Tietoturva ja tietoturvallisuuden varmistaminen on ehdottoman tärkeä osa-alue ohjelmistokehityksessä ja sen tärkeys tulee vain korostumaan tulevaisuudessa. Kun kehitämme ohjelmistoja, on ensisijaisen tärkeää varmistaa, että ne ovat turvallisia ja suojattuja potentiaalisia hyökkäyksiä vastaan.
Apache HTTP Server 2.4.48 haavoittuvuuden vaikutukset Haltun ylläpitämiin järjestelmiin
Tammikuun 31. päivä havaitsimme, että muutamissa asiakkaidemme tuotantoympäristöissä oli hyödynnetty Apache HTTP serveriin liittyvää haavoittuvuutta. Haavoittuvuus oli tyypiltään palvelunesto, eli järjestelmät oli saatettu tilaan, jossa niitä ei voitu käyttää normaalisti. Käytännössä järjestelmä palautti käyttäjälle ikävän näköisen Error 503 sivun.
Haavoittuvuuden aiheutti ympäristöissä käytössä oleva Apache HTTP Serverin versio 2.4.48, johon ei enää tarjota tukea.
Havainto tehtiin aamulla 07:04 ja kaikki tietoomme tulleet palvelunestot korjattiin tilapäisellä ratkaisulla 07:56 mennessä. Asiakkaitamme on tiedotettu haavoittuvuudesta, sen vaikutuksista sekä suositelluista korjaustoimenpiteistä.
Lisätietoa Apachen haavoittuvuudesta: https://nvd.nist.gov/vuln/detail/CVE-2021-40438
Apache Log4j 2 haavoittuvuuden vaikutukset Haltun ylläpitämiin järjestelmiin
Perjantaina 10.12 Haltun tietoon tuli nollapäivähaavoittuvuus Log4j 2 komponentissa. Arvioimme parhaillaan haavoittuvuuden vaikutuksia ylläpitämiimme järjestelmiin. Tiedotamme asiakkaitamme tilanteen etenemisestä sähköpostitse ja tätä blogipostausta täydentäen.
Taustaa
9. Joulukuuta raportoitiin nollapäivähaavoittuvuudesta komponentissa Log4j 2.14.1 ja osassa sen vanhemmissa versioissa. Haavoittuvuus antoi hyökkääjälle mahdollisuuden ajaa mielivaltaisia komentoja hyökkäyksen kohteena olevalla sovelluspalvelimella.
Arviomme vaikutuksista Haltun ylläpitämiin järjestelmiin
Haltun toteuttamat asiakasjärjestelmät eivät ole java-pohjaisia sovelluksia, joita haavoittuvuus koskettaa.
Haltu käyttää Log4j 2 kirjastoa omassa keskitetyssä lokienhallintajärjestelmässään, joka on ollut altis hyökkäyksille. Käsityksemme mukaan haavoittuvuutta ei ole ehditty hyödyntämään ja olemme rajoittaneet ongelmaa poistamalla kyseisen kirjaston käytöstä 12. päivä sunnuntaina.
Lisätietoja aiheesta: https://log4shell.com ja https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_38/2021
Päivitys: 14.12.2021 kello 14:06 Olemme jatkaneet vaikutusten arviointia ja selvittäneet onko haavoittuvuudella vaikutuksia asiakkaidemme järjestelmiin. Emme ole havainneet haittoja ylläpitämissämme asiakasjärjestelmissä. Tutkimme edelleen asiaa.
Päivitys: 17.12.2021 kello 16:48 Emme ole havainneet haittoja ylläpitämissämme asiakasjärjestelmissä. Seuraamme Kyberturvallisuuden haavoittuvuustiedotteita sekä viestintää ja reagoimme tarvittaessa.
