni center za kibernetsko varnost SI-CERT na podlagi sporočil o ranljivosti verzij Apache Log4j od vključno 2.0 do vključno 2.14.1. v petek objavil varnostno obvestilo, da je bila v programski knjižnici Java logging library Log4j odkrita kritična ranljivost, ki napadalcem omogoča izvajanje poljubne kode na sistemu. Tako imenovana proof-of-concept koda, ki omogoča izkoriščanje ranljivosti, je že na voljo v javnosti.

Apache Log4j je popularna programska knjižnica, ki jo uporablja veliko število Java aplikacij. Ranljive so IT-storitve vseh vrst: programska in strojna oprema, odjemalci in strežniki, oblačne storitve, infrastrukturna oprema (virtualizacija, omrežne naprave, tiskalniki, IP-kamere itd.). Posebej pomembno je, da so lahko ranljive tudi IT-storitve, ki sicer niso javno dostopne, vendar pa procesirajo podatke iz drugih, javno dostopnih sistemov (npr. Elasticsearch, ki je del ELK sklada za procesiranje in hrambo logov). Ranljivost je moč izkoriščati tudi v zalednih sistemih, ki niso neposredno izpostavljeni na internetu.

V uradu dodajajo še, da o ranljivosti svojih produktov poroča tudi veliko število proizvajalcev programske opreme (npr. VMware, IBM Qradar, PulseSecure, Cisco in drugi).