Log4Shell on Log4j:n haavoittuvuus. Log4j on puolestaan laajalti käytetty Java-pohjainen lokijärjestelmä. Tämä tietoturva-aukko herätti nopeasti monien kyberturvallisuusasiantuntijoiden huomion, ja pahantahtoiset tahot ovat pyrkineet hyödyntämään sitä. Miten Log4Shell vaikuttaa tavallisiin käyttäjiin, ja pitäisikö siitä olla huolissaan? Voiko sen aiheuttamia vahinkoja torjua VPN:n tai virustorjuntaohjelman avulla?
Log4j on kirjasto, jota käytetään miljoonien ohjelmien virheilmoitusten kirjaamiseen. Se auttaa seuraamaan mitä tietyssä sovelluksessa tai sivustolla tapahtuu, ja lähettää tästä diagnostiikkaviestejä IT-järjestelmänvalvojille.
Oletetaan, että haluat esimerkiksi saada pääsyn tietylle palvelimelle, mutta kirjoitat väärät kirjautumistiedot ja näet 401-virheilmoituksen. Palvelin kertoo, että sinulla ei ole pääsyä haluamiisi resursseihin, ja tallentaa tapahtuman Log4j:n välityksellä. Näin järjestelmänvalvojat havaitsevat kirjautumisyrityksen ja voivat tutkia mitä tapahtui.
Vuoden 2021 joulukuussa Log4j:ssä paljastui haavoittuvuus, jota hyödyntäen hakkerit voivat syöttää järjestelmään haitallista koodia ja suorittaa erilaisia toimintoja, kuten varastaa tietoja, levittää haittaohjelmia tai ottaa kohteen hallintaansa. Kyseessä on siis merkittävä haavoittuvuus kyberturvallisuuden näkökulmasta.
Tätä haavoittuvuutta kutsutaan nimellä Log4Shell ja sille annettiin tietoturvahaavoittuvuuksien hallintajärjestelmässä CVE-numero CVE-2021-44228.
Katso alta, mistä Log4Shellistä on kyse pähkinänkuoressa:
Log4Shell on Apache Log4j -haavoittuvuus. Apache Log4j on suosittu Java-kirjasto, jota käytetään sovellusten virheilmoitusten kirjaamiseen. Haavoittuvuuden takia verkkorikolliset voivat ottaa hallintaansa Internetiin yhdistetyn laitteen, jolla on käytössä tiettyjä Log4j 2:n versioita.
Ei, mutta ne liittyvät toisiinsa: Log4Shell (CVE-2021-44228) on Log4j:n nollapäivähaavoittuvuus.
Heti kun Log4Shell havaittiin, sitä alettiin hyödyntämään pahoihin tarkoituksiin. Microsoftin mukaan sitä ovat hyödyntäneet esimerkiksi valtiot kuten Kiina, Iran, Pohjois-Korea ja Turkki.
Hakkerit ovat pyrkineet saamaan Log4Shellin avulla pääsyn eri verkkoihin, ja myyneet pääsyn kiristysohjelmia levittäville tahoille. Hakkerit eivät siis itse käynnistä kiristyshyökkäyksiä, vaan myyvät hyökkääjille pääsyn, jonka välityksellä ne voivat kiristysohjelmia levittää.
Hakkerit ovat myös yrittäneet hyödyntää Log4Shell-tietoturva-aukkoa Windows- ja Linux-järjestelmissä. Se puolestaan voi kasvattaa näiden järjestelmien käyttäjiin kohdistuvien kiristyshyökkäysten määrää.
Tammikuussa Iso-Britannian julkinen terveydenhuoltojärjestelmä (NHS) varoitti, että hakkerit kohdistivat toimiaan VMware Horizon -palvelimiin. Siitä saattaa seurata tietovarkauksia, haittaohjelmien levitystä ja kiristysohjelmien käyttämistä.
Hakkereiden kerrotaan myös kohdistaneen toimia suositun Minecraft-pelin palvelimiin. Yhdysvaltain Kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA, Cybersecurity and Infrastructure Security Agency) johtaja Jen Easterly sanoi, että Log4Shelliä tullaan käyttämään hyökkäyksiin myös tulevaisuudessa.
Yhdysvaltain hallituksen kansalliseen haavoittuvuustietokantaan (National Vulnerability Database eli NVD) lisättiin vuonna 2020 18 000 uutta haavoittuvuutta. Kirjoitushetkellä tietokannassa oli yhteensä 168 000 haavoittuvuutta.
Tietokannassa olevat haavoittuvuudet on jaettu matalan, keskitason ja korkean (kriittinen) riskin mukaan. Log4Shell on luokiteltu kriittiseksi haavoittuvuudeksi. Sen vaikutus Internetin käyttäjiin voi siis olla erittäin merkittävä.
Löytöhetkellä Log4Shell luokiteltiin nollapäivähaavoittuvuudeksi. Se tarkoittaa, että hakkerit ja muut vaaralliset tahot saattoivat olla tietoisia siitä ennen kuin se havaittiin virallisesti. On kuitenkin epäselvää, hyödynsivätkö hakkerit Log4Shelliä ennen kuin verkkoturvallisuusasiantuntijat julkistivat löydön.
Haavoittuvuuden löytämisen jälkeen sen riskejä on pyritty vähentämään usein paikkauksin. Yritysten, joiden sovellukset käyttävät Log4j:tä, tulisi päivittää ohjelmistonsa välittömästi. Suosittelemme kaikkien ohjelmien skannaamista ja yrityksesi tärkeimpien ohjelmistojen päivittämistä ensimmäisenä askeleena.
On myös tärkeää seurata tarkasti mahdollista epäilyttävää toimintaa verkossasi. Jos jotain tapahtuu, huomaat uhan ja voit toimia nopeasti.
Yksittäiset Internetin käyttäjät eivät voi tehdä paljoakaan suoraan Log4Shell-haavoittuvuden hyväksikäyttöä estääkseen. Sen sijaan palveluiden ylläpitäjien tulee tehdä tarvittavat toimenpiteen. Useat sivustot ja palvelut ovat kertoneet sivuillaan, miten he ovat toimineet Log4Shell-haavoittuvuuden aiheuttamien riskien torjumiseksi.
Log4Shell muistuttaa kuitenkin siitä, että tietoturvasta on syytä pitää huolta. Eikä se ole ainoa haavoittuvuus, joka hakkereita kiinnostaa. Käyttäjien onkin tärkeää pysyä valppaana ja huolehtia sovellusten päivittämisestä – ohjelmistojen päivitykset sisältävät erilaisia turvallisuuteen liittyviä päivityksiä ja haavoittuvuuksien paikkauksia. Katso alta myös muut tärkeät tietoturvavinkit:
Verkkoturvallisuus käynnistyy napsautuksella.
Pysy suojattuna maailman johtavan VPN:n avulla