Viranomainen tietää tapauksia, joissa suomalaisia organisaatioita on murrettu uuden Java-haavoittuvuuden avulla.

Hyökkääminen haavoittuviin järjestelmiin on helppoa. Mutta potentiaaliselle uhrille haavoittuvan järjestelmän löytäminen voi olla vaikeaa. Kuva: Kacper Pempel / Reuters

Verkot ympäri maailman ovat tällä hetkellä pommituksen kohteena. Syynä on Java-teknologiaan perustuvan Apache Log4j -komponentin haavoittuvuus, joka paljastui laajasti viime torstaina. Niin kutsuttu Log4shell-aukko on erittäin laaja ja koskettaa valtavaa määrää mitä erilaisimpia yrityksiä ja muita organisaatioita sekä verkkopalveluita.

Lue lisää: Kyberturvallisuuskeskus varoittaa laajasta tietoturva-aukosta, koskee isoa osaa internet-palveluista

Liikenne- ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus julkaisi aukosta varoituksen ja paiskii töitä uhkakuvan kartoittamiseksi Suomessa. Alustavat tulokset ovat, että haavoittuvuudella on jo onnistuttu murtamaan palveluita, joskaan ei välttämättä vielä kovin laajasti.

- Tiedossamme on vain muutamia tietomurtoja Log4shell-haavoittuvuuden avulla. Näissä tietomurroissa murrettua palvelinta on käytetty kryptovaluuttojen louhintaan, sekä bottiverkkoihin liittämiseen. Mukana on myös kuluttajia palvelevia tahoja, sanoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Juho Jauhiainen.

The Hacker Newsin mukaan aukon avulla saastutettuja tietokoneita on liitetty maailmalla esimerkiksi kuuluisaan Mirai-bottiverkkoon. Sitä on perinteisesti käytetty palvelunestohyökkäyksiin. Eli suuri joukko saastuneita tietokoneita komennetaan ottamaan samaan aikaan yhteyttä haluttuun verkkopalveluun, joka pyritään kaatamaan kuormittamalla sitä liikaa.

Lue myös: Miljoonista reitittimistä löytyi tietoturva-aukko - hyökkäys Kiinasta käynnistyi pian

Kryptolouhijat puolestaan valjastavat tietokoneen laskentatehon virtuaalisten valuuttojen tekemiseen.

Jauhiaisen mukaan hyökkääjien tavoitteet vastaavat Suomessa sitä mitä maailmalla on nähty. Suomessa ei vielä tiedetä tapauksia, joissa loppukäyttäjien tiedot olisivat vaarantuneet. Se ei ole kuitenkaan poissuljettua.

- Riski on olemassa, mutta ei tiedettävästi vielä realisoitunut. Toivomme organisaatioilta aktiivista selvitystä ja tiedotusta tietomurtojen osalta, Jauhiainen peräänkuuluttaa.

Tavallinen pulliainen ei voi tehdä mitään haavoittuvuudelle. Hän on palvelujen ylläpitäjien valveutuneisuuden varassa.

- Painotamme, että organisaatioiden on nyt tärkeää rajata haavoittuvuuden vaikutuksia sekä käynnistää tietomurtotutkinta haavoittuville järjestelmille.

Aukkoon on olemassa korjaus, mutta organisaation voi olla vaikeaa ylipäätään selvittää, onko heillä käytössään haavoittuva komponentti. Hyökkääminen sen sijaan on helppoa ja pitkälti automatisoitua.

- Moni organisaatio on tehnyt töitä läpi viikonlopun haavoittuvuuden paikkaamiseksi. Valitettavasti tilanne ei varmasti ole yhtä hyvä jokaisessa organisaatiossa, ja pyrimme korjaamaan tilannetta aktiivisesti tiedottamalla. Sovelluspäivitysten tekeminen voi tyypillisesti viedä useamman päivän, Jauhiainen huomauttaa.

Maailmalla tietomurtoja arvioidaan tehdyn jo lukuisia. Lista haavoittuvista palveluista ja sovelluksista kasvaa sekin koko ajan. Julkisten lähteiden perusteella Steam-pelipalvelun ja Applen iCloud-tallennuspalvelun lisäksi esimerkiksi Amazonin verkkokauppa, Cloudflare, Tesla ja Twitter ovat olleet haavoittuvia.

Pilvipalveluntarjoaja Cloudflare on julkisesti kertonut nähneensä ensimmäisiä hyökkäysyrityksiä jo 1. joulukuuta, vaikka yleiseen tietoisuuteen aukko tuli vasta torstaina 9. joulukuuta, kun sillä hyökättiin erittäin suositun Minecraft-pelin palvelimia vastaan. Asiasta kertoo muun muassa Ars Technica.

Kyberturvallisuuskeskuksen tämän hetkisen tiedon mukaan haavoittuvuutta on Suomessa skannattu ensimmäisen kerran 4. joulukuuta. Haavoittuvalle palvelimelle tulee siksi tehdä päivityksen ohella myös tietomurtotutkinta.

Tietoturvayhtiö Check Pointin mukaan haavoittuvuus on aiheuttanut "kyberpandemian", joka on erittäin tarttuva ja leviää nopeasti. Yhtiö sanoo perjantaista lukien estäneensä yli 400?000 hyökkäysyritystä käsittäen lähes kolmanneksen kaikista maailman yrityksistä.

- En voi korostaa liikaa tämän uhkan vakavuutta. Päällisin puolin se on suunnattu kryptolouhijoille, mutta uskomme sen synnyttävän juuri sellaista taustamelua, jota vakavat toimijat yrittävät käyttää hyväkseen hyökätäkseen suureen määrään korkean arvon kohteita, Check Pointin uhkatiedustelun johtaja Lotem Finkelstein sanoo tiedotteessa.

Tällaisiin kohteisiin Finkelstein laskee esimerkiksi pankit, valtiot ja kriittisen infrastruktuurin. Check Point pelkää haavoittuvuuden jäävän vuosien vaivaksi, elleivät organisaatiot nyt heti päivitä järjestelmänsä.