Mikä on Log4Shell-haavoittuvuus ja millaista vahinkoa se voi aiheuttaa?

Miten Log4j toimii?

Log4j on kirjasto, jota käytetään miljoonien ohjelmien virheilmoitusten kirjaamiseen. Se auttaa seuraamaan mitä tietyssä sovelluksessa tai sivustolla tapahtuu, ja lähettää tästä diagnostiikkaviestejä IT-järjestelmänvalvojille.

Oletetaan, että haluat esimerkiksi saada pääsyn tietylle palvelimelle, mutta kirjoitat väärät kirjautumistiedot ja näet 401-virheilmoituksen. Palvelin kertoo, että sinulla ei ole pääsyä haluamiisi resursseihin, ja tallentaa tapahtuman Log4j:n välityksellä. Näin järjestelmänvalvojat havaitsevat kirjautumisyrityksen ja voivat tutkia mitä tapahtui.

Vuoden 2021 joulukuussa Log4j:ssä paljastui haavoittuvuus, jota hyödyntäen hakkerit voivat syöttää järjestelmään haitallista koodia ja suorittaa erilaisia toimintoja, kuten varastaa tietoja, levittää haittaohjelmia tai ottaa kohteen hallintaansa. Kyseessä on siis merkittävä haavoittuvuus kyberturvallisuuden näkökulmasta.

Tätä haavoittuvuutta kutsutaan nimellä Log4Shell ja sille annettiin tietoturvahaavoittuvuuksien hallintajärjestelmässä CVE-numero CVE-2021-44228.

Katso alta, mistä Log4Shellistä on kyse pähkinänkuoressa:

Mihin Log4Shelliä käytetään?

Log4Shell on Apache Log4j -haavoittuvuus. Apache Log4j on suosittu Java-kirjasto, jota käytetään sovellusten virheilmoitusten kirjaamiseen. Haavoittuvuuden takia verkkorikolliset voivat ottaa hallintaansa Internetiin yhdistetyn laitteen, jolla on käytössä tiettyjä Log4j 2:n versioita.

Onko Log4j sama asia kuin Log4Shell?

Ei, mutta ne liittyvät toisiinsa: Log4Shell (CVE-2021-44228) on Log4j:n nollapäivähaavoittuvuus.

Minkälaista vahinkoa Log4j-haavoittuvuus voi aiheuttaa?

Heti kun Log4Shell havaittiin, sitä alettiin hyödyntämään pahoihin tarkoituksiin. Microsoftin mukaan sitä ovat hyödyntäneet esimerkiksi valtiot kuten Kiina, Iran, Pohjois-Korea ja Turkki.

Hakkerit ovat pyrkineet saamaan Log4Shellin avulla pääsyn eri verkkoihin, ja myyneet pääsyn kiristysohjelmia levittäville tahoille. Hakkerit eivät siis itse käynnistä kiristyshyökkäyksiä, vaan myyvät hyökkääjille pääsyn, jonka välityksellä ne voivat kiristysohjelmia levittää.

Hakkerit ovat myös yrittäneet hyödyntää Log4Shell-tietoturva-aukkoa Windows- ja Linux-järjestelmissä. Se puolestaan voi kasvattaa näiden järjestelmien käyttäjiin kohdistuvien kiristyshyökkäysten määrää.

Tammikuussa Iso-Britannian julkinen terveydenhuoltojärjestelmä (NHS) varoitti, että hakkerit kohdistivat toimiaan VMware Horizon -palvelimiin. Siitä saattaa seurata tietovarkauksia, haittaohjelmien levitystä ja kiristysohjelmien käyttämistä.

Hakkereiden kerrotaan myös kohdistaneen toimia suositun Minecraft-pelin palvelimiin. Yhdysvaltain Kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA, Cybersecurity and Infrastructure Security Agency) johtaja Jen Easterly sanoi, että Log4Shelliä tullaan käyttämään hyökkäyksiin myös tulevaisuudessa.

Kuinka yleisiä ohjelmistohaavoittuvuudet ovat?

Yhdysvaltain hallituksen kansalliseen haavoittuvuustietokantaan (National Vulnerability Database eli NVD) lisättiin vuonna 2020 18 000 uutta haavoittuvuutta. Kirjoitushetkellä tietokannassa oli yhteensä 168 000 haavoittuvuutta.

Tietokannassa olevat haavoittuvuudet on jaettu matalan, keskitason ja korkean (kriittinen) riskin mukaan. Log4Shell on luokiteltu kriittiseksi haavoittuvuudeksi. Sen vaikutus Internetin käyttäjiin voi siis olla erittäin merkittävä.

Löytöhetkellä Log4Shell luokiteltiin nollapäivähaavoittuvuudeksi. Se tarkoittaa, että hakkerit ja muut vaaralliset tahot saattoivat olla tietoisia siitä ennen kuin se havaittiin virallisesti. On kuitenkin epäselvää, hyödynsivätkö hakkerit Log4Shelliä ennen kuin verkkoturvallisuusasiantuntijat julkistivat löydön.

Näin suojaat itsesi Log4Shell-haavoittuvuudelta

Haavoittuvuuden löytämisen jälkeen sen riskejä on pyritty vähentämään usein paikkauksin. Yritysten, joiden sovellukset käyttävät Log4j:tä, tulisi päivittää ohjelmistonsa välittömästi. Suosittelemme kaikkien ohjelmien skannaamista ja yrityksesi tärkeimpien ohjelmistojen päivittämistä ensimmäisenä askeleena.

On myös tärkeää seurata tarkasti mahdollista epäilyttävää toimintaa verkossasi. Jos jotain tapahtuu, huomaat uhan ja voit toimia nopeasti.

Yksittäiset Internetin käyttäjät eivät voi tehdä paljoakaan suoraan Log4Shell-haavoittuvuden hyväksikäyttöä estääkseen. Sen sijaan palveluiden ylläpitäjien tulee tehdä tarvittavat toimenpiteen. Useat sivustot ja palvelut ovat kertoneet sivuillaan, miten he ovat toimineet Log4Shell-haavoittuvuuden aiheuttamien riskien torjumiseksi.

Log4Shell muistuttaa kuitenkin siitä, että tietoturvasta on syytä pitää huolta. Eikä se ole ainoa haavoittuvuus, joka hakkereita kiinnostaa. Käyttäjien onkin tärkeää pysyä valppaana ja huolehtia sovellusten päivittämisestä – ohjelmistojen päivitykset sisältävät erilaisia turvallisuuteen liittyviä päivityksiä ja haavoittuvuuksien paikkauksia. Katso alta myös muut tärkeät tietoturvavinkit:

• Ole tarkkana tietojenkalasteluviestien, vaarallisten latausten ja linkkien varalta. Älä siis avaa epäilyttäviä sähköposteja, saati lataa niiden sisältämiä tiedostoja. Käyttäjien valppaus on tärkeimpiä tapoja suojata laitteita ja välttää ikäviä ongelmia.
• Seuraa tietoturvallisuuteen liittyvää keskustelua. Näin pysyt ajan tasalla erilaisista kyberturvallisuusriskeistä ja osaat suojautua niiltä. Muista huolehtia niin lasten kuin iäkkäämpienkin perheenjäsenten tietoturvasta ja laitteiden suojaamisesta. Muista myös, että tietokoneiden lisäksi on tärkeää suojata myös älypuhelimet, tabletit ja kodin IOT-laitteet.
• Käytä VPN-palvelua. VPN salaa verkkoliikenteen ja suojaa IP-osoitteen. Se siis auttaa yksityisyyden suojaamisessa merkittävällä tavalla – tietojasi tai keskustelujasi ei voida siepata, eivätkä ulkopuoliset pääse käsiksi todellisen IP-osoitteesi paljastamiin tietoihin.
• Hyödynnä NordVPN:n Threat Protection Pro -ominaisuutta: se estää sinua lataamasta vaarallisia tiedostoja. Et siis vahingossakaan pääse saastuttamaan laitettasi haittaohjelmalla. Lisäksi Threat Protection Pro estää seurannan, siirtymisen vaarallisille sivustoille ja haitalliset mainokset.