Kyberturvallisuuskeskus varoittaa tietoturvauhasta laajasti käytetyssä työkalussa: Minecraft-pelaajat löysivät haavoittuvuuden
Haavoittuvuuden avulla voi antaa etänä komentoja sovelluspalvelimille jopa ilman ohjelmointiosaamista.
Globaalisti laajasti käytetyssä ohjelmistokirjastotyökalussa on havaittu haavoittuvuus, joka on aktiivisen hyväksikäytön kohteena, varoittaa liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus.
Haavoittuvuus on Apache Log4j-nimisessä työkalussa, jota käytetään palveluiden ja sovellusten tapahtumavirran siirtämiseen lokitiedostoihin.
Hyökkääjän on mahdollista antaa haavoittuvuuden avulla etänä komentoja sovelluspalvelimelle, mikä tekee siitä laajan tietoturvaongelman.
– Tietojemme mukaan haavoittuvuutta pyritään käyttämään aktiivisesti hyväksi myös kotimaisissa organisaatioissa, Kyberturvallisuuskeskus kertoi tiedotteessaan.
Kyberturvallisuuskeskus ohjeistaa organisaatioita tarkistamaan, onko niillä Log4j-työkalua käyttäviä palveluita käytössään ja päivittämään sen viipymättä uuteen versioon.
Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan niitä odotetaan ylläpitäjiltä ja ohjelmistojen valmistajilta.
Videopelaajat löysivät haavoittuvuuden
Haavoittuvuus huomattiin loppuviikosta videopeli Minecraftin pelaajayhteisössä, kertoi F-Securen tietoturvajohtaja Erka Koivunen STT:lle sunnuntaina.
– Se alkoi meeminä ja suurena huvituksena, että kun pelissä käyttäjien käytössä oleville tekstikentille syöttää tämän hyökkäyskoodin, niin ne Minecraft-palvelimet pystyy ottamaan kokonaan haltuunsa, hän sanoi.
Koivusen mukaan hyökkäyskoodi mahtuu hyvinkin pieneen tilaan.
– Sitä sitten leviteltiin ikään kuin vitsinä ja hihittelyjen kera, kunnes sitten perjantaiaamuun mennessä ihmisille alkoi valjeta, että tämähän on itse asiassa yleistettävissä sieltä Minecraft-ympäristöstä ihan kaikkialle.
Tulevat viikot kertovat vaikutuksista
Haavoittuvuuden vaikutukset alkavat näkyä alkavasta viikosta eteenpäin. Tavalliselle netinkäyttäjälle haavoittuvuus ei Koivusen mukaan oikeastaan näy, ellei jokin hänen käyttämänsä palvelu joudu hyökkäyksen kohteeksi.
Haavoittuvuuden hyväksikäyttö taas on hyvin helppoa.
– Täysin ilman mitään tietoteknistä tai ohjelmointiosaamista kykenee kuka tahansa kokeilemaan, onko järjestelmä tälle haavoittuva. Jos haluaa vähän järjestelmällisemmin hyväksikäyttää haavoittuvuutta, pitää olla jo vähän ymmärrystä, että minkälaisia hyökkäystyökaluja tulee käyttää. Sellaistakin osaamista kyllä löytyy hyvin laajalti, ennen kaikkea näillä rikollisilla.
Uusimmat
-
07:50
Eduskunta äänestää ministeri Juuson luottamuksesta ja yöpäivystysten sulkemista koskevasta välikysymyksestä
-
07:46
Guatemalassa ratsia Pelastakaa Lapset -järjestön toimistoon – oikeusministeriön mukaan tapaus liittyy epäiltyihin lasten hyväksikäyttötapauksiin
-
07:45
Älä tee tätä säilytysvirhettä talvivaatteiden kanssa
-
07:39
Outo näky kaukalon yllä hämmensi MM-kisoissa Espoossa – "Katsoin varmaan 100 kertaa"
-
07:33
Syöpädiagnoosin saanut Olga Temonen päivitti vointiaan
-
07:07
Armoton kohtalo MM-kisojen alla – kiekkolupaus vuosiksi ulos maajoukkueesta
-
06:59
Tappara saa ensi kaudelle NHL-superlupauksen – joukkue ”hyvin pitkälle lukittu”
-
06:51
Vihreät ihmettelevät, miksi Keskusta ja Liike Nyt eivät kysyneet puoluetta mukaan välikysymykseen talouspolitiikasta
-
06:37
Tekoäly siivitti Microsoftin hyvään tulokseen – myös Googlen emoyhtiön tulos ylitti odotukset
-
06:29
Suomessa on yksi väestöryhmä, jossa alkoholi on ykköstappaja – taustalla kaksi tekijää
-
06:24
Sebastian Aho tälläsi voittomaalin – Carolina ja Florida jyräävät jatkopaikkaa kohti NHL:ssä
-
06:22
"Hätäinen vastahyökkäys" kostautui – Ukraina menetti arvokkaita Abrams-tankkeja, kuvat todistavat
-
06:03
Politico: Yhdysvallat julkistamassa pian Ukrainalle annettavan kuuden miljardin dollarin aseapupaketin
-
06:02
Kalle Rovanperällä uusi työkalu – "Täyttä tekemistä"
-
05:57
Turku on suomalaisen salatieteen keskus – kaupungin ilmiöitä tutkineet kirjailijat yllättyivät
-
05:40
Korkein oikeus tyrmäsi Trumpin haaveet: Entisellä presidentillä ei ole täydellistä syytesuojaa
-
05:39
LVI-teknikko rakensi taloa Taivalkoskella – sitten tarvikkeita alkoi löytyä oudoista paikoista
-
05:00
Vivi Wahlström poistuu Salkkareista ruutulapsensa Hugon kanssa: "Kaikki hyvä loppuu aikanaan"
-
03:00
THL: Multaa ja kompostituotteita kannattaa käsitellä varoen – vakavan sairauden vaara
-
00:01
Danske selvitti: Vanhemmat auttavat lähes puolta ensiasunnon ostajista
-
Lataa lisää