Kyberturvallisuuskeskus kertoo selvin sanoin, miksi Log4shell-haavoittuvuus on niin iso asia Suomessakin. Joissain harvinaisemmissa tapauksissa se voi koskea myös kotikäyttäjiä.

Haavoittuvuuden vakavuutta on vaikea korostaa liikaa. Jatkossa voidaan nähdä kiristyshyökkäyksiä. Kuva: Kacper Pempel / Reuters

Erittäin laajasti verkkopalveluissa ja eri organisaatioissa käytetyn Java-työkalun haavoittuvuus on kriittinen ongelma Suomessa ja maailmalla. Liikenne- ja viestintävirasto Traficomin alainen Kyberturvallisuuskeskus päivitti haavoittuvuudesta antamansa varoituksen keltaisesta punaiseksi maanantaina.

- Seurasimme viikonlopun tilannetta ja kuinka paljon aukon hyväksikäyttämistä alkoi näkyä. Näkemämme määrät räjähtivät käsiin, Kyberturvallisuuskeskuksen tietoturva-asiantuntija Juho Jauhiainen perustelee varoituksen korotusta.

Kyse on Apache Log4j -nimisen verkkotyökalun ohjelmistovirheestä eli haavoittuvuudesta. Tämä tietoturva-aukko on saanut nimekseen Log4shell.

Työkalua käytetään palveluiden ja sovellusten tapahtumavirran kirjaamisessa lokitiedostoihin. Hyökkääjän on mahdollista antaa haavoittuvuuden avulla etänä komentoja sovelluspalvelimelle, mikä tekee siitä laajan tietoturvaongelman.

Tietoturvayhtiö Check Point arvioi, että yli kolmannes suomalaisista yritysverkoista olisi hyökkäysyritysten kohteena. Joukossa on myös kohteita, joissa ei käytetä haavoittuvaa komponenttia. Se ei sinänsä estä yrittämästä tietomurtoa, vaikka reittiä ei löytyisikään.

Lue lisää: "Leviää kuin metsä­palo" - näin massiiviseen netti­aukkoon isketään Suomessa

Jauhiainen uskoo tilanteen olevan vieläkin pahempi.

- Jos sinulla on mitä tahansa tuolla internetissä, niin sitä varmasti kolkutellaan nyt.

Kyberturvallisuuskeskuksella on käytössään kaksi eri varoitustasoa merkittävien tietoturvauhkien varalta. Log4shell kantoi jo keltaista varoitusta, mutta se korotettiin maanantaina punaiseksi, mikä on verrattain harvinaista.

Punainen varoitus tarkoittaa, että tilanne edellyttää välittömiä toimenpiteitä käyttäjiltä tai ylläpitäjiltä. Tässä tapauksessa ylläpitäjiltä, sillä tavalliset käyttäjät ovat pääasiassa voimattomia tekemään aukolle mitään. Apache on julkaissut alkuperäisen korjauksensa perään jo toisen paremman korjauksen, joka tulisi asentaa viipymättä.

- Tämä on yksi vakavimmista haavoittuvuuksista koskaan. Tämä on verrattavissa Heartbleediin, Jauhiainen korostaa.

Suomalaisten löytämä ja nimeämä Heartbleed-aukko oli vuoden 2014 merkittävin haavoittuvuus, joka koski verkkosivujen https-suojauksessa yleisesti käytettyä teknologiaa. Aukon avulla oli mahdollista vakoilla tietoja verkkopalvelimista. Log4shell on myös arvioitu yhtä kriittiseksi kuin vuoden 2017 Wannacry-kiristysohjelman globaali tapahtumaketju siihen liittyvine haavoittuvuuksineen.

Lue lisää: Vuoden tietoturvailmiöt: Verinen sydän varasti show'n

Jauhiaisen mukaan Log4shell on harvinaisen paha kahdesta syystä. Se löytyy todella laajasti mitä moninaisimmista verkkopalveluista ja siihen on todella helppo iskeä. Aukko on yleisavain, jolla hyökkääjä voi ottaa palvelun haltuunsa ja käyttää sitä haluamallaan tavalla.

Toistaiseksi Log4shelliä on käytetty lähinnä kryptovaluutan louhimiseen saastuneilla tietokoneilla ja/tai niiden liittämiseksi niin sanottuun bottiverkkoon. Jälkimmäisellä tarkoitetaan saastuneiden tietokoneiden verkostoa, joita voidaan komentaa esimerkiksi lähettämään roskapostia tai tekemään verkkopalveluita kaatavia hyökkäyksiä.

On kuitenkin mahdollista, että jatkossa nähdään myös käyttäjien tietoja varastavia murtoja. Yhdysvalloissa viranomaiset odottavat myös kiristyshyökkäyksiä, joissa tiedot otetaan panttivangeiksi.

Toistaiseksi on nähty vasta epäilyksiä. Ars Technica kertoo, että jättikokoinen henkilöstövuokrausfirma Kronos on joutunut mittavan kiristyshyökkäyksen kohteeksi ja sen verkkopalvelut ovat pois pelistä viikkoja. Yhtiö ei ole kuitenkaan vahvistanut sunnuntaina tapahtuneen iskun syyksi Log4shell-haavoittuvuutta.

Aukko tuli yleiseen tietoisuuteen ja hyökkäyskoodi julkaistiin viime torstaina, mutta sitä käytettiin hyökkäyksiin jo tätä ennen.

Internetistä löytyy useita listoja haavoittuvista sovelluksista, mutta Githubin listaus on yksi kattavimmista. Kyberturvallisuuskeskus on maininnut esimerkkeinä Steam-pelipalvelun, Applen iCloud-tallennuspalvelun, Amazonin verkkokaupan, pilvipalveluntarjoaja Cloudflaren, sähköautovalmistaja Teslan ja viestipalvelu Twitterin.

Toistuvasti on korostettu aukon olevan ylläpidon, ei tavallisen käyttäjän, ongelma. Juho Jauhiainen näkee tähän kuitenkin poikkeuksia. Joissakin tilanteissa haavoittuvuus voi saastuttaa myös tavallisen käyttäjän tietokoneen.

- Kyllä voi, joko välillisesti jonkun haavoittuvan palvelun kautta tai suoraan jonkun tietokoneeseen asennetun ohjelmiston kautta. En pidä sitä kuitenkaan tällä hetkellä todennäköisenä, Jauhiainen sanoo.

Voi kuitenkin olla, että joillekin kaduntallaajille tulee eteen ohjelmistopäivityksen asentaminen itse.

Joissakin tilanteissa haavoittuvuus voi koskettaa suoraan tavallista käyttäjää. Kuva: Ilkka Laitinen

- Tämä on mahdollista, mikäli tietokoneella on jokin ohjelmisto, joka käyttää Log4j-komponenttia. Tällä hetkellä tiedossa olevat haavoittuvat ohjelmistot ovat lähinnä yrityskäyttöön tarkoitettuja, Jauhiainen rauhoittelee.

Windows-tietokoneissa aiemmin erittäin yleisen Java-ohjelmaympäristön (Java runtime environment, JRE) nykyversio estää oletusarvoisesti ohjelmakoodin suorittamisen etäältä käsin, kertoo Naked Security -blogi. JRE:tä nähtiin aiemmin Windows-koneissa paljon, sillä Java-ohjelmointikielellä koodatut sovellukset vaativat sitä monin paikoin toimiakseen.

Tämä ei tee kuitenkaan kotikoneista täysin riskittömiä. Jotkut sovellukset saattavat sisältää haavoittuvia Java-paketteja. Tässä tapauksessa niiden havaitseminen jää tietokoneella toimivan tietoturvaohjelman tehtäväksi.

Kyberturvallisuuskeskus tietää muutamia aukon avulla tehtyjä tietomurtoja Suomessa, mutta uusia ei ole kirjattu sitten maanantain. Jauhiainen veikkaa sen johtuvan ennen kaikkea organisaatioiden kiireestä saada tilanne hallintaan, ja lisää ilmoituksia murroista saataneen pian. Haavoittuvuuden todelliset seuraukset selviävät vasta lähiviikkoina. Toistaiseksi Suomessa havaitut murrot eivät ole vaarantaneet ihmisten tietoja.