Meneillään oleva Java-pohjainen log4j-haavoittuvuus alkaa näkymään myös laajemmin. Nyt on löydetty ensimmäiset haavoittuvuudet sulautettujen järjestelmien ohjelmistokehitysympäristöistä. Onneksi suosittuun Arduinon IDE-ratkaisuun on jo päivitetty versio.
Ensimmäiset log4j-haavoittuvuudet sulautettujen suuntaan. Esimerkiksi Eclipse-kehitysympäristössäkin on osia, joissa on kyseinen haavoittuva kirjasto käytössä.
Viime perjantaina Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus julkaisi keltaisen varoituksen Log4j-komponentin haavoittuvuudesta, mutta muutti sen jo punaiseksi maanantaina.
Log4j-ongelma on hyvin vakava, koska se toimii Traficomin mukaan käytännössä haavoittuneen palvelun yleisavaimena. Hyökkääjä voi halutessaan ottaa haavoittuvan palvelun haltuunsa ja käyttää sitä haluamallaan tavalla.
Apache Log4j on Java-pohjainen komponentti, jolla voidaan tuottaa sovellusten lokitusta. Kyseistä komponenttia käytetään laajasti erilaisissa palveluissa ja sovelluksissa. Ylläpitäjiltä vaaditaan toimenpiteitä välittömästi ja päivittämisellä on kiire.
“Organisaatioiden on nyt tärkeää rajata haavoittuvuuden vaikutuksia sekä käynnistää tietomurtotutkinta haavoittuville järjestelmille”, Kyberturvallisuuskeskuksen tietoturva-asiantuntija Juho Jauhiainen painottaa.
Haavoittuvuuden laajuus on selvinnyt vasta viime viikonlopun aikana paremmin. Hyväksikäyttöyritysten määrä on kasvanut räjähdysmäisesti ja haavoittuvia palveluita havaitaan jatkuvasti lisää.
Haavoittuvuuden avulla kohdepalvelimille pyritään asentamaan kryptavaluuttalouhijoita mutta haavoittuvuuden luonteen vuoksi hyökkäyspontetiaali on suurempi.
Koska haavoittuvaa komponenttia käytetään hyvin erityyppisissä palveluissa, haavoittuvan komponentin löytäminen voi olla haastavaa. Päivitystä pitää myös testata ennen sen käyttöönottoa ja tämä kaikki vie aikaa. Seuraamme tilannetta ja uutisoimme lisää erityisesti sulautettujen järjestelmien ohjelmistojen haavoittuvuuksien korjaamisesta ja uusista versioista.
Lisää: Uusi Arduino IDE 1.8.18 IDE-versio (LINKKI) ja Eclipsen tiedote (LINKKI) asiasta. Lisää myös Traficomin sivulta (LINKKI) sekä Traficomin punaisen tason varoitus log4j-haavoittuvuudesta (LINKKI) sekä Kyberturvallisuuskeskuksen haavoittuvuustiedote 38/2021 (LINKKI).
Kuvituskuva: Shutterstock