Aiemmin joulukuussa havaittu haavoittuvuus ajoi käytännössä kaikki ohjelmistoyhtiöt välittömään kriisitilaan. Taustalla oli niin sanottu log4j-koodi, jota käytetään ohjelmien aiemman toiminnan seuraamiseen.
Ilmaista koodinpätkää on käytetty viime vuosien aikana erittäin laajasti. Kyberturvallisuusasiantuntijat havaitsivat, että log4j:ää käyttävät palvelimet voisi ottaa haltuunsa syöttämällä siihen haitallista koodia.
– Log4j on vakavin haavoittuvuus, jonka olen nähnyt useita vuosikymmeniä kestäneen urani aikana, Yhdysvaltain CISA-tietoturvaviraston johtaja Jen Easterly sanoi CNBC-kanavalla.
Washington Post -lehden mukaan kyseessä voi olla kaikkien aikojen suurin ohjelmistohaavoittuvuus, jos mukaan lasketaan kaikki alttiit palvelut, sivustot ja laitteet.
Tilannetta on verrattu miljoonien ihmisten käyttämään lukkoon, joka todettaisiin yhtäkkiä tehottomaksi. Yhden lukon vaihtaminen on helppoa, mutta miljoonien viallisten lukkojen etsiminen eri rakennuksista on työlästä ja aikaavievää.
Tilanne on vaikuttanut myös Googlen, Amazonin ja Microsoftin kaltaisten suuryhtiöiden pilvipalveluihin ja muihin ohjelmistoihin. Kaikki internetiin kytketyt televisiot ja valvontakamerat voivat olla alttiita tunkeutumiselle. Tietoja urkkiville tahoille on avautunut äkillisesti uusia tilaisuuksia päästä kohteeseensa. Murtautujat pääsevat haavoittuvuuden avulla suoraan järjestelmän ytimeen ohi perinteisten suojausten.
Ohjelmistoyhtiöt ovat työskennelleet kellon ympäri ongelman korjaamiseksi. Esimerkiksi Google on asettanut tehtävään yli 500 työntekijää.
– Tämä on ollut painajainen alusta lähtien. Se on edelleen painajainen, Verimatrix-tietoturvayhtiön johtaja Asaf Ashkenazi sanoo.
Tuoreiden arvioiden mukaan ainakin puolet kaikista yritysverkoista on joutunut log4j-haavoittuvuutta hyödyntävien tunkeutumisyritysten kohteeksi viime viikkoina. Iranilaisten hakkerien kerrotaan yrittäneen tunkeutua sen avulla Israelin hallituksen ja liike-elämän kohteisiin.
Today "Java runs on billions of devices" is not a statement of pride, but a statement of pure terror.
— Tim Heckman (@theckman) December 10, 2021