Kyberturvallisuuskeskus varoittaa: Internetpalveluissa laajasti käytetty Log4j-komponentti on aktiivisen hyväksikäytön kohteena – päivitä välittömästi

Diizzel

Ylläpidon jäsen
Liittynyt
29.10.2016
Viestejä
2 233
Kyberturvallisuuskeskus-Xiaomi-raportti-081021.jpg


Diizzel kirjoitti uutisen/artikkelin:
Liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskus varoittaa internetpalveluissa erittäin laajasti käytetyn Apachen Log4j-komponentin haavoittuvuuden olevan aktiivisen hyväksikäytön kohteena. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa etänä mielivaltaisia komentoja sovelluspalvelimelle. Traficomin mukaan hyväksikäyttötapauksia havaitaan jatkuvasti lisää ja ylläpitäjien on reagoitava tilanteeseen nopeasti.

Traficomin mukaan Log4j-komponentti on käytössä todella laajasti suosituissa sovelluksissa ja sen haavoittuvuuden hyväksikäyttömäärät ovat kasvaneet räjähdysmäisesti. Listaa haavoittuvista sovelluksista ylläpidetään viraston mukaan Github-palvelussa ja Kyberturvallisuuskeskuksen tietojen mukaan haavoittuvuus on koskenut isoa osaa internetin palveluista ja sitä pyritään käyttämään aktiivisesti myös kotimaisissa organisaatioissa.

Traficom suosittelee päivittämään Log4j:n 9.12.2021 julkaistuun versioon log4j-2.15.0., joka on Apachen viimeisin päivitys, joka myös korjaa kyseessä olevan haavoittuvuuden. Kyberturvallisuuskeskuksen tämänhetkisen tiedon mukaan Log4shell-haavoittuvuus ei koske Log4j:n versioita 1.X.

Traficom ohjeistaa palveluiden ylläpitäjiä selvittämään, missä kaikkialla Log4j on käytössä ja päivittämään nämä edellä mainittuun versioon. Tyypillisesti tieto komponentin käytöstä löytyy Java-sovellusten pom.xml-tiedostoista. Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan korjaus on tehtävä palvelun ylläpitäjillä.

Päivitys 16.12.2021: Myös haavoittuvuuden korjaavasta Log4j-2.15.0-versiosta on löydetty haavoittuvuuksia. Apache on jo julkaissut uuden Log4j-2.16.0-version, joka korjaa nuo uudetkin haavoittuvuudet. Kyberturvallisuuskeskus on päivittänyt omaan alkuperäiseen ohjeistukseensa oikean uuden versionumeron.

Lähde: Traficom, ArsTechnica

Linkki alkuperäiseen juttuun
 
Viimeksi muokattu:
Tämä log4j päivitys ei aina ole ihan niin triviaalia, koska se on usein osana jotain isompaa softaa eikä se ole välttämättä päivitettävissä erillisenä pakettina.
 
Millaisia ovat pahimmat tai todennäkösimmät hyökkäykset? Voiko loppukäyttäjä mitenkään vaikuttaa lieventävästi seuraamuuksiin, oli tämä sitten tavallinen tai epätavallinen käyttäjä? Olisi kyllä hyvä, että kaikki yksilöivä tieto olisi salattuna tiivistein palveluntarjoajan toimesta, mutta eihän se tämäkään autaaksi tee. Lähtökohtaisesti yksi muuri kuitenkin vielä suojana, jos salaus on kirjautumistietoihin sidottu.
 
Viimeksi muokattu:
Millaisia ovat pahimmat tai todennäkösimmät hyökkäykset? Voiko loppukäyttäjä mitenkään vaikuttaa lieventävästi seuraamuuksiin, oli tämä sitten tavallinen tai epätavallinen käyttäjä? Olisi kyllä hyvä, että kaikki yksilöivä tieto olisi salattuna tiivistein palveluntarjoajan toimesta, mutta eihän se tämäkään autaaksi tee. Lähtökohtaisesti yksi muuri kuitenkin vielä suojana, jos salaus on kirjautumistietoihin sidottu.
Tuskin sinulla on kotikoneella sellaista javapohjaista palvelinsovellusta käytössä, jossa olisi Log4j toiminnassa ja verkon kautta saavutettavissa, paitsi ehkä versiota 1.18.1 vanhempi Minecraft Java. Lähinnä tämä ongelma siis koskee yritysten palvelimia, mutta niitä se sitten koskeekin todella laajasti. Aukon kautta on mahdollista ajaa koodia kohdejärjestelmässä ilman käyttäjän toimia, joten pahimmalle hyväksikäyttömenetelmälle vain taivas on rajana.

Täältä jatkuvasti päivittyvää listaa eri sovellusten tilanteesta ja korjausmenetelmistä:

 
Millaisia ovat pahimmat tai todennäkösimmät hyökkäykset?
Kyseessä on RCE haavoittuvuus eli aikalailla pahin mahdollinen aukko. Jos esim. serveri logittaa käyttäjän inputtia niin hakkeri voi käytännössä syöttää serverille melkein minkä tahansa käskyn eli käytännössä saada täyden kontrollin serveristä siinä kontekstissa missä serverisoftaa ajetaan.

Hyökkäyksiä on ja tulee olemaan laidasta laitaan. Veikkaan että lievimmillään jotain palveluita "paskotaan läpällä" ja pahimmillaan käyttäjätietokantoja, pankkeja tai kriittisen tiedon palveluita (poliisi, armeija, terveydenhuolto jne.) ryöstetään.

Voiko loppukäyttäjä mitenkään vaikuttaa lieventävästi seuraamuuksiin, oli tämä sitten tavallinen tai epätavallinen käyttäjä?
Teoriassa voi, mutta käytännössä ei. En lähde kaikkia kohtuuttoman vaivalloisia kaukaa haettuja ideoita tähän kuitenkaan listaamaan.
 
Tästä tuli Mieleen ku KissFM chatin ikkunassa pysty kikkailemaan jo silloin ysärin lopussa. :kahvi:
 
Tuskin sinulla on kotikoneella sellaista javapohjaista palvelinsovellusta käytössä,

Miksi rajaus palvelinsovelluksiin? Yhtälailla client-sovellukset ovat tälle haavoittuvuudelle auki. Ihan vain muutama esimerkki: Jos sovelluksessa on chat-toiminto/vastaava, joka logaa log4j:tä käyttäen. Jos(=kun) sovellus on yhteydessä johonkin nettipalveluun, jonka kautta on mahdollista syöttää haavoittuvuuden mukainen syöte sovelluksen logattavaksi. Jos asiakas-palvelin ratkaisun palvelinpää korkataan ensin tuon haavoittuvuuden avulla, niin se aukaisee mahdollisuuden sieltä kautta käyttää reikää myös asiakaskoneelle pääsyyn. Jne.
 
Miksi rajaus palvelinsovelluksiin? Yhtälailla client-sovellukset ovat tälle haavoittuvuudelle auki. Ihan vain muutama esimerkki: Jos sovelluksessa on chat-toiminto/vastaava, joka logaa log4j:tä käyttäen. Jos(=kun) sovellus on yhteydessä johonkin nettipalveluun, jonka kautta on mahdollista syöttää haavoittuvuuden mukainen syöte sovelluksen logattavaksi. Jos asiakas-palvelin ratkaisun palvelinpää korkataan ensin tuon haavoittuvuuden avulla, niin se aukaisee mahdollisuuden sieltä kautta käyttää reikää myös asiakaskoneelle pääsyyn. Jne.

Jep. Esim. minecraft taitaa logittaa kaikki omaan konsoliin mitä serverillä esim. jutellaan.
 
Miksi rajaus palvelinsovelluksiin? Yhtälailla client-sovellukset ovat tälle haavoittuvuudelle auki. Ihan vain muutama esimerkki: Jos sovelluksessa on chat-toiminto/vastaava, joka logaa log4j:tä käyttäen. Jos(=kun) sovellus on yhteydessä johonkin nettipalveluun, jonka kautta on mahdollista syöttää haavoittuvuuden mukainen syöte sovelluksen logattavaksi. Jos asiakas-palvelin ratkaisun palvelinpää korkataan ensin tuon haavoittuvuuden avulla, niin se aukaisee mahdollisuuden sieltä kautta käyttää reikää myös asiakaskoneelle pääsyyn. Jne.
No se nyt oli lähinnä karkea yleistys. Kaikki on toki mahdollista, mutta haavoittuvia loppukäyttäjän client-sovelluksia ei ole tietääkseni tunnistettu tuon aiemminkin mainitun vanhan Minecraftin Java-version lisäksi.
 
Tämä oli myös hauska havainto. Jos payloadista jättää sen viimeisen aaltosulun "}" pois, pääsee keräämään palvelimelta muita mahdollisesti kiinnostavia lokimessuja paluupostissa.
 
Tämä on aika vmäinen aukko korjata koska monessa palvelinsoftassakin se saattaa olla sulautetun Javan sisässä eikä päivittäminen välttämättä onnistu ilman, että päivittää koko softan, kunhan vendor jaksaisi sen ensin päivittää. Ja sitä löytyy kaikista kivoista sulautetuista vehkeistä, joihin pitää odottaa firmware päivityksiä.

Yhden tuollaisen ${jndi:ldap:// yrityksen bongasin logeista, siinä yritettiin ladata skriptiä venäläiseltä palvelimelta bash:illa ajettavaksi. Netin mukaan tuosta IP osoitteesta yritetään pääsääntöisesti työntää kinsing cryptomineria palvelimille.
 
Potilastietojärjestelmät varmasti tulilinjalla, niissä kökköjö java ratkaisuja ulkoisiin palveluihin ja nopeita kirjausliikkeitä ei voi tehdä, ettei toiminta lamaannu.
 
Nyt pääsee yritysten sisäiset turvaprotokollat koetukselle. Lateraalinen liikkuminen tulee estää, jotta pahimpia vuotoja ei tapahdu. Suoraa pääsyä asiakas/potilastietoihin ei tämä haavoittuvuus takaa, ainakaan enemmistössä yrityksiä.
 
Mahdollisesti lähiaikoina tullaan kuulemaan useista eri ransomware-tapauksista. Käyttökohteita on vaikka mitä ja rikolliset ovat parhaillaan tekemässä mitä ihmeellisimpiä murtoja.
Jossain tehdään pitkää päivää.

Since December 10th, Bitdefender observed various attacks on our honeypots, but we also detected real-world attacks on machines running the Bitdefender endpoint protection agent. Gaining initial access via the exploit followed by cryptojacking (malicious crypto mining without the knowledge and consent from the owner), seems to be the primary motivation for threat actors at this early stage of exploitation.

The following detections are based on Bitdefender telemetry from hundreds of millions of global sensors and are not based on data from honeypots or by monitoring traffic in botnet networks.



 
Viimeksi muokattu:
Millaisia ovat pahimmat tai todennäkösimmät hyökkäykset? Voiko loppukäyttäjä mitenkään vaikuttaa lieventävästi seuraamuuksiin, oli tämä sitten tavallinen tai epätavallinen käyttäjä? Olisi kyllä hyvä, että kaikki yksilöivä tieto olisi salattuna tiivistein palveluntarjoajan toimesta, mutta eihän se tämäkään autaaksi tee. Lähtökohtaisesti yksi muuri kuitenkin vielä suojana, jos salaus on kirjautumistietoihin sidottu.

Esimerkiksi kun ajaa moninpelin chat ikkunassa tietyn tekstin pätkän voi kaapata muiden pelaajien henkilökohtaiset tietokoneet täyteen etähallintaan ja asentaa koneisiin aivan mitä tahansa sovelluksia (ransomware, virukset, keyloggerit, vakoiluohjelmat, etähallinta, kryprovaluuttoja louhivat sovellukset) mitä haluaa. Näin on tehty esimerkiksi Minecraft pelissä, jonka moninpeli on koodattu javalla.
 
"Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan korjaus on tehtävä palvelun ylläpitäjillä."

Tavallinen käyttäjä joutuu kylläkin päivittämään ohjelmansa pikimmiten myös ?
 
"Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan korjaus on tehtävä palvelun ylläpitäjillä."

Tavallinen käyttäjä joutuu kylläkin päivittämään ohjelmansa pikimmiten myös ?
Tuota logipalikkaa tuskin kovin monessa clientissä on käytössä. Taino on varmaan osassa, mutta isommin tuota käytetään serverien päässä.
 
Esimerkiksi kun ajaa moninpelin chat ikkunassa tietyn tekstin pätkän voi kaapata muiden pelaajien henkilökohtaiset tietokoneet täyteen etähallintaan ja asentaa koneisiin aivan mitä tahansa sovelluksia (ransomware, virukset, keyloggerit, vakoiluohjelmat, etähallinta, kryprovaluuttoja louhivat sovellukset) mitä haluaa. Näin on tehty esimerkiksi Minecraft pelissä, jonka moninpeli on koodattu javalla.
Ei kannata yleistää Minecraftin Javaversion toimintamallia kaikkiin moninpeleihin. Harva peli edes käyttää Javaa, saati sitten toimisi samalla tavalla.

"Tavallinen käyttäjä ei voi tehdä toimenpiteitä haavoittuvuuden korjaamiseksi, vaan korjaus on tehtävä palvelun ylläpitäjillä."

Tavallinen käyttäjä joutuu kylläkin päivittämään ohjelmansa pikimmiten myös ?
Kyllä, jos tavallisella käyttäjällä on koneessaan joku Javaa käyttävä (palvelin)sovellus, joka käyttää Log4j-kirjastosta haavoittuvuuden sisältävää versiota. Se on aika epätodennäköistä tavan tallaajan koneessa, mutta kuten tuo Minecraftin Javaversio osoitti, ei se sentään täysin poissuljettua ole.
 
Ei kannata yleistää Minecraftin Javaversion toimintamallia kaikkiin moninpeleihin. Harva peli edes käyttää Javaa, saati sitten toimisi samalla tavalla.


Kyllä, jos tavallisella käyttäjällä on koneessaan joku Javaa käyttävä (palvelin)sovellus, joka käyttää Log4j-kirjastosta haavoittuvuuden sisältävää versiota. Se on aika epätodennäköistä tavan tallaajan koneessa, mutta kuten tuo Minecraftin Javaversio osoitti, ei se sentään täysin poissuljettua ole.

Luin tuossa just listaa haavoittuvista sovelluksista. Siellä on jopa tietoturvayhtiöiden tietoturvatuotteita ja virustutkia. Nekään eivät ole palvelinsovelluksia.

Haavoittuvuuden hyväksikäyttö ei vaadi, että ulkopuolelta pääsee syöttämään palvelimelle esim. http-kutsun avulla syötteen, vaan riittää että jollain keinolla saa haavoittuvan sovelluksen kirjoittamaan logiin sopivaa tekstiä. Esim. jos tietoturvatuote logaa tarkistamansa tiedostonimet(tms.) vaikkapa tarkistamansa zip:n sisältä- ja joku on tehnyt tiedostonimen käyttämään tätä haavoittuvuutta. En tutkinut tarkasti onko tuollaista löytynyt - joten tuo siis kuvitteellisina esimerkkinä millaisia hyökkäysvektoreita nyt voi olla auki.

Kannattaa nyt vähän avata mieltä, että mitä kaikkia mahdollisia tapoja haavoittuvuuden hyväksikäytölle on. Kukaan log4j:tä käyttänyt ei ole ajatellut, että joidenkin asioiden logaaminen saattaisi aiheuttaa tällaista; mitä tahansa ( paitsi salasanoja/salaisuuksia ) on siis logattu - ja logattuihin asioihin vaikuttamalla voi käyttää tätä haavoittuvuutta hyväksi.

Edit. Yliviivasin mahdollisen väärinkäsityksen.
 
Viimeksi muokattu:
Luin tuossa just listaa haavoittuvista sovelluksista. Siellä on jopa tietoturvayhtiöiden tietoturvatuotteita ja virustutkia. Nekään eivät ole palvelinsovelluksia. Haavoittuvuuden hyväksikäyttö ei vaadi, että ulkopuolelta pääsee syöttämään palvelimelle esim. http-kutsun avulla syötteen, vaan riittää että jollain keinolla saa haavoittuvan sovelluksen kirjoittamaan logiin sopivaa tekstiä. Esim. jos tietoturvatuote logaa tarkistamansa tiedostonimet(tms.) vaikkapa tarkistamansa zip:n sisältä- ja joku on tehnyt tiedostonimen käyttämään tätä haavoittuvuutta. En tutkinut tarkasti onko tuollaista löytynyt - joten tuo siis kuvitteellisina esimerkkinä millaisia hyökkäysvektoreita nyt voi olla auki.

Kannattaa nyt vähän avata mieltä, että mitä kaikkia mahdollisia tapoja haavoittuvuuden hyväksikäytölle on. Kukaan log4j:tä käyttänyt ei ole ajatellut, että joidenkin asioiden logaaminen saattaisi aiheuttaa tällaista; mitä tahansa ( paitsi salasanoja/salaisuuksia ) on siis logattu - ja logattuihin asioihin vaikuttamalla voi käyttää tätä haavoittuvuutta hyväksi.
Virustutka, joka käyttää loppukäyttäjän koneella Javaa ja sen kanssa Log4j:tä? Kertoisitko ihan suoraan sovelluksen nimen, niin ei tarvitse arvailla. Githubissa olevassa NCSC-NL:n Log4Shell-listalla ei tullut sellaista vastaan, mutta en tosin ole käynyt sitä kokonaan läpi, saati avannut jokaisen listatun sovelluksen bulletinia. Haavoittuvia ja päivitystä kaipaavia verkonhallinta -ja tietoturvatuotteita siellä kyllä on useampiakin, myös kotimaisen F-Securen osalta, mutta ne eivät ole sellaisia mitä taviksilla on kotikoneillaan. Tuo lista päivittyy koko ajan, eivätkä kaikki siellä olevat sovellukset edes ole automaattisesti haavoittuvia, eli siellä on listattu myös niitä joiden kohdalla on vahvistettu ettei ongelmaa ole.

Kyllä minäkin keksin tälle haavoittuvuudelle vaikka millaisia hyväksikäyttömenetelmiä, mutta jos koneessa ei ole sovellusta, joka käyttää Javan kanssa Log4j:tä, niin sitten ongelmaa ei ole ja sillä siisti. Riippumatta siitä minkä laskee palvelinsovellukseksi ja mitä ei, niin loppukäyttäjien sovelluksissa tuo on harvinainen tilanne riippumatta sinun tai minun mielikuvituksesta.

Pointti on, että vaikka haavoittuvuus on vakava, ei kannata maalailla tarpeettomasti piruja seinille ja pelotella pertti peruskäyttäjiä.
 
Virustutka, joka käyttää loppukäyttäjän koneella Javaa ja sen kanssa Log4j:tä? Kertoisitko ihan suoraan sovelluksen nimen, niin ei tarvitse arvailla. Githubissa olevassa NCSC-NL:n Log4Shell-listalla ei tullut sellaista vastaan, mutta en tosin ole käynyt sitä kokonaan läpi, saati avannut jokaisen listatun sovelluksen bulletinia. Haavoittuvia ja päivitystä kaipaavia verkonhallinta -ja tietoturvatuotteita siellä kyllä on useampiakin, myös kotimaisen F-Securen osalta, mutta ne eivät ole sellaisia mitä taviksilla on kotikoneillaan. Tuo lista päivittyy koko ajan, eivätkä kaikki siellä olevat sovellukset edes ole automaattisesti haavoittuvia, eli siellä on listattu myös niitä joiden kohdalla on vahvistettu ettei ongelmaa ole.

Kyllä minäkin keksin tälle haavoittuvuudelle vaikka millaisia hyväksikäyttömenetelmiä, mutta jos koneessa ei ole sovellusta, joka käyttää Javan kanssa Log4j:tä, niin sitten ongelmaa ei ole ja sillä siisti. Riippumatta siitä minkä laskee palvelinsovellukseksi ja mitä ei, niin loppukäyttäjien sovelluksissa tuo on harvinainen tilanne riippumatta sinun tai minun mielikuvituksesta.

Pointti on, että vaikka haavoittuvuus on vakava, ei kannata maalailla tarpeettomasti piruja seinille ja pelotella pertti peruskäyttäjiä.

Sorry, en ole kiinnostunut väittelemään aiheesta. Halusin vain tuoda vastakkaisen näkemyksen siitä, että ongelma koskisi lähinnä palvelinsovelluksia. Sitä ei tiedetä. Asiantuntijatkin myöntävät, että ongelman täyttä laajuutta ei edes vielä tiedetä.

Riittääkö, että poistan "virustutka"-sanan edellisestä viestistäni - ymmärtäisitköhän viestin tarkoituksen siten paremmin? Voisin jopa poistaa rietoturvatuote sanan, jos se auttaa.

Ei ole tarvetta pelotella. Ei tarvitse myöskään vähätellä. Voi ihan suoraan myöntää, ettei tiedetä vielä.
 
Sorry, en ole kiinnostunut väittelemään aiheesta. Halusin vain tuoda vastakkaisen näkemyksen siitä, että ongelma koskisi lähinnä palvelinsovelluksia. Sitä ei tiedetä. Asiantuntijatkin myöntävät, että ongelman täyttä laajuutta ei edes vielä tiedetä.

Riittääkö, että poistan "virustutka"-sanan edellisestä viestistäni - ymmärtäisitköhän viestin tarkoituksen siten paremmin? Voisin jopa poistaa rietoturvatuote sanan, jos se auttaa.
Ei ole tarvetta väitellä, mutta keskustelu on varmasti suotavaa. Konfliktien välttämiseksi taas riittää yleisesti, ettei väitä olemattomia.

Kyllä minä sinun pointin ymmärsin ilman noita virheellisiä vihjailuitakin. Hyvä kuitenkin että korjasit, niin ei jää kenellekään väärää käsitystä siitä että pitäisi alkaa sokkona poistelemaan virustorjuntasoftia koneelta.

Ei ole tarvetta pelotella. Ei tarvitse myöskään vähätellä. Voi ihan suoraan myöntää, ettei tiedetä vielä.
Kuka on vähätellyt ja mitä? Tämä on todennäköisesti historian pahin tietoturvahaavoittuvuus, ei siitä ole kukaan ollut eri mieltä. Varmasti kaikki alan ihmiset tietävät kuinka pahasta ja pitkäaikaisesta ongelmasta tässä voi pahimmillaan olla kyse.

Se on totta ettei tiedetä varmuudella mikä on tilanne loppukäyttäjien softien kanssa, mutta voidaan silti olettaa että jos ja kun yhtälö Java+Log4j on niissä harvinainen, niin myös tämä ongelma on niissä yhtä harvinainen. Ei siis olematon, mutta harvinainen.

Toki on mahdollista, että jossakin vaiheessa selviää, että joku kaikkien käyttämä perussovellus sisältääkin pinnan alla oman Javan ja jonnekin suljetun koodin sisään piilotetun Log4j:n, jonka myötä helvetti on irti, mutta se on aika kaukaa haettu skenaario.
 
Ei ole tarvetta väitellä, mutta keskustelu on varmasti suotavaa. Konfliktien välttämiseksi taas riittää yleisesti, ettei väitä olemattomia.

Kyllä minä sinun pointin ymmärsin ilman noita virheellisiä vihjailuitakin. Hyvä kuitenkin että korjasit, niin ei jää kenellekään väärää käsitystä siitä että pitäisi alkaa sokkona poistelemaan virustorjuntasoftia koneelta.


Kuka on vähätellyt ja mitä? Tämä on todennäköisesti historian pahin tietoturvahaavoittuvuus, ei siitä ole kukaan ollut eri mieltä. Varmasti kaikki alan ihmiset tietävät kuinka pahasta ja pitkäaikaisesta ongelmasta tässä voi pahimmillaan olla kyse.

Se on totta ettei tiedetä varmuudella mikä on tilanne loppukäyttäjien softien kanssa, mutta voidaan silti olettaa että jos ja kun yhtälö Java+Log4j on niissä harvinainen, niin myös tämä ongelma on niissä yhtä harvinainen. Ei siis olematon, mutta harvinainen.

Toki on mahdollista, että jossakin vaiheessa selviää, että joku kaikkien käyttämä perussovellus sisältääkin pinnan alla oman Javan ja jonnekin suljetun koodin sisään piilotetun Log4j:n, jonka myötä helvetti on irti, mutta se on aika kaukaa haettu skenaario.

Kukaan ei ole käsittääkseni poistaa virustorjuntaa sokkona. Mainitsin myös alunperinkin viestissäni, että esimerkki virustutkasta oli hypoteettinen.

Jos palataan tästä vastahyökkäilystä minun sanomiani asioita kohtaan, takaisin alkuperäiseen asiaan. Oliko sinulla jotain oikeaa perustetta sanoa, että ongelma koskisi lähinnä palvelinpuolen java-softia? Vai valuatko nyt jostain syystä vain puhtaasti keskittyä minun sanomisiini?
 
Missä virustorjunnassa on työasema clientissä log4j haavoittuvuus? Sen tiedän, että F-Securen vanhemmassa Policy Manager tuotteessa tämä on sekä MSG Gatewayssä on tämä haavoittuvuus, molemmat palvelintuotteita.

Kyberturvallisuuskeskuskin ehkä skannailee, kun logeissa on skanneja 52.178.178.36 IP:stä (Microsoftin IP) ja rivillä NCSC-FI-LOG4J-TEST
 
Kukaan ei ole käsittääkseni poistaa virustorjuntaa sokkona. Mainitsin myös alunperinkin viestissäni, että esimerkki virustutkasta oli hypoteettinen.

No etkä maininnut, vaan väitit lukeneesi listaa haavoittuvista sovelluksista, joiden joukossa olisi virustorjuntasoftia:
Luin tuossa just listaa haavoittuvista sovelluksista. Siellä on jopa tietoturvayhtiöiden tietoturvatuotteita ja virustutkia.

Jos nyt sitten näyttäisit sen listan ja sieltä sen sovelluksen, tai myöntäisit valehdelleesi.

Sitten myöhemmin tuut kertomaan että ei ole tarvetta pelotella, mutta kuitenkin juuri itse sitä tässä teet, vailla mitään todisteita. Haavoittuvuus on vakava, ja se koskee monenlaisia softia, mutta jätetään tuollainen suoranainen asiasta valehtelu ja muiden pelottelu kuitenkin pois.
 
Missä virustorjunnassa on työasema clientissä log4j haavoittuvuus?

Tietääkseni ei missään. Tosiaan nuo F-Securen vanhahkot tuotteet ovat haavoittuvaisia, mutta niitä toivottavasti ei pahemmin enää käytetä missään, kiitos Elementsin.

En ole tietoinen että yksikään virustorjunta käyttäisi Javaa. Suuri osa virustorjunnoista kirjoittaa dataa (esim kirja skannatuista tiedostoista) omaan sisäiseen kantaan.
 
No etkä maininnut, vaan väitit lukeneesi listaa haavoittuvista sovelluksista, joiden joukossa olisi virustorjuntasoftia:


Jos nyt sitten näyttäisit sen listan ja sieltä sen sovelluksen, tai myöntäisit valehdelleesi.

Sitten myöhemmin tuut kertomaan että ei ole tarvetta pelotella, mutta kuitenkin juuri itse sitä tässä teet, vailla mitään todisteita. Haavoittuvuus on vakava, ja se koskee monenlaisia softia, mutta jätetään tuollainen suoranainen asiasta valehtelu ja muiden pelottelu kuitenkin pois.

Yliviivasin viestistäni väärinymmärrykseni - olin näemmä lukenut samaa listaa kuin @Kautium, mutta ilmeisesti tulkinnut sitä väärin. Tuolla listalla on merkattu Not vulnerableksi tuotteita, mutta kun käy lukemassa Trend Micron omia listoja, niin siellä lukee Resolved/Not vulnerable. Ja myönnän senkin etten ole hetkeen pysynyt mukana noissa tietoturvatuotteiden tuoterakenteessa, saatan puhua kaikesta desktopilla ajettavasta tietoturvasoftasta virustutkana - en tiedä mikä yhteisnimitys niille nykyään on. Enkä tiedä miten paljon desktop-tietoturvasoftien toiminnallisuus on hajautettu desktopille ja tietoturvayhtiön pilvipalvelimille. Myönnän väärinymmärrykseni ja rajallisen tietämykseni.

Voitaisiinko palata keskustelemaan aiheesta, ja mitä siitä tällä hetkellä ymmärrämme?
 
Mahdollisesti lähiaikoina tullaan kuulemaan useista eri ransomware-tapauksista. Käyttökohteita on vaikka mitä ja rikolliset ovat parhaillaan tekemässä mitä ihmeellisimpiä murtoja.

Muutamassa päivässä tätä haavoittuvuutta hyödyntävien hyökkäysten määrä lähentelee jo miljoonaa.

1639646095373.png


 
Myös tuosta alkuperäisen haavoittuvuuden korjaavasta Log4j-2.15.0-versiosta on löydetty haavoittuvuuksia ja sille on julkaistu jo päivitys 2.16.0, joka korjaa nuo uudetkin haavoittuvuudet. Kyberturvallisuuskeskus on jo korjannut omaan viralliseen ohjeistukseensa oikean uuden versionumeron. Samat tiedot päivitetty myös uutiseen.

Lähteet: Traficom, ArsTechnica
 
Myös tuosta alkuperäisen haavoittuvuuden korjaavasta Log4j-2.15.0-versiosta on löydetty haavoittuvuuksia ja sille on julkaistu jo päivitys 2.16.0, joka korjaa nuo uudetkin haavoittuvuudet. Kyberturvallisuuskeskus on jo korjannut omaan viralliseen ohjeistukseensa oikean uuden versionumeron. Samat tiedot päivitetty myös uutiseen.

Lähteet: Traficom, ArsTechnica
2.16 on myös haavoituvainen, mukaanlukien RCE-hyökkäysmahdollisuuden.


Never stop the maddness (TM)
 
Yleisin tapa hoitaa paikkaus on poistaa jnlp ja DNS kutsutuki ja/tai palomuurata. Olettaisin että alan toimijoiden purkit ovat nopeasti turvallisia, mutta iso ongelma muodostuu sitten niistä asennuksista jotka ovat jonkun pajan itse nostamia ja joissa saattaa olla vaikka mitä piraattiversiota softista joita virallinen tuki ei tavoita.
 
Eipä ollut onneksi omassa verkossa kuin cloud controller haavoittuvainen ja nyt on sekin jo päivityksellä tukittu.
 

Uusimmat viestit

Statistiikka

Viestiketjuista
258 722
Viestejä
4 496 755
Jäsenet
74 274
Uusin jäsen
Antenni ja sähkö

Hinta.fi

Back
Ylös Bottom