Haavoittuvuuden avulla voi antaa etänä komentoja sovelluspalvelimille jopa ilman ohjelmointiosaamista.
Globaalisti laajasti käytetyssä ohjelmistokirjastotyökalussa on havaittu haavoittuvuus, joka on aktiivisen hyväksikäytön kohteena, varoittaa liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus.
Haavoittuvuus on Apache Log4j-nimisessä työkalussa, jota käytetään palveluiden ja sovellusten tapahtumavirran siirtämiseen lokitiedostoihin.
Hyökkääjän on mahdollista antaa haavoittuvuuden avulla etänä komentoja sovelluspalvelimelle, mikä tekee siitä laajan tietoturvaongelman.
– Tietojemme mukaan haavoittuvuutta pyritään käyttämään aktiivisesti hyväksi myös kotimaisissa organisaatioissa, Kyberturvallisuuskeskus kertoi tiedotteessaan.
Kyberturvallisuuskeskus ohjeistaa organisaatioita tarkistamaan, onko niillä Log4j-työkalua käyttäviä palveluita käytössään ja päivittämään sen viipymättä uuteen versioon.
Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan niitä odotetaan ylläpitäjiltä ja ohjelmistojen valmistajilta.
Videopelaajat löysivät haavoittuvuuden
Haavoittuvuus huomattiin loppuviikosta videopeli Minecraftin pelaajayhteisössä, kertoi F-Securen tietoturvajohtaja Erka Koivunen STT:lle sunnuntaina.
– Se alkoi meeminä ja suurena huvituksena, että kun pelissä käyttäjien käytössä oleville tekstikentille syöttää tämän hyökkäyskoodin, niin ne Minecraft-palvelimet pystyy ottamaan kokonaan haltuunsa, hän sanoi.
Koivusen mukaan hyökkäyskoodi mahtuu hyvinkin pieneen tilaan.
– Sitä sitten leviteltiin ikään kuin vitsinä ja hihittelyjen kera, kunnes sitten perjantaiaamuun mennessä ihmisille alkoi valjeta, että tämähän on itse asiassa yleistettävissä sieltä Minecraft-ympäristöstä ihan kaikkialle.
Tulevat viikot kertovat vaikutuksista
Haavoittuvuuden vaikutukset alkavat näkyä alkavasta viikosta eteenpäin. Tavalliselle netinkäyttäjälle haavoittuvuus ei Koivusen mukaan oikeastaan näy, ellei jokin hänen käyttämänsä palvelu joudu hyökkäyksen kohteeksi.
Haavoittuvuuden hyväksikäyttö taas on hyvin helppoa.
– Täysin ilman mitään tietoteknistä tai ohjelmointiosaamista kykenee kuka tahansa kokeilemaan, onko järjestelmä tälle haavoittuva. Jos haluaa vähän järjestelmällisemmin hyväksikäyttää haavoittuvuutta, pitää olla jo vähän ymmärrystä, että minkälaisia hyökkäystyökaluja tulee käyttää. Sellaistakin osaamista kyllä löytyy hyvin laajalti, ennen kaikkea näillä rikollisilla.