AfterDawn logo

Todella laajasti käytössä olevasta komponentista paljastui kriittinen haavoittuvuus - käytetään aktiivisesti hyväksi

Janne Yli-Korhonen Janne Yli-Korhonen

Tietoturvatutkijat ovat löytäneet Log4shell-nollapäivähaavoittuvuuden (CVE-2021-44228) Apache Java logging library Log4j:ssä. Asiantuntijat kuvaavat haavoittuvuutta erittäin vakavaksi, ja se voi olla yksi historian pahimmista löydetyistä haavoittuvuuksista. Haavoittuvuuden hyväksikäytön mahdollistava esimerkkikoodi on jo julkaistu, joten päivityksillä on kiire.

Haavoittuvuus sijaitsee Log4j:ssä, jolla voidaan tuottaa sovellusten lokitusta. Se on hyvin yleisesti käytössä monissa sovelluksissa ja palveluissa, joten haavoittuvuus koskettaa miljoonia käyttäjiä.

Haavoittuvuuden avulla hyökkääjä voi suorittaa etänä komentoja palvelimelle tietynlaisilla tekstinpätkillä. Kyberturvallisuuskeskukselta kerrotaan, että hyökkäyksen tekeminen on helppoa, eikä siihen vaadita syvällisiä teknisiä taitoja.


Haavoittuvuutta käytettiin hyväksi ensimmäisenä Minecraft-pelissä, mutta esimerkiksi LunaSecin mukaan aukkoa on hyödynnetty jo muun muassa Steamin ja Applen pilvipalveluissa.

Kyberturvallisuuskeskuksen tietojen mukaan Log4j-komponentti on laajasti käytössä Suomessa ja sen nollapäivähaavoittuvuutta pyritään hyväksikäyttämään aktiivisesti.

Kyberturvallisuuskeskus kertoo, että tavallinen käyttäjä ei voi tehdä tälle haavoittuvuudelle mitään. Toimenpiteitä odotetaan palveluiden ylläpitäjiltä. Ylläpitäjien tulisi asentaa Apachen julkaisemat päivitykset Log4j-tuotteeseen. Haavoittuvuus on korjattu versiossa log4j-2.15.0-rc2.

Päivittämiseen menee kuitenkin aikaa, joten haavoittuvuuden aiheuttamat ongelmat selviävät vasta lähipäivinä.

Lue myös:

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki