A biztonsági szakemberek nem hiába kongatták a vészharangot azt követően, hogy december folyamán nyilvánosságra került egy kritikus hiba, amely az Apache Log4j naplózó eszközének 2.x verzióját érinti. A mostani sérülékenység azért jelent különösen nagy veszélyt, mivel a távoli kódfuttatási sebezhetőség könnyen kihasználható, és ezen keresztül a rendszer teljes irányítását át lehet venni. Az már csak hab a tortán, hogy az eszközt széles körben használják szervezetek, illetve az őket kiszolgáló informatikai szállítók, így a potenciális áldozatok tábora riasztóan nagy.

Hogy mennyire kiritkus a helyzet, arra Belgium szolgáltatott most kínos példát. A NATO-tag védelmi minisztériumának informatikai rendszerét ugyanis pontosan ezzel a sebezhetőséggel sikerült kompromittálnia az egyelőre ismeretlen internetes támadó(k)nak. A hírt megszellőztető flamand nyelvű VRT beszámolója szerint a tárca bizonyos képességeit napokra megbénította a hekkerek akciója.

A pórul járt minisztérium szóvivője az ügy kapcsán leginkább csak annak tényét volt hajlandó elismerni, a hivatalos nyilatkozat ezen túl kevés konkrétumot tartalmaz. A szóvivő szerint a 16-án felfedezett támadást után gyorsan karanténintézkedéseket tettek az érintett részek elkülönítésére, miközben prioritásként kezelték a védelmi hálózat működőképességének fenntartását.

A belga esetnek további pikantériát kölcsönöz az, hogy az ország kormányzati hátterű kiberbiztonsági központja épp tegnap adott ki közleményt, amelyben a vállalatokat figyelmeztetik a Log4j jelentette kockázatokra. Hozzátéve, hogy aki esetleg még nem tette meg a szükséges biztonsági lépéseket, frissítéseket, az azonnal lásson hozzá a munkához. Ellenkező esetben csúnyán járhatnak. Mint például a védelmi minisztérium. (Utóbbit persze már csak mi tettük hozzá.)

A NATO, amelynek európai központja épp Belgiumban van, egyelőre nem nyilatkozott arról, hálózatát érintette-e a minisztérium ellen intézett múlt hét csütörtöki támadás.

Hibát hibára halmoznak

Az sem könnyíti meg az Apache-ban felfedezett kritikus sérülékenységgel kapcsolatos intézkedések végrehajtását, hogy az eredeti hiba felfedezését követően több új problémára is fény derült, a rés befoltozására kiadott első javítócsomagok pedig nem bizonyultak százszázalékosnak. Jelenleg ott tartunk, hogy a Log4j-hez már a harmadik update jelent meg nagyjából másfél hét alatt.