Rekisteröidy
AfterDawn logo

log4j - katastrofi, joka kylvää tuhoaan: Apple, Steam, Amazon, Google, Minecraft... - ja käyttäjänä et voi tehdä yhtään mitään

log4j - katastrofi, joka kylvää tuhoaan: Apple, Steam, Amazon, Google, Minecraft... - ja käyttäjänä et voi tehdä yhtään mitään
Petteri Pyyny Petteri Pyyny

Tänä viikonloppuna ei ole yhdenkään yrityksen tietoturvaosastolla vietetty vapaapäiviä, mikäli yrityksen johdolla on pätkääkään tilannetajua. Perjantaina julkistettu aukko netin toiminnan kannalta kriittisessä pienessä sovelluksessa on aiheuttanut jo valtavan määrän tietomurtoja.

Kaiken taustalla on pieni ja viaton avoimen lähdekoodin sovellus, log4j, joka käsittelee verkkopalvelinten keräämiä logitiedostoja. Käytännössä jokainen maailmasta löytyvä verkkopalvelin kerää jossain muodossa logitiedostoja toiminnastaan: logitiedostot kertovat, mitä verkkosivuja on ladattu, mitä virheitä palveluista on syntynyt ja ylipäätään logitiedostojen avulla hahmotetaan palvelinten toimintaa.

log4j on kolmen vapaaehtoisesti ja ilmaiseksi koodia vääntävän avoimen lähdekoodin harrastajan projekti, jota käytännössä lähes kaikki verkon jättiläiset käyttävät järjestelmiensä osana. Sen ylläpidosta vastaa Apachen organisaatio, joka on kenties parhaiten tunnettu avoimen lähdekoodin Apache HTTP-palvelimesta. Apachen oma sivu log4j:n aukosta antaa lisätietoa aukon toiminnasta sekä ohjeet log4j:n päivittämiseksi.


Perjantaina 10.12.2021 julkistettiin tiedot log4j-ohjelmasta löytyneestä tietoturva-aukosta (CVE-2021-44228). Tietoturva-aukko oli löydetty jo marraskuun lopulla ja siitä oli oikeaoppisesti tiedotettu log4j:n kehittäjille. Kahden viikon viiveen jälkeen aukon tiedot julkaistiin julkiseksi, kuten tietoturvapiireissä on tapana. Syy julkistamiseen oli huoli siitä, että tieto aukosta leviää pahantahtoisille tahoille/rikollisille joka tapauksessa, jos aukosta ei tiedoteta ajoissa.

Iso ongelma on se, että aukko on "liian helposti" hyödynnettävissä: täysin amatöörikin pystyy käyttämään aukkoa hyväkseen ja murtautumaan sen avulla käytännössä mihin tahansa verkkopalvelimeen, jota ei ole vielä paikattu log4j:n aukon osalta.

Käyttämällä aukkoa hyväkseen voi murtautuja käskeä murrettua palvelinta suorittamaan mitä tahansa ohjelmakoodia. Eli näppärästi toimimalla murtautuja voi muuttaa vaikkapa verkkosivuston HTML-koodia siten, että sivusto näyttää aivan samalta kuin aiemminkin - mutta ajaa jokaisen sivuille päätyneen käyttäjän selaimessa pahantahtoista JavaScriptiä.

Luonnollisesti myös käyttäjätietojen varastaminen, tietokantojen sisällön nappaaminen omaan talteen tai ihan vain vanha kunnon sivuston "sotkeminen" siihen liittymättömällä sisällöllä onnistuvat nekin aivan yhtä helposti.

Aukon suurin ongelma on se, että se osuu nimenomaan palvelimiin. Kuluttajana ja tavallisena netin selaajana et voi tehdä asialle käytännössä yhtään mitään.

Ja koska log4j on niin laajalti käytössä, on käytännössä täysin varmaa, että kuluvan viikonlopun aikana saadaan paikattua ainoastaan isojen yritysten ja tietoturvastaan enemmän ymmärtävien yritysten sivustot. Jäljelle tulee jäämään todennäköisesti miljoonia ja taas miljoonia pienten yritysten ja yksityishenkilöiden palvelimia, joita ei tulla paikkaamaan kenties vuosikausiin.

Githubissa ylläpidetään listaa suurten yritysten palveluista, joiden tiedetään joutuneen jo log4j:stä johtuvan turvallisuusaukon vuoksi murretuiksi, tavalla tai toisella. Listalta löytyy useita nettijättejä, kuten mm. Google, Apple, Tesla, Amazon, Steam, Twitter ja jopa Minecraft.


On päivänselvää, että tulevina päivinä tullaan näkemään paljon ilmoituksia tietomurroista, kun yritykset saavat täyden selvyyden siitä, mihin järjestelmien osiin murtautujat ovat log4j-aukon avulla päässeet.

Suomessa Kyberturvallisuuskeskus on tiedottanut aukosta aktiivisesti.

Aukon korjaamiseksi palvelimelta pitäisi päivittää log4j -ohjelma 9.12.2021 julkaistuun log4j-2.15.0-rc2 -versioon, jossa aukko on korjattu. Oman palvelimensa tietoturvan tason log4j -aukon osalta voi tarkistaa tarkoitukseen kehitetyllä Python-skriptillä.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT