Joulukuussa ilmi tullut, lähes jokaisesta palvelusta löytyvä Log4shell-haavoittuvuus kosketti suoraan tai välillisesti valtaosaa suomalaisia verkkopalvelujen käyttäjiä. Nopea yhteistyö Traficomin Kyberturvallisuuskeskuksen ja sidosryhmien välillä edesauttoi organisaatioiden suojautumista tältä kriittiseltä haavoittuvuudelta. Korjaamattomana haavoittuvuus antaa hyökkääjälle pääsyn palvelimelle ilman salasanoja tai käyttäjätunnusta.

Log4shell-haavoittuvuus on erittäin vakava, koska se on laajasti käytössä ja haavoittuvuutta voidaan käyttää tehokkaasti hyväksi. Hyökkääjä pystyy muun muassa asentamaan viruksia, kiristyshaittaohjelmia tai varastamaan palvelimelta tietoja. Mahdollisia haittoja liiketoiminnalle ovat esimerkiksi liiketoiminnan keskeytyminen kiristyshaittaohjelman estettyä pääsyn tietojärjestelmiin. Luottamuksellisten tietojen vaarantuessa riskit osuvat sekä liiketoiminnan harjoittajaan että palvelujen käyttäjiin.

Kyberturvallisuuskeskus tuotti Log4shell-tilannekuvaa kellon ympäri

Log4shell-haavoittuvuus julkaistiin 10.12.2021, ja Kyberturvallisuuskeskus julkaisi samana päivänä keltaisen eli vakavan varoituksen. Samana iltana, lisätietojen ja haavoittuvuuden laaja-alaisuuden selvittyä varoitus muutettiin punaiseksi eli korkeimmalle mahdolliselle tasolle. Haavoittuvuudesta viestittiin laajasti mediatiedotteella, sosiaalisessa mediassa, sidosryhmäviesteillä- ja tilaisuudella sekä viranomaisyhteistyöllä. Kyberturvallisuuskeskus suuntasi viestintää myös yritysten johdolle.

Organisaatiot aktiivisina kentällä

Useat organisaatiot kertoivat tutkineensa ympäristöään ja päivittäneensä palveluitaan kellon ympäri. Keskisuurella toimijalla välittömästi korjattavia palveluita saattoi olla satoja. Organisaatioiden ripeä reagointi ehkäisi vahinkoja suurelta osin. Kriittisimpiä palveluita tunnistettiin organisaatioissa, ja niiden päivityksiä priorisoitiin haavoittuvuuden tultua julki.

"Erityinen kiitos kuuluu asiakaskunnallemme. Ehkäpä koskaan ennen emme ole päässeet todistamaan, miten vakava haavoittuvuus aiheuttaa yhtä vahvan korjaustoimien aallon toimintakentällämme", sanoo Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen ylijohtaja Sauli Pahlman.

Tilannetta kannattaa edelleen seurata organisaatioissa

Vaikka tilanne voi näyttää rauhalliselta, on hyvä muistaa, että Log4shell-haavoittuvuus voi olla piilossa taustajärjestelmissä tai laitteissa, jolloin haavoittuvuuden havaitseminen voi olla hyvin hankalaa tai unohtua kokonaan. Log4shell-haavoittuvuuden hyväksikäyttömenetelmät tulevat jäämään hyökkääjien työkalupakkiin vuosien ajaksi.

Log4shell-tapauksessa haastetta lisää se, että vastuu haavoittuvan palvelun korjaamisesta on usein palveluntarjoajalla. Organisaatioiden tulee tuntea ympäristönsä ja korjata omissa palveluissa olevat Log4shell-haavoittuvuudet sekä asentaa ohjelmistovalmistajien tarjoamat korjauspäivitykset.

Lue lisää:

Log4shell-ohjelmistohaavoittuvuus vaatii johdon välittömän huomion toiminnan turvaamiseksi sekä taloudellisten vahinkojen estämiseksi (Tietoturva Nyt! -artikkeli)

Log4j-varoitus punaiseksi - yksi merkittävimpiä haavoittuvuuksia  (Tietoturva Nyt! -artikkeli)

Julkaisimme vakavan varoituksen aktiivisesti hyväksikäytetystä Log4j-komponentin haavoittuvuudesta (Tietoturva Nyt! -artikkeli)