Iso osa internetistä on haavoittuvassa tilassa: Yritysten ja organisaatioiden on itse korjattava tilanne tietomurtojen estämiseksi - Talous | HS.fi

Iso osa internetistä on haavoittuvassa tilassa: Yritysten ja organisaatioiden on itse korjattava tilanne tieto­murtojen estämiseksi

Apachen komponentista löytyneen haavoittuvuuden korjaaminen on organisaatioiden ja yritysten omissa käsissä. Tavallinen internetin käyttäjä ei voi tehdä asialle mitään.

Tavallinen netin käyttäjä ei voi tehdä haavoittuvuudelle mitään.

11.12.2021 16:13 | Päivitetty 11.12.2021 16:49

Merkittävä osa internetistä on tällä hetkellä haavoittuvassa tilassa.

Tietoturvatutkijat ovat löytäneet haavoittuvuuden Apachen komponentissa. Haavoittuvuuden avulla ulkopuolinen hyökkääjä pystyy saamaan internetin kautta palvelimen hallintaansa ilman salasanoja ja käyttäjätunnuksia.

Sen jälkeen hyökkääjä voi ladata palvelimelle muun muassa kiristysviruksia tai noutaa palvelimen tietoja itselleen, kuten kävi esimerkiksi Vastaamo-tapauksessa.

Apachen Log4j on hyvin suosittu sovelluskomponentti, ja sitä voidaan käyttää myös muissa sovelluksissa kuin Apachen verkkopalvelin­sovelluksessa. Siksi haavoittuvuus on niin vakava, sanoo Liikenne- ja viestintäviraston Kyber­turvallisuus­keskuksen tietoturva-asiantuntija Juho Jauhiainen.

”Yleensä ohjelmistoja tehtäessä ei keksitä pyörää uudelleen vaan käytetään olemassa olevia sovellus­komponentteja. Tämä kyseinen komponentti on käytössä todella isossa osassa internetin palveluja, mikä lisää tilanteen vakavuutta.”

Jauhiaisen mukaan haavoittuvuutta on pyritty aktiivisesti käyttämään hyväksi myös kotimaisissa organisaatioissa.

”Vielä ei ole varmaa tietoa, onko jossain hyökkäyksessä onnistuttu. Tällä hetkellä hyökkääjät yrittävät käyttää näitä haavoittuneita järjestelmiä kryptovaluutan louhintaan.”

Vika sijaitsee Java-ohjelmointikielen osassa, jota käytetään lokitukseen eli palvelimen teknisen toiminnan ja virhetilanteiden seurantaan.

Tavallisesti lokittava komponentti tallentaa sovelluksen tapahtumia aikajärjestyksessä. Nyt kyseisessä komponentissa on todettu haavoittuvuus, joka suorittaa tallennettavan tekstin koodina.

Keskus suosittelee ylläpitäjiä päivittämään Log4j:n versioon log4j-2.15.0-rc2. Moni yritys on päivityksen jo tehnyt: esimerkiksi kyberturvaratkaisuja tarjoava F-Secure on ilmoittanut päivittäneensä järjestelmänsä.

Tavallinen käyttäjä ei voi tehdä mitään haavoittuvuuden korjaamiseksi.

”Pyrimme tätä viestimään, että kaikki organisaatiot saisivat tämän tietoonsa ja ryhtyisivät selvitystyöhön”, Jauhiainen sanoo.

”Jos tietomurtoja havaitaan, niin toivomme, että meihin oltaisiin yhteydessä matalalla kynnyksellä.”

Oikaisu 11.12. kello 16.49: Toisin kuin uutisessa ensin mainittiin, haavoittuvuus ei löytynyt Apache-verkkopalvelimesta, vaan Apachen komponentista.

Artikkeliin liittyviä aiheita