Tietoturva Nyt!
10.12.2021 julkaistu keltainen varoitus on muutettu punaiseksi haavoittuvuuden vakavuuden tarkennuttua. Internetpalveluissa erittäin laajasti käytetyn, haavoittuvan Log4j-komponentin hyväksikäyttötapauksia havaitaan jatkuvasti lisää. Ylläpitäjiltä vaaditaan nopeaa reagointia. Vastaamme tässä artikkelissa myös aihetta koskeviin usein kysyttyihin kysymyksiin.
Haavoittuvuuden laajuus on selvinnyt viikonlopun aikana paremmin. Hyväksikäyttöyritysten määrä on kasvanut räjähdysmäisesti ja haavoittuvia palveluita havaitaan jatkuvasti lisää.
Ylläpitäjiltä vaaditaan toimenpiteitä välittömästi ja päivittämisellä on kiire. Mikäli päivitys ei ole mahdollinen juuri nyt voi haavoittuvuutta rajata
haavoittuvuustiedotteessamme olevien ohjeiden avulla. Huomioithan että toimenpiteet voivat rikkoa sovelluksen ominaisuuksia.
Haavoittuvuus on hyvin vakava, koska se toimii käytännössä haavoittuvuneen palvelun yleisavaimena. Hyökkääjä voi halutessaan ottaa haavoittuvan palvelun haltuunsa ja käyttää sitä haluamallaan tavalla.
Haavoittuvuuden avulla kohdepalvelimille pyritään asentamaan kryptavaluuttalouhioita mutta haavoittuvuuden luonteen vuoksi, hyökkäyspontetiaali on suurempi. Haavoittuvuuden todelliset seuraukset selviävät vasta lähiviikkoina.
Haavoittuvaa komponenttia käytetään useissa erityyppisissä palveluissa. Haavoittuvuus on arvioitu yhtä kriittiseksi kuin 2017 ollut Wannacry-tapahtumaketju ja siihen liittyvät haavoittuvuudet.
Päivittäminen vie aikaa. Sovelluskehittäjät julkaisevat päivityksiä tuotteisiinsa. Haavoittuvan komponentin löytäminen voi olla haastavaa. Päivitystä pitää myös testata ennen sen käyttöönottoa ja tämä kaikki vie aikaa.
Tarkennamme haavoittuvuustiedotettamme , kun lisätietoja haavoittuvista sovelluksista julkaistaan. Olemme lisänneet tiedotteeseen myös ohjeita haavoittuvuuden löytämiseksi, testaamiseksi ja vaikutusten rajaamiseksi.
Usein kysytyt kysymykset
Lisätietoa
Haavoittuvuus 38/2021: Kriittinen Log4shell-haavoittuvuus Apache Log4j -komponentissa
Varoitus 5/2021: Log4j-komponentin haavoittuvuus on aktiivisen hyväksikäytön kohteena - päivitä välittömästi!
Tietoturva Nyt! -artikkeli: Julkaisimme vakavan varoituksen aktiivisesti hyväksikäytetystä Log4j-komponentin haavoittuvuudesta