Merkittävä osa internetistä on tällä hetkellä haavoittuvassa tilassa.
Tietoturvatutkijat ovat löytäneet haavoittuvuuden Apachen komponentissa. Haavoittuvuuden avulla ulkopuolinen hyökkääjä pystyy saamaan internetin kautta palvelimen hallintaansa ilman salasanoja ja käyttäjätunnuksia.
Sen jälkeen hyökkääjä voi ladata palvelimelle muun muassa kiristysviruksia tai noutaa palvelimen tietoja itselleen, kuten kävi esimerkiksi Vastaamo-tapauksessa.
Apachen Log4j on hyvin suosittu sovelluskomponentti, ja sitä voidaan käyttää myös muissa sovelluksissa kuin Apachen verkkopalvelinsovelluksessa. Siksi haavoittuvuus on niin vakava, sanoo Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntija Juho Jauhiainen.
”Yleensä ohjelmistoja tehtäessä ei keksitä pyörää uudelleen vaan käytetään olemassa olevia sovelluskomponentteja. Tämä kyseinen komponentti on käytössä todella isossa osassa internetin palveluja, mikä lisää tilanteen vakavuutta.”
Jauhiaisen mukaan haavoittuvuutta on pyritty aktiivisesti käyttämään hyväksi myös kotimaisissa organisaatioissa.
”Vielä ei ole varmaa tietoa, onko jossain hyökkäyksessä onnistuttu. Tällä hetkellä hyökkääjät yrittävät käyttää näitä haavoittuneita järjestelmiä kryptovaluutan louhintaan.”
Vika sijaitsee Java-ohjelmointikielen osassa, jota käytetään lokitukseen eli palvelimen teknisen toiminnan ja virhetilanteiden seurantaan.
Tavallisesti lokittava komponentti tallentaa sovelluksen tapahtumia aikajärjestyksessä. Nyt kyseisessä komponentissa on todettu haavoittuvuus, joka suorittaa tallennettavan tekstin koodina.
Keskus suosittelee ylläpitäjiä päivittämään Log4j:n versioon log4j-2.15.0-rc2. Moni yritys on päivityksen jo tehnyt: esimerkiksi kyberturvaratkaisuja tarjoava F-Secure on ilmoittanut päivittäneensä järjestelmänsä.
Tavallinen käyttäjä ei voi tehdä mitään haavoittuvuuden korjaamiseksi.
”Pyrimme tätä viestimään, että kaikki organisaatiot saisivat tämän tietoonsa ja ryhtyisivät selvitystyöhön”, Jauhiainen sanoo.
”Jos tietomurtoja havaitaan, niin toivomme, että meihin oltaisiin yhteydessä matalalla kynnyksellä.”
Oikaisu 11.12. kello 16.49: Toisin kuin uutisessa ensin mainittiin, haavoittuvuus ei löytynyt Apache-verkkopalvelimesta, vaan Apachen komponentista.
