Haavoittuvuuden avulla voi antaa etänä komentoja sovelluspalvelimille jopa ilman ohjelmointiosaamista.
Globaalisti laajasti käytetyssä ohjelmistokirjastotyökalussa on havaittu haavoittuvuus, joka on aktiivisen hyväksikäytön kohteena, varoittaa liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus.
Haavoittuvuus on Apache Log4j-nimisessä työkalussa, jota käytetään palveluiden ja sovellusten tapahtumavirran siirtämiseen lokitiedostoihin.
Hyökkääjän on mahdollista antaa haavoittuvuuden avulla etänä komentoja sovelluspalvelimelle, mikä tekee siitä laajan tietoturvaongelman.
– Tietojemme mukaan haavoittuvuutta pyritään käyttämään aktiivisesti hyväksi myös kotimaisissa organisaatioissa, Kyberturvallisuuskeskus kertoi tiedotteessaan.
Kyberturvallisuuskeskus ohjeistaa organisaatioita tarkistamaan, onko niillä Log4j-työkalua käyttäviä palveluita käytössään ja päivittämään sen viipymättä uuteen versioon.
Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan niitä odotetaan ylläpitäjiltä ja ohjelmistojen valmistajilta.
Videopelaajat löysivät haavoittuvuuden
Haavoittuvuus huomattiin loppuviikosta videopeli Minecraftin pelaajayhteisössä, kertoi F-Securen tietoturvajohtaja Erka Koivunen STT:lle sunnuntaina.