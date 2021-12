Myös kotireititin voi sisältää viime viikolla paljastuneen haavoittuvuuden, eikä tavallinen käyttäjä voi tehdä asialle paljoakaan.

Internetin rakenteisiin iskenyt log4shell-haavoittuvuus saattaa olla uskottua suurempi riski kotikäyttäjille. Tähän mennessä tietoturva-aukon on uskottu koskevan lähinnä verkkopalvelimia, joiden kanssa tavalliset kuluttajat eivät ole tekemisissä.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Juho Jauhiainen kertoi Cyberwatch Finlandin joulukuun katsauksessa digi- ja kyberturvallisuuden maailmaan, että kodeissa yleiset reitittimet saattavat olla vaarassa.

Reitittimiä käytetään yleensä langattoman wifi-verkon luomiseen ja monet niistä toimivat myös laajakaistamodeemeina.

Tilanne on epäselvä, sillä tapahtumakirjauksia tekevä log4j-niminen haavoittuva ohjelmakomponentti on erittäin laajasti käytössä verkkosovellusten osana. Toisin kuin moni on luullut, ohjelmakirjastoa käytetään osana muitakin kuin Java-ohjelmointikielellä toteutettuja sovelluksia. Se saattaa olla osa myös monien reitittimien ohjelmistoja.

– Olet kotireitittimen ylläpitäjä, joten tämä koskee sinua.

Ohjelmistokomponentin voi mieltää palaseksi monimutkaisessa legorakennelmassa. Haavoittuvuus siinä vaarantaa koko rakennelman.

” Harva kotikäyttäjä osaa reititintään säätää tai päivittää.

Tavallisen käyttäjän kannalta tilanne on ikävä. Osa reitittimistä osaa päivittää itse itsensä, toiset on päivitettävä käsin – mikä on useimmille ihmisille tuntematon toimenpide – ja osa laitteista on käytännössä heitteillä.

– Harva kotikäyttäjä osaa reititintään säätää tai päivittää, Jauhiainen sanoi.

Selvyyttä asiaan tulee vasta myöhemmin, sillä haavoittuvuuden vaikutuksia vasta kartoitetaan maailmanlaajuisesti. Osa vaikutuksista selvinnee vasta pitkien aikojen päästä. Tällä hetkellä varmaa on lähinnä se, että älypuhelimet eivät ole haavoittuvia.

– Tämä jatkuu kuukausia tai vuosia, ja ikinä sitä ei saada joka paikasta korjattua. Tämä on maratoni, ei pikamatka, Jauhiainen kuvaili.

Haavoittuvuuden hyväksikäyttäminen on helppoa, eikä vaadi suurta teknistä osaamista. Aukon sisältävälle laitteelle voi antaa etäyhteyden kautta syötteen, jota siinä toimiva log4j-komponentti luulee suoritettavaksi ohjelmakoodiksi ja alkaa ajaa hyökkäyskoodia.

– Väitän, että sellaista organisaatiota ei ole, jota tämä ei jollain tavalla koske, Jauhiainen sanoi.

Haavoittuvuus on ollut olemassa yli kahdeksan vuotta, mutta se raportoitiin ensimmäisen kerran marraskuussa. Raportin teki kiinalainen Alibaban työntekijä.

Haavoittuvuus löydettiin Minecraft-pelistä. Siinä oli mahdollista kirjoittaa keskustelulle tarkoitettuun chat-kenttään komentoja, jotka palvelin suoritti.

Pilvipalveluyritys Cloudflare huimasi ensimmäiset log4shell-hyökkäykset joulukuun alussa. Ensimmäinen korjauspäivitys tuli 9.12.

” Tämä haavoittuvuus voi katkaista yrityksen liiketoiminnan, joten johdon kannattaa olla kiinnostunut.

Suomessa ilmoituksia murroista Kyberturvallisuuskeskukselle ei ole tehty vielä montaa. Jauhiaisen mukaan tämä on yleistä laajojen tietoturvapandemioiden yhteydessä, sillä haavoittuvuuden havaitseminen omassa järjestelmässä saattaa kestää viikkoja.

– Odotamme, että ilmoituksia tulee lisää seuraavien viikkojen aikana, Jauhiainen sanoi.

Suomessa nähdyissä tapauksissa hyökkäyksissä on yritetty kaapata tietokoneita osaksi jatkohyökkäyksiin käytettävää bottiverkkoa sekä yritetty valmistaa kryptovaluuttoja. Tiedossa on myös yksi tapaus, jossa asialla uskotaan olleen niin sanotun network access brokerin eli toimijan, joka tekee tietomurtoja ja myy muille rikollisille pääsyä murrettuun järjestelmään.

– Tämä haavoittuvuus voi katkaista yrityksen liiketoiminnan, joten johdon kannattaa olla kiinnostunut.

Laajat log4shell-haavoittuvuutta hyödyntävät hyökkäykset ovat jo alkaneet. Rikollisorganisaatioiden lisäksi niitä tekevät kansalliset tiedustelupalvelut.