Internet haavoittui vakavasti

Internet haavoittui vakavasti – katso toimintaohjeet

Javan lokikomponentti on laajasti käytössä web-sovelluksissa ja sen takia Log4Shell-haavoittuvuus koskee laajasti internetpalveluita. Vaikutuksia voidaan rajata, jos aukon korjaavan paikkauksen asentaminen ei onnistu heti.

Rajaa uhka. Jos Log4j-komponentin päivittäminen ei ole välittömästi mahdollista, Kyberturvallisuuskeskus ohjeistaa rajaamaan uhkaa konfiguraatiomuutoksilla.
Rajaa uhka. Jos Log4j-komponentin päivittäminen ei ole välittömästi mahdollista, Kyberturvallisuuskeskus ohjeistaa rajaamaan uhkaa konfiguraatiomuutoksilla.

Log4Shell-lempinimen saanut turvallisuusaukko huolestuttaa tietoturvaosaajia, koska se koskee lähestulkoon kaikkia java-sovelluksia peleistä yritysohjelmistoihin ja web-sovelluksiin.

Tavallinen käyttäjä ei voi juuri tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan järjestelmien ylläpitäjät joutuvat tekemään toimet. Käyttäjä voi pystyä joidenkin sovellusten kohdalla (esimerkiksi Minecraft-peli) päivittää uudempaan versioon, joka korjaa haavoittuvuuden. Minecraft sai paikan jo perjantaina.

Apachen Log4j-komponentti on avoimen lähdekoodin lokityökalu. Siitä löydetyn CVE-2021-44228 -nimisen aukon hyväksikäyttäminen ei vaadi kummoista teknistä osaamista. Viikonlopun aikana huomattiin jo verkkohyökkääjien etsivän verkossa haavoittuvia järjestelmiä.

Log4Shell

  • Helppoa tapaa selvittää, onko organisaation palveluissa käytetty Log4j-komponenttia, ei tällä hetkellä ole.
  • Käytännössä sovellusten lähdekoodista tai konfiguraatiosta tulisi tarkastaa, onko Log4j-komponentti otettu käyttöön.
  • Mikäli haavoittuvuuden tunnistaa omassa ympäristössään, kannattaa olla yhteydessä palvelun ylläpitoon. Haavoittuvista palveluista voi ilmoittaa myös Kyberturvallisuuskeskukselle.
  • Kyberturvallisuuskeskus pyytää ilmoittamaan haavoittuvuuden avuilla tehdyistä tietomurroista tai niiden epäilyistä. Tietomurroista tulisi tehdä myös rikosilmoitus.

Lähde: Kyberturvallisuuskeskus

Aukkoa voi käyttää hyväksi ujuttamalla java-sovelluksen lokiin haluamansa syötteen: esimerkiksi kirjoittamalla koodia sovelluksen tekstikenttiin. Log4j käsittelee syötetyn tekstin ohjelmakoodina, joka lataa haitallista koodia ulkoiselta palvelimelta.

Esimerkiksi Minecraft-pelin tapauksessa riitti, että toinen käyttäjä lähetti uhrille viestin, joka sisälsi hyökkäystä hyödyntävän tekstipätkän.

LUE MYÖS: Java-aukon vakavuus kirkastui: ”Internet on tulessa”Suositussa java-työkalussa kriittinen aukko – ”päivityksillä on jo kiire”

Hyväksikäyttöön vaaditaan siis myös niin kutsuttu hyökkäyspalvelin eli julkisesti verkossa saatavilla oleva palvelin, jolta varsinainen haittakoodi ladataan.

Vian vakavuutta kuvaa se, että esimerkiksi Kanadassa viranomaiset päättivät sulkea tuhansia sivustojaan suojatakseen niitä hyökkäyksiltä.

Haavoittuvuus koskee kaikkia java-sovelluksia, jotka hyödyntävät Log4j:n versioita 2.0–2.14.1.

Kyberturvallisuuskeskus suosittelee kaikkia yrityksiä selvittämään, missä sovelluksissa Log4j-kirjasto on käytössä ja päivittämän sen versioon 2.15.0 mahdollisimman pian. Huomattavaa on, että versioita on julkaistu kaksi, joista vasta jälkimmäinen eli rc2 paikkaa aukon.

Aukon luonteen vuoksi haavoittuvainen ei ole niinkään loppukäyttäjän sovellus, vaan palvelin, jonka sovelluksessa lokikirjasto on käytössä.

Aukko havaittiin ensimmäisenä juuri Minecraft-pelissä, jossa sitä käytettiin enemmänkin jekkuna. Pian tietoturva-alan osaajat tajusivat, kuinka vakavasta ongelmasta on kyse.

Aukon löytäjäksi on nimetty kiinalaisen kauppapaikkayhtiön Alibaban pilvipalvelujen turvallisuustiimin jäsen, joka ilmoitti siitä Apachelle marraskuun 24. päivä. Asiasta kerrottiin julkisuuteen torstaina, kun paikkaus aukkoon oli saatu valmiiksi.

Kyberturvallisuuskeskus kertoo, että java-sovelluksissa tyypillisesti tieto Log4j-komponentin löytyy pom.xml-tiedostoista. Haavoittuvista sovelluksista löytyy verkosta listauksia, kuten esimerkiksi täältä.

Pahassa paikassa oleville tarjolla useita konsteja

Traficomin Kyberturvallisuuskeskus on antanut lisäohjeita haavoittuvuuden aiheuttaman uhkan rajaamiseen yrityksille, joissa turvapaikkauksen asentaminen ei ole jostain syystä heti mahdollista. Ylläpitäjiä varoitettiin samalla, että konfiguraatiomuutokset ja muut ehdotetut toimenpiteet voivat rikkoa sovelluksen ominaisuuksia.

Kyberturvallisuuskeskus mainitsi esimerkiksi tietoturvatalo CheckPointin ehdottamia keinoja.

Tietoturvayhtiö Cybereason on BleepingComputer-turvauutissivuston mukaan julkaissut ”rokotuksen” eli skriptin, joka käyttää aukkoa hyväkseen kääntääkseen aukon hyödyntämisen mahdollistavat asetukset pois päältä.

LÄHDE: TIVI/Suvi Korhonen 13.12.2021