Janne Yli-Korhonen
11. joulukuuta, 2021 12:43
Tietoturvatutkijat ovat löytäneet Log4shell-nollapäivähaavoittuvuuden (CVE-2021-44228) Apache Java logging library Log4j:ssä. Asiantuntijat kuvaavat haavoittuvuutta erittäin vakavaksi, ja se voi olla yksi historian pahimmista löydetyistä haavoittuvuuksista. Haavoittuvuuden hyväksikäytön mahdollistava esimerkkikoodi on jo julkaistu, joten päivityksillä on kiire.
Haavoittuvuus sijaitsee Log4j:ssä, jolla voidaan tuottaa sovellusten lokitusta. Se on hyvin yleisesti käytössä monissa sovelluksissa ja palveluissa, joten haavoittuvuus koskettaa miljoonia käyttäjiä.
Haavoittuvuuden avulla hyökkääjä voi suorittaa etänä komentoja palvelimelle tietynlaisilla tekstinpätkillä. Kyberturvallisuuskeskukselta kerrotaan, että hyökkäyksen tekeminen on helppoa, eikä siihen vaadita syvällisiä teknisiä taitoja.
Haavoittuvuutta käytettiin hyväksi ensimmäisenä Minecraft-pelissä, mutta esimerkiksi LunaSecin mukaan aukkoa on hyödynnetty jo muun muassa Steamin ja Applen pilvipalveluissa.
This log4j (CVE-2021-44228) vulnerability is extremely bad. Millions of applications use Log4j for logging, and all the attacker needs to do is get the app to log a special string. So far iCloud, Steam, and Minecraft have all been confirmed vulnerable.
-- Marcus Hutchins (@MalwareTechBlog) December 10, 2021
Kyberturvallisuuskeskuksen tietojen mukaan Log4j-komponentti on laajasti käytössä Suomessa ja sen nollapäivähaavoittuvuutta pyritään hyväksikäyttämään aktiivisesti.
Kyberturvallisuuskeskus kertoo, että tavallinen käyttäjä ei voi tehdä tälle haavoittuvuudelle mitään. Toimenpiteitä odotetaan palveluiden ylläpitäjiltä. Ylläpitäjien tulisi asentaa Apachen julkaisemat päivitykset Log4j-tuotteeseen. Haavoittuvuus on korjattu versiossa log4j-2.15.0-rc2.
Päivittämiseen menee kuitenkin aikaa, joten haavoittuvuuden aiheuttamat ongelmat selviävät vasta lähipäivinä.
Lue myös: