Log4j-järjestelmästä löydettiin vaarallinen tietoturvaongelma eli haavoittuvuus joulukuussa 2021. Mikä tekee tästä Log4shell-haavoittuvuudesta niin vaarallisen? Alla on kuvattu ongelmaa eri näkökulmista. Kirjoitin myös aikaisemmin, mistä Log4j-tietoturvaongelmassa on kyse.
Tilanteen ymmärtämisen vaikeus
”Vaikuttaako Log4shell-tietoturvaongelma meihin?” taisi olla yleisimpiä kysymyksiä organisaatioissa, kun tieto haavoittuvuudesta julkaistiin. Ei muuta kuin kyselemään IT-asiantuntijoilta ja palveluntarjoajilta.
Vastauksen löytäminen ei kuitenkaan ole ihan yksinkertaisin asia. Log4j on yksittäinen taustajärjestelmän osa, komponentti, jonka olemassaolosta ei välttämättä ole edes tietoa. Vaikka Log4j ei olisikaan otettu suoraan käyttöön ”asenna Log4j” -tyyppisesti, niin se saattaa silti asentua jonkin toisen ohjelman kylkiäisenä. Kannattaa tutustua Googlen mielenkiintoiseen selvitykseen aiheesta.
Laaja levinneisyys
Log4j on yleisesti ja laajasti käytössä ympäri maailmaa. Laajaa levinneisyyttä kuvaa hyvin se, että netissä on julkaistu erilaisia listoja, joista löytyy tietoja, onko jokin tietty sovellus altis tietoturvaongelmalle. Pari listaa on saatavilla esim. tästä Kyberturvallisuuskeskuksen haavoittuvuustiedotteesta.
Asennuksia löytyy myös muualta, kuin perinteisistä nettipalveluista. Esimerkiksi Trendmicro on tutkinut Log4shell-haavoittuvuuden vaikutuksia autoihin asennetuissa järjestelmissä ja latausasemissa.
Helppo löydettävyys
Kuka tahansa voi etsiä haavoittuvia Log4j-asennuksia internetistä. Haavoittuvuuden etsiminen ei edellytä esim. käyttäjätunnuksia palveluun. Esimerkiksi Microsoft on havainnut, että rikolliset hyödyntävät mm. olemassa olevia botnet-verkkojaan löytääkseen haavoittuvia Log4j-asennuksia internetistä.
Toiminnan automatisointi
Haavoittuvien palveluiden etsiminen ja niihin hyökkääminen voidaan automatisoida. Tämän takia esimerkiksi pienemmät firmat eivät voi ajatella, että he eivät ole rikollisten kiinnostuksen kohde. Automaattista hyökkäystyökalua ei kiinnosta, onko uhrina iso vai pieni organisaatio.
Vaadittava nopeus
Tietoturvaongelma ja todiste toimivasta hyökkäyskoodista tuotiin julkisuuteen yhtä aikaa (lähde Lunasec). Kyseessä on siis niin sanottu nollapäivähaavoittuvuus. Kun tämä yhdistetään helppoon löydettävyyteen ja automatisointiin, on kaaoksen ainekset kasassa. Suojaukset ja korjaukset on kehitettävä ja otettava käyttöön nopeammin, kuin rikolliset ehtivät tilaisuutta hyödyntämään.
Monipuoliset haittavaikutukset
Log4shell-haavoittuvuuden avulla hyökkääjä voi ajaa itse valitsemiaan hyökkäyskomentoja kohteessa. Näin hyökkääjä voi esim. ohittaa suojauksia ja saada pääsyn muihin järjestelmiin. Hyvä yleiskuvaus vaikutuksista löytyy Kyberturvallisuuskeskuksen haavoittuvuustiedotteesta.
Haastavat jälkiselvitykset
Jos organisaatiosta löytyy järjestelmiä, jotka ovat alttiita Log4shell-ongelmalle, tulisi näille järjestelmille tehdä tietomurtotutkinta. Tutkinnan tarkoituksena on selvittää, onko haavoittuvuutta ehditty käyttää hyväksi. Ja jos on, niin miten? Tietomurtotutkinta on vaativaa asiantuntijatyötä. Lisäksi pitää arvioida riskit henkilötiedoille.
Log4shell-haavoittuvuudessa yhdistyy monta eri tekijää, jotka muodostavat yhdessä vaarallisen kokonaisuuden.
Vastaa