Log4shell-haavoittuvuutta on jo käytetty hyväksi hyökkäyksissä suomalaisia yrityksiä vastaan. Kuva: Getty Images
14.12.2021 klo 16:50
Uutinen

Tämä haavoittuvuus on syytä ottaa vakavasti: Näin tarkistat, iskikö se yritykseesi

Log4shell-haavoittuvuus on syytä ottaa vakavasti jokaisessa yrityksessä, Kyberturvallisuuskeskus ohjeistaa. Java-teknologian komponentissa oleva haavoittuvuus uhkaa laajasti myös suomalaisia yrityksiä.

Tietoturvayritys Check Point kertoi tiistaina arvionsa, jonka mukaan 36 prosenttia suomalaisista yritysverkoista on joutunut hyökkäysyrityksen kohteeksi.

Jos yrityksellä tai organisaatiolla on käytössään omia tai kumppanin ylläpitovastuulla olevia järjestelmiä, Kyberturvallisuuskeskus ohjeistaa selvittämään, onko järjestelmissä käytössä haavoittuvuuden aiheuttava log4j-komponentti.

Näin tutkit tilanteen

Jos yrityksellä on käytössään oma verkkosovellus, yrityksen tulisi selvittää, onko Javan lähdekoodissa käytössä kyseinen komponentti. Kyberturvallisuuskeskus on jakanut linkkiä, josta voi tarkistaa, onko kyseinen haitallinen komponentti Java-lähdekoodissa. Kyberturvallisuuskeskus suosittelee selvittämään haavoittuvuuden vaikutukset organisaation IT-ylläpidolta tai palveluntarjoajalta.

Kyberturvallisuuskeskus ohjeistaa yrityksiä tarkastamaan, onko haavoittuneita sovelluksia mahdollisesti käytössä organisaatiossa. Täällä ja täällä on lista sovelluksista, joissa haavoittuvuutta esiintyy.

Ohjelmakoodi haavoittuvuuden etsimiseen Windows-järjestelmistä löytyy täältä. Jos käytössä on Linux-järjestelmä, Log4j:n etsimiseksi voi käyttää seuraavia komentoja pääkäyttäjän oikeuksilla:

lsof | grep log4jfind / -iname ”log4j*”ps aux | egrep ’[l]og4j’

Jos Log4j löytyy järjestelmästä, seuraavaksi tulee Kyberturvallisuuskeskuksen mukaan tarkastaa, mikä versio on ajossa. Tarkastuksen voi tehdä pom.xml-tiedostosta, mikäli sellainen löytyy.

Kyberturvallisuuskeskus suosittelee päivitystä versioon log4j-2.17.0. Edellisissä versioissa (tietyllä tavoin konfiguroituna) on palvelunestohyökkäyksen mahdollistava haavoittuvuus CVE-2021-45105. Uusimman version voi ladata Log4j:n sivuilta.

Haavoittuvuuden ”skannaaminen” järjestelmän ulkopuolelta voi olla hankalaa. Kyberturvallisuuskeskuksen saamien tietojen mukaan kaikki skannaustyökalut eivät löydä haavoittuvia palveluita. Tietomurron havainnointi onnistuu täällä.

Jos palveluissa on ollut käytössä haavoittuva versio Log4j:stä, Kyberturvallisuuskeskuksen suosittelee selvittämään, onko haavoittuvuutta ehditty jo käyttää hyväksi. Viitteitä tästä voi etsiä muun muassa seuraavista lähteistä:

  • Kyseisen palvelun verkkoliikennelokit (kutsut palvelusta ulos taimateriaalin lataaminen palveluun ulkoa)
  • Palvelimen sovelluslokit
  • Palvelimella käynnissä olevat prosessit (onko uusia prosessejakäynnistetty haavoittuvan palvelun kautta, onko ns. tyhjästäilmestynyt tuntemattomia prosesseja)
  • Mahdolliset jäljet käyttöjärjestelmän lokeista oikeuksien korottamisesta tai sen yrittämisestä (local privilege escalation).

”Päivittäminen vaatii ylläpitotaitoja.”

Juho Jauhiainen

Jauhiainen huomauttaa, että peruskäyttäjä ei todennäköisesti osaa asentaa päivitystä yrityksen järjestelmään.

– Päivittäminen vaatii ylläpitotaitoja. Käytännössä sen pystyy tekemään kyseisen verkkosovelluksen toteuttanut henkilö.

Päivityksellä on kiire. Sen jälkeen kun haavoittuvuus julkaistiin viime perjantaina, internetissä jokin taho on yrittänyt selvittää ip-osoitteista, onko niissä käytössä palvelin, joka on altis Log4shell-haavoittuvuudelle.

Jos päivitystä ei tee, riskinä on, että palvelin joutuu rikollisen haltuun.

– Olemme nähneet, että haavoittuneita palvelimia käytetään muun muassa kryptovaluutan louhintaan. Hyökkääjän motiiveista on kiinni, mitä palvelimella halutaan tehdä. Palvelimelta voidaan esimerkiksi varastaa dataa kuten asiakastietoja. Päivitys estää sen, että haavoittuvuutta pystytään käyttämään hyväksi, Jauhiainen selvittää.

Tutki palvelin joka tapauksessa

Kuberturvallisuuskeskukselle on raportoitu myös tapauksista, joissa rikollinen on itse korjannut palvelimen haavoittuvuuden mutta samalla jättänyt itselleen takaoven palvelimelle.

– Näissä tapauksissa palvelimelle pitäisi tehdä jonkinlainen tietomurtotutkinta eli tarkastaa palvelin siltä varalta, ettei korjausta ole tehnyt joku tuntematon käyttäjä. Palvelin on hyvä tutkia nyt joka tapauksessa, koska haavoittuvuuden julkaisusta on jo useampi päivä aikaa, Jauhiainen muistuttaa.

Haavoittuvuus on ollut Apachen tuotteessa jo kahdeksan vuoden ajan, mutta se havaittiin vasta marraskuussa, kun kiinalainen tietoturvatutkija raportoi siitä Apachelle. Korjaus haavoittuvuudelle julkaistiin viime perjantaina.

Tarkemmat ohjeet Kyberturvallisuuskeskuksen sivuilla.

Muita kiinnostavia aiheita

Pauli Reinikainen