Avoimen lähdekoodin Log4j-komponentista löytyi viime viikolla haavoittuvuus, joka uhkaa laajasti käytössä olevia palveluja.
Log4shell-nollapäivähaavoittuvuuden avulla hyökkääjä voi suorittaa komentoja palvelimilla. Haavoittuvuus on erittäin vakava, sillä Log4j on hyvin suosittu sovelluskomponentti. Kyberturvallisuuskeskuksen tietojen mukaan komponenttia käytetään laajasti myös Suomessa. Käytännössä uhka koskettaa jokaista internetin käyttäjää.
Arvioiden mukaan aukon tuomat riskit ovat kriittisiä. Hyväksikäyttöyritysten määrä on kasvanut viikonlopun aikana räjähdysmäisesti ja haavoittuvia palveluita havaitaan jatkuvasti lisää. Listaa haavoittuvista sovelluksista ylläpidetään Github-palvelussa, joka on ohjelmistokoodin jakamiseen tarkoitettu alusta. Tietojemme mukaan haavoittuvuutta pyritään käyttämään aktiviisesti hyväksi myös kotimaisissa organisaatioissa.
Useat tietoturva-asiantuntijat ovat kuvanneet tilannetta termillä “internet on tulessa”. Käytännössä tavallinen kuluttaja voi vain odottaa ylläpitäjien tekevän päivitykset mahdollisimman nopeasti.
Log4j-komponentin takana oleva avoimen lähdekoodin Apache julkaisi komponentille uuden version lievittääkseen haavoittuvuudesta aiheutuvaa uhkaa. Kyberturvallisuuskeskus suosittelee organisaatioita selvittämään, onko niillä Log4j-komponenttia käyttäviä palveluita käytössään ja päivittämään komponentin mahdollisimman pian uusimpaan versioon. Uusin versio on 9.12.2021 julkaistu log4j-2.15.0. Päivittäminen ja haavoittuvien sovellusten löytäminen vie aikaa, joten tehtävään on syytä ryhtyä välittömästi.
Haavoittuvuudesta tehtiin ensimmäinen havainto Minecraft-palvelimia ylläpitävillä sivustoilla. Kyberturvallisuuskeskus päivittää haavoittuvuustiedotettaan jatkuvasti, kun uusia kohteita tai uutta tietoa ilmenee.
