Julkaisimme vakavan varoituksen aktiivisesti hyväksikäytetystä Log4j-komponentin haavoittuvuudesta

Haavoittuvuus on julkaistu 10.12.2021 eikä vielä ole tarkkaa tietoa, mitkä kaikki sovellukset tai palvelut käyttävät haavoittuvaa Log4j-komponenttia. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa mielivaltaisia komentoja sovelluspalvelimessa. Haavoittuvuuteen on julkaistu hyväksikäyttömenetelmä, jonka hyödyntämiseen ei vaadita syvällisiä teknisiä taitoja. 

Tavallinen käyttäjä ei voi tehdä tälle haavoittuvuudelle mitään, vaan toimenpiteitä odotetaan palveluiden ylläpitäjiltä. Ylläpitäjien tulisi asentaa viipymättä Apachen julkaisemat päivitykset ja päivittää palvelut versioon log4j-2.15.0-rc2. Organisaatioissa olisi myös syytä aloittaa välittömästi haavoittuvuuden laajuuden selvitys.

Kyberturvallisuuskeskus pyrkii kartoittamaan, miten laajasti haavoittuvuus vaikuttaa kotimaisiin organisaatioihin. Kyberturvallisuuskeskus on myös tiedottanut tähän mennessä tunnistettujen palveluiden ylläpitäjiä. 

Mitä haavoittuvuuden löytämiseksi tulisi tehdä?

Helppoa tapaa selvittää, onko organisaation palveluissa käytetty Log4j-komponenttia, ei tällä hetkellä ole. Käytännössä sovellusten lähdekoodista tai konfiguraatiosta tulisi tarkastaa, onko Log4j-komponentti otettu käyttöön. Mikäli työkaluja haavoittuvuuden tarkastamiseen julkaistaan, päivitämme ohjeistustamme.

Mikäli haavoittuvuuden tunnistaa omassa ympäristössään, kannattaa olla yhteydessä palvelun ylläpitoon. Haavoittuvista palveluista voi ilmoittaa myös Kyberturvallisuuskeskukselle. Palvelulla tarkoitetaan tässä artikkelissa esimerkiksi Steamin tai iCloudin tyyppisiä palveluita. Esimerkkinä käytetyt palvelut on julkisten lähteiden perusteella todettu haavoittuviksi kyseiselle nollapäivähaavoittuvuudelle.

Pyydämme ilmoittamaan Kyberturvallisuuskeskukselle myös haavoittuvuuden avulla tehdyt tietomurrot tai niiden epäilyt. Tietomurroista tulisi tehdä myös rikosilmoitus.