Log4shell-haavoittuvuutta on jo käytetty hyväksi hyökkäyksissä suomalaisia yrityksiä vastaan. Kuva: Getty Images
14.12.2021 klo 16:50
Uutinen
#digi

Tämä haavoittuvuus on syytä ottaa vakavasti: Näin tarkistat, iskikö se yritykseesi

Log4shell-haavoittuvuus on syytä ottaa vakavasti jokaisessa yrityksessä, Kyberturvallisuuskeskus ohjeistaa. Java-teknologian komponentissa oleva haavoittuvuus uhkaa laajasti myös suomalaisia yrityksiä.

Tietoturvayritys Check Point kertoi tiistaina arvionsa, jonka mukaan 36 prosenttia suomalaisista yritysverkoista on joutunut hyökkäysyrityksen kohteeksi.

Jos yrityksellä tai organisaatiolla on käytössään omia tai kumppanin ylläpitovastuulla olevia järjestelmiä, Kyberturvallisuuskeskus ohjeistaa selvittämään, onko järjestelmissä käytössä haavoittuvuuden aiheuttava log4j-komponentti.

Näin tutkit tilanteen

Jos yrityksellä on käytössään oma verkkosovellus, yrityksen tulisi selvittää, onko Javan lähdekoodissa käytössä kyseinen komponentti. Kyberturvallisuuskeskus on jakanut linkkiä, josta voi tarkistaa, onko kyseinen haitallinen komponentti Java-lähdekoodissa. Kyberturvallisuuskeskus suosittelee selvittämään haavoittuvuuden vaikutukset organisaation IT-ylläpidolta tai palveluntarjoajalta.

Kyberturvallisuuskeskus ohjeistaa yrityksiä tarkastamaan, onko haavoittuneita sovelluksia mahdollisesti käytössä organisaatiossa. Täällä ja täällä on lista sovelluksista, joissa haavoittuvuutta esiintyy.

Ohjelmakoodi haavoittuvuuden etsimiseen Windows-järjestelmistä löytyy täältä. Jos käytössä on Linux-järjestelmä, Log4j:n etsimiseksi voi käyttää seuraavia komentoja pääkäyttäjän oikeuksilla:

lsof | grep log4jfind / -iname ”log4j*”ps aux | egrep ’[l]og4j’

Jos Log4j löytyy järjestelmästä, seuraavaksi tulee Kyberturvallisuuskeskuksen mukaan tarkastaa, mikä versio on ajossa. Tarkastuksen voi tehdä pom.xml-tiedostosta, mikäli sellainen löytyy.

Kyberturvallisuuskeskus suosittelee päivitystä versioon log4j-2.17.0. Edellisissä versioissa (tietyllä tavoin konfiguroituna) on palvelunestohyökkäyksen mahdollistava haavoittuvuus CVE-2021-45105. Uusimman version voi ladata Log4j:n sivuilta.

Haavoittuvuuden ”skannaaminen” järjestelmän ulkopuolelta voi olla hankalaa. Kyberturvallisuuskeskuksen saamien tietojen mukaan kaikki skannaustyökalut eivät löydä haavoittuvia palveluita. Tietomurron havainnointi onnistuu täällä.

Jos palveluissa on ollut käytössä haavoittuva versio Log4j:stä, Kyberturvallisuuskeskuksen suosittelee selvittämään, onko haavoittuvuutta ehditty jo käyttää hyväksi. Viitteitä tästä voi etsiä muun muassa seuraavista lähteistä:

  • Kyseisen palvelun verkkoliikennelokit (kutsut palvelusta ulos taimateriaalin lataaminen palveluun ulkoa)
  • Palvelimen sovelluslokit
  • Palvelimella käynnissä olevat prosessit (onko uusia prosessejakäynnistetty haavoittuvan palvelun kautta, onko ns. tyhjästäilmestynyt tuntemattomia prosesseja)
  • Mahdolliset jäljet käyttöjärjestelmän lokeista oikeuksien korottamisesta tai sen yrittämisestä (local privilege escalation).

”Päivittäminen vaatii ylläpitotaitoja.”

Juho Jauhiainen

Jauhiainen huomauttaa, että peruskäyttäjä ei todennäköisesti osaa asentaa päivitystä yrityksen järjestelmään.

– Päivittäminen vaatii ylläpitotaitoja. Käytännössä sen pystyy tekemään kyseisen verkkosovelluksen toteuttanut henkilö.

Päivityksellä on kiire. Sen jälkeen kun haavoittuvuus julkaistiin viime perjantaina, internetissä jokin taho on yrittänyt selvittää ip-osoitteista, onko niissä käytössä palvelin, joka on altis Log4shell-haavoittuvuudelle.

Jos päivitystä ei tee, riskinä on, että palvelin joutuu rikollisen haltuun.

– Olemme nähneet, että haavoittuneita palvelimia käytetään muun muassa kryptovaluutan louhintaan. Hyökkääjän motiiveista on kiinni, mitä palvelimella halutaan tehdä. Palvelimelta voidaan esimerkiksi varastaa dataa kuten asiakastietoja. Päivitys estää sen, että haavoittuvuutta pystytään käyttämään hyväksi, Jauhiainen selvittää.

Tutki palvelin joka tapauksessa

Kuberturvallisuuskeskukselle on raportoitu myös tapauksista, joissa rikollinen on itse korjannut palvelimen haavoittuvuuden mutta samalla jättänyt itselleen takaoven palvelimelle.

– Näissä tapauksissa palvelimelle pitäisi tehdä jonkinlainen tietomurtotutkinta eli tarkastaa palvelin siltä varalta, ettei korjausta ole tehnyt joku tuntematon käyttäjä. Palvelin on hyvä tutkia nyt joka tapauksessa, koska haavoittuvuuden julkaisusta on jo useampi päivä aikaa, Jauhiainen muistuttaa.

Haavoittuvuus on ollut Apachen tuotteessa jo kahdeksan vuoden ajan, mutta se havaittiin vasta marraskuussa, kun kiinalainen tietoturvatutkija raportoi siitä Apachelle. Korjaus haavoittuvuudelle julkaistiin viime perjantaina.

Tarkemmat ohjeet Kyberturvallisuuskeskuksen sivuilla.

Pauli Reinikainen

Lue lisää

Petteri Järvinen varoittaa yrityksiä IoT-laitteista
Uutinen

Tiedätkö tämän tärkeän asian yrityksesi langattomaan verkkoon liitetyistä laitteista? ”Kaikki potentiaalisesti vaarallisia” – Näin selätät riskin kertaheitolla

Uutinen

Pieni savolaisyritys valmistaa 34 000 housut äitiyspakkaukseen – ”Tämä on suuri kunniatehtävä”

Iida Salorannan yrityksen konkurssi vapautti stressin
Uutinen

Kun Iida Salorannan yritys lähetti konkurssihakemuksen, päällimmäinen tunne oli helpotus: ”Sen huomasi konkreettisesti kehossa”

AAA-yritykset
Uutinen

Nämä 172 yritystä nousivat AAA-luokkaan – Katso lista

Uutinen

Gallup: Ennätysmäärä yrityksiä huonossa taloudellisessa tilanteessa 

Yrittäjä ihmettelee pankkien lainahaluttomuutta
Uutinen

Yrittäjä Timo Tamminen turhautui, kun lainaa ei herunut vakuuksista huolimatta: ”Pk-yrityksiä potkitaan päähän” – Näin pankki vastaa

Uutinen

Mitä alv:n korotus merkitsee taloushallinnon ohjelmistoille – ”Desimaalien käyttäminen voi saada monen järjestelmän nikottelemaan”

Uutinen

Inhouse-yhtiöt rapauttavat markkinoita ja käyvät kalliiksi veronmaksajille – 30 prosenttia ei vertaile oman tuotannon kustannuksia yksityisiin

Valtakunnallista, alueellista ja paikallista vaikuttamista pk-yrittäjien puolesta.

Yhteystiedot

Suomen Yrittäjät
PL 999, 00101 HELSINKI
Puhelin 09 229 221

Keskusjärjestön yhteystiedot ja henkilöstö

Suomen Yrittäjien sisäinen ilmoituskanava
Ilmoituskanavan ohjeet ja tietosuoja

Suomen Yrittäjien vaikuttamistoiminnan tietosuojaseloste

Valitse aluejärjestö tai paikallisyhdistys

Suomen Yrittäjät somessa

Tietosuojaseloste ja evästekäytännöt