Liikenne- ja viestintäviraston Kyberturvallisuuskeskus on tänään muuttanut esimerkiksi Apache-palvelinohjelmiston kanssa käytetyn Log4j-komponentin haavoittuvuuteen liittyen aiemmin antamansa keltaisen varoituksen punaiseksi haavoittuvuuden vakavuuden tarkennuttua.
Verkkopalveluissa erittäin laajasti käytetyn, haavoittuvan Log4j-komponentin hyväksikäyttötapauksia havaitaan jatkuvasti lisää, kertoo Kyberturvallisuuskeskus, jonka mukaan palvelujen ylläpitäjiltä vaaditaan nopeaa reagointia – päivittämisellä on nyt todellakin kiire.
MAINOS (ARTIKKELI JATKUU ALLA)
Sen sijaan tavalliset käyttäjät eivät voi tehdä tilanteelle mitään.
”Haavoittuvuus on hyvin vakava, koska se toimii käytännössä haavoittuneen palvelun yleisavaimena. Hyökkääjä voi halutessaan ottaa haavoittuvan palvelun haltuunsa ja käyttää sitä haluamallaan tavalla”, toteaa Kyberturvallisuuskeskus.
Haavoittuvuuden levinneisyys on selvinnyt viikonlopun aikana paremmin, kertoo Kyberturvallisuuskeskus. Haavoittuvaa Log4j-komponenttia on käytössä todella laajasti suosituissa sovelluksissa. Hyväksikäyttöyritysten määrä on kasvanut räjähdysmäisesti ja haavoittuvia palveluita havaitaan jatkuvasti lisää. Kyberturvallisuuskeskuksen mukaan haavoittuvuutta pyritään käyttämään aktiviisesti hyväksi myös kotimaisissa organisaatioissa.
MAINOS (ARTIKKELI JATKUU ALLA)
Tiettävästi esimerkiksi Amazonin, Applen iCloudin, Twitterin ja Teslan palvelut ovat olleet ainakin osin haavoittuvia Log4j-haavoittuvuuden takia.
Haavoittuvuuden avulla kohdepalvelimille pyritään asentamaan jo esimerkiksi kryptovaluuttalouhijoita tai valjastamaan näitä osaksi botnet-verkkoja, mutta haavoittuvuuden luonteen vuoksi hyökkäyspotentiaali on suurempi. Mahdollista on lähtökohtaisesti myös palvelujen sisältämien tietojen pääytyminen hyökkääjien käsiin. Haavoittuvuuden todelliset seuraukset selviävätkin vasta lähiviikkoina.
Tietoturvatutkijat julkaisivat viime viikolla nollapäivähaavoittuvuuden CVE-2021-44228 Apache Java logging library Log4j:ssä. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa etänä mielivaltaisia komentoja palvelimella. On erittäin suositeltavaa päivittää Apache Log4j versioon log4j-2.15.0 mahdollisimman pian, minkä lisäksi voi tehdä rajoittavia toimenpiteitä.
Kyberturvallisuuskeskuksen haavoittuvuustiedote tarjoaa lisätietoa.
Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »