Poistimme varoituksen Log4j-komponentin haavoittuvuudesta
Tietoturva Nyt!
Poistimme punaisen Log4j-varoituksen tilanteen näyttäessä rauhalliselta. Seuraamme haavoittuvuutta edelleen aktiivisesti ja viestimme heti, jos tilanteessa tapahtuu muutoksia.
Log4shell-haavoittuvuus julkaistiin 10.12.2021 ja Kyberturvallisuuskeskus julkaisi samana päivänä punaisen eli kriittisen varoituksen. Olemme vastaanottaneet haavoittuuvuudesta odotettua vähemmän yhteydenottoja. Haavoittuvuuden seurauksena tapahtuneet tietomurrot ovat olleet esimerkiksi kryptovaluutan louhimiseen tarkoitettuja haittaohjelmia.
Olemme seuranneet tilannetta maailmalla ja vaihtaneet tietoja kansainvälisten verkostojemme kanssa. Tilanne muualla on hyvin samankaltainen kuin Suomessa.
Vastuu haavoittuvan palvelun korjaamisesta on usein palveluntarjoajalla
Poistamme varoituksen tänään, mutta seuraamme myös jatkossa Log4Shell-haavoittuvuuden tilannetta. Teemme edelleen aktiivista yhteistyötä asiakkaidemme ja yhteistyökumppaniemme kanssa tilannekuvan osalta. Viestimme viipymättä, mikäli toivomme organisaatioilta toimenpiteitä tähän haavoittuvuuteen liittyen.
Haavoittuvuuksien hallinnan kannalta on edelleen tärkeää seurata Log4shell-haavoittuvuuteen tulevia päivityksiä. Haavoittuvuuden hyväksikäyttömenetelmät tulevat jäämään hyökkääjien työkalupakkiin vuosien ajaksi. Log4shell-haavoittuvuus voi olla piilossa taustajärjestelmissä tai laitteissa, silloin haavoittuvuuden havaitseminen voi olla hyvin hankalaa tai unohtua kokonaan.
Tämä esimerkki osoittaa kriittisten päivitysten asentamisen ja ennenkaikkea haavoittuvuuden hallinnan olevan pakollinen osa nykyaikaisen organisaation riskienhallintaa.