Möödunud aasta 9. detsembril avalikustati Java programmeerimiskeele logimisfunktsioonis tuvastatud kriitiline turvanõrkus, mida tähistatakse märksõnaga Log4j või Log4Shell haavatavus. Kiiresti sai selgeks, et tegemist on aasta olulisima turvanõrkusega.
Riigi Infosüsteemi Amet tõi oma neljanda kvartali ülevaates välja, et nimetatud logimisfunktsioon on väga laialt kasutusel seadmetes ja tarkvaratoodetes üle maailma. Haavatavuse ärakasutamine on suhteliselt lihtne, võimaldades teatud tingimuste kokku langemisel ründajal hõlpsasti infosüsteemi sisse pääseda.
Ehkki erinevad tarkvaratootjad ja -arendajad reageerisid kohe ja hakkasid välja töötama vajalikke turvapaikasid ja uuendusi, on nimekiri mõjutatud toodetest ja seadmetest sedavõrd pikk, et see protsess kestab siiani. Samuti on töö käigus selgunud mitmeid täiendavaid turvanõrkusi, millega samuti paralleelselt tegeleda tuleb.
1. Mis juhtus pärast turvanõrkuse avastamist?
Nii nagu mujal maailmas, läks ka Eesti IT- ja infoturbespetsialistidel pärast uudise avalikuks tulemist väga kiireks: esmalt tuli tuvastada, millised kasutatavad tooted ja teenused on haavatavusest mõjutatud, milliste puhul on risk kõige suurem, milliste jaoks on juba turvapaigad saadaval või lähiajal tulemas ning hakata siis neid järgemööda rakendama.
Sama tegi ka RIA enda hallatavate teenuste puhul ning sarnaselt teiste IT-majadega oldi olukorras, kus tavapärasele tööle lisaks tuli kulutada kümneid ja kümneid töötunde log4j turvanõrkuse lappimiseks, kusjuures juhtus ka seda, et alles paar päeva tagasi uuendatud tarkvara osutus täna juba taas aegunuks.
2. Milliseid tagajärgi on turvanõrkus seni kaasa toonud?
Kohe pärast avalikustamist hakkasid kurjategijad aktiivselt küberruumi seirama leidmaks haavatavaid süsteeme; sama nägi CERT-EE oma tööriistade abil ka Eestis. Detsembris tuli teateid esimestest kohalikest ohvritest, kelle süsteem oli turvanõrkuse kaudu kompromiteeritud ning mõnel juhul paigaldatud pahavara, mis tegeles krüptoraha kaevandamisega.
Mujalt maailmast on lisaks krüptokaevandamisele teada juhtumeid, kus haavatavust kasutati lunavararünnakute ette valmistamiseks. Samuti on rahvusvahelise meedia andmetel mõned riiklikud ohustajad (eelkõige Hiina ja Iraaniga seotud grupeeringud) üritanud kasutada turvanõrkust luuretegevuse eesmärgil.
Massilistest rünnakutest log4j turvanõrkuse kaudu seni teateid ei ole. See vaikus võib olla aga petlik ja esialgsele lainele, kus kurjategijate eesmärk oli eelkõige haavatavate süsteemide leidmine ja nendesse võimalusel ligipääsu tekitamine, järgnevad suure tõenäosusega uued lained tõsisemate rünnetega.
3. Mida teha, et ennast kaitsta?
Ettevõtete ja asutuste töötajad saavad pöörduda oma infoturbe eest vastutavate inimeste poole uurimaks, milliseid samme on astutud selle turvanõrkusega kaasneva riski vähendamiseks. Ehkki uuendused tasub teha igal juhul, on konkreetsel juhul ohustatud ennekõike need süsteemid ja teenused, mis on internetile avatud. Kui on kahtlus, et infosüsteem on kompromiteeritud, soovitatakse teavitada CERT-EE-d.