Log4j-komponentin haavoittuvuus on aktiivisen hyväksikäytön kohteena - päivitä välittömästi!

Varoitus5/2021

Julkaistu 10.12.2021

Päivitetty 09.02.2022 10:01

Internetpalveluissa erittäin laajasti käytetyn, haavoittuvan Log4j-komponentin hyväksikäyttötapauksia havaitaan jatkuvasti lisää. Ylläpitäjiltä vaaditaan nopeaa reagointia.

Haavoittuvuuden levinneisyys on selvinnyt viikonlopun aikana paremmin. Haavoittuvaa Log4j-komponenttia on käytössä todella laajasti suosituissa sovelluksissa. Hyväksikäyttöyritysten määrä on kasvanut räjähdysmäisesti ja haavoittuvia palveluita havaitaan jatkuvasti lisää. Listaa haavoittuvista sovelluksista ylläpidetään Github-palvelussa, joka on ohjelmistokoodin jakamiseen tarkoitettu alusta. Tietojemme mukaan haavoittuvuutta pyritään käyttämään aktiviisesti hyväksi myös kotimaisissa organisaatioissa.

Päivittäminen vie aikaa. Sovelluskehittäjät julkaisevat päivityksiä tuotteisiinsa, mutta niiden läpimeno ei tapahdu hetkessä. Haavoittuvan komponentin löytäminen voi olla haastavaa ja päivitystä pitää myös testata ennen sen käyttöönottoa.

Julkisten tietojen perusteella haavoittuvuus on koskenut isoa osaa internetin palveluita. Tarkennamme haavoittuvuustiedotettamme (Ulkoinen linkki), kun lisätietoja haavoittuvista sovelluksista julkaistaan. Olemme lisänneet tiedotteeseen myös ohjeita haavoittuvuuden löytämiseksi, testaamiseksi ja vaikutusten rajaamiseksi.

On erittäin suositeltavaa päivittää Apache Log4j mahdollisimman pian 17.12.2021 julkaistuun versioon log4j-2.17.0. Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan niitä odotetaan ylläpitäjiltä.

Varoituksen kohderyhmä

Suosittelemme organisaatioita selvittämään, onko niillä Log4j-komponenttia käyttäviä palveluita käytössään.

Ratkaisu- ja rajoitusmahdollisuudet

Apachen Log4j-komponentin kriittistä haavoittuvuutta käytetään aktiivisesti hyväksi. Apache on julkaissut uusimman päivityksen haavoittuvuuteen 17.12.2021 versionumerolla log4j-2.17.0. Ylläpitäjien tulisi asentaa päivitys viipymättä.

Kyberturvallisuuskeskuksen tämänhetkisen tiedon mukaan Log4shell-haavoittuvuus ei koske Log4j versioita 1.X.

Lisätietoa

https://logging.apache.org/log4j/2.x/security.html (Ulkoinen linkki) (ulkoinen linkki)

https://www.lunasec.io/docs/blog/log4j-zero-day/ (Ulkoinen linkki) (ulkoinen linkki)

Päivityshistoria

10.12.2021 22:57

Korjattu Apachen sivustolle vievä linkki

12.12.2021 0:17

Lisätty maininta ettei haavoittuvuus koske Log4j versioita 1.X.

13.12.2021 13:10

Varoitus nostettu keltaisesta punaiseksi. Ingressiä päivitetty ja lisätty tekstiin uutta tietoa haavoittuvuuden laajuudesta.

14.12.2021 16:04

Korjattu uusin suositeltava päivitysversio -> log4j-2.16.0.

18.12.2021 23:12

Korjattu uusin suositeltava päivitysversio -> log4j-2.17.0

09.02.2022 10:01

Varoituksen voimassaolo päättyi 9.2.2022. Varoituksen tila muutettu passiiviseksi (harmaa varoitussymboli)