Suositussa ja laajasti sovelluksissa käytetyssä työkalussa on havaittu tietoturva-aukko, jonka hyväksikäyttö on helppoa.

Kuva: Jakub Porzycki / NurPhoto / Zuma / MVPhoto

Erittäin laajasti käytetyssä sovellustyökalussa on havaittu tietoturva-aukko, joka mahdollistaa myös rikollisen toiminnan.

Ongelma koskee isoa osaa internetin palveluita, kertoo Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus.

Haavoittuvuus on Apache Log4j-nimisessä työkalussa. Sillä tuotetaan palveluissa lokitusta, joka tarkoittaa palveluissa ja sovelluksissa tapahtuvien toimintojen tallentamista aikajärjestyksessä.

- Kyse on todella merkittävästä ongelmasta. Log4j on laajasti käytössä. Sitä on käytössä esimerkiksi Applen eri palveluissa, pelipalvelu Steamissa ja Minecraft-pelissä, kertoo tietoturva-asiantuntija Juho Jauhiainen Kyberturvallisuuskeskuksesta.

Ongelmaan on olemassa myös korjaus. Kyberturvallisuuskeskus suosittelee ylläpitäjiä ryhtymään päivitystoimiin viipymättä.

Tavallinen käyttäjä ei voi tehdä mitään asian korjaamiseksi. Organisaatioiden sen sijaan tulisi selvittää, onko niiden palveluissa käytetty Log4j-komponenttia, ja tarvittaessa ylläpitäjien pitää päivittää se.

Jo nyt on tiedossa, että haavoittuvuutta on hyödynnetty myös Suomessa.

- Olemme saaneet tästä ilmoituksia kotimaisista organisaatioista, Jauhiainen sanoo.

Haavoittuvuuden hyväksikäyttö on Kyberturvallisuuskeskusen mukaan helppoa, eikä se vaadi syvällistä tietoteknistä osaamista.

Haavoittuvuutta hyödyntämällä hyökkääjän on mahdollista tehdä etänä komentoja palvelimelle.

Juho Jauhiaisen mukaan ujuttamalla koodinpätkän haavoittuvuuden kautta palvelimelle, tunkeutuja voi tehdä palvelussa lähestulkoon mitä tahansa.

- Tavalliselle ihmiselle lähitulevaisuuden realistinen uhka ei ole kovin suuri, mutta toki tämä voi mahdollistaa tietomurrot ja käyttäjätietoihin pääsemisen. Ennemminkin haavoittuvuutta voidaan käyttää esimerkiksi palvelimien käyttämiseen kryptovaluuttojen louhimiseen, Jauhiainen sanoo.

Kyberturvallisuuskeskus pyytää ilmoittamaan mahdollisista haavoittuvuuden avulla tehdyistä tietomurroista matalalla kynnyksellä. Niistä on syytä tehdä myös rikosilmoitus.