Kriittinen nollapäivähaavoittuvuus Microsoft SharePointissa aiheuttanut Suomessa muutaman tietomurron

Janne Yli-Korhonen
25. heinäkuuta, 2025 13:11

Viime viikonloppuna kävi ilmi, että Microsoft SharePoint On-Prem -ympäristössä (CVE-2025-53770) on kriittinen nollapäivähaavoittuvuus, jota hyökkääjät hyödyntävät tosielämän hyökkäyksissä, ja vaatii organisaatioilta reagointia. Microsoft on jo julkaissut korjauspäivityksen.
Tietoturvayhtiö Check Point Researchin tutkijat havaitsivat ensimmäiset merkit haavoittuvuuden hyväksikäytöstä jo 7. heinäkuuta, ja sen jälkeen on vahvistettu kymmeniä hyökkäysyrityksiä muun muassa julkishallinnon, teleoperaattorien ja ohjelmistoalan kohteisiin Pohjois-Amerikassa ja Länsi-Euroopassa.

Hyökkäyksissä yhdistetään uuden SharePoint-haavoittuvuuden hyväksikäyttö ja aiemmin tunnetut Ivanti Endpoint -haavoittuvuudet.

"Kyseessä on akuutti, käynnissä oleva uhka: kriittinen nollapäivähaavoittuvuus SharePoint On-Prem -ympäristössä on jo hyökkääjien käytössä ja vaarantaa tuhansien organisaatioiden tietoturvan. Tiimimme on vahvistanut kymmeniä hyökkäysyrityksiä julkisen hallinnon, teleoperaattorien ja teknologia-alan kohteisiin heinäkuun 7. päivän jälkeen. Kehotamme organisaatioita päivittämään suojausjärjestelmänsä viipymättä – kampanja on sekä teknisesti kehittynyt että nopeasti etenevä," sanoo Lotem Finkelstein, Director of Threat Intelligence, Check Point Research.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen perjantain viikkokatsauksessa kerrotaan, että Suomessa haavoittuvuus on aiheuttanut joitakin tietomurtoja ja hyväksikäyttöjä, mutta kuitenkin vaikutukset ovat Suomessa vähäiset.

Haavoittuvuuden tultua julki Kyberturvallisuuskeskus kartoitti haavoittuvia palvelimia suomalaisesta verkkoavaruudesta. Kybeturvallisuuskeskus otti yhteyttä löytyneiden haavoittuvien palvelimien omistajiin ja heitä kehotettiin päivittämään ne.

"Vaikka tämän globaalisti merkittävän haavoittuvuuden osalta vaikutukset Suomessa ovat jäämässä vähäisiksi, on se hyvä muistutus kriittisiin haavoittuuksiin nopean reagoinnin tärkeydestä. Organisaatioiden on oltava valmiita toteuttamaan kiireellisiä päivityksiä myös loma-aikana", muistuttaa tietoturva-asiantuntija Samuli Könönen.

Haavoittuvuuteen liittyen turvallisuus- ja kemikaalivirasto Tukes on julkaissut tiedotteen epäillystä tietomurrosta. Tietomurron kerrotaan kohdistuneen palvelimelle, jolla sijaitsee FINAS-akkreditointipalvelun verkkosivut.

Verkkosivupalvelimelle tallentuu sivustokävijöiden IP-osoite. IP-osoitteesta voi saada selville esimerkiksi sivustokävijän kaupungin ja verkkoyhteyden palveluntarjoajan, mutta ei tarkkaa sijaintia tai muita henkilötietoja. Palvelimelle ei ole tallennettu asiakkaiden luottamuksellisia tietoja, Tukes kertoo.