Päevatoimetaja:
Aimur-Jaan Keskel

Amet hoiatab: Java tarkvara kriitilised turvanõrkused nõuavad tähelepanu

Copy
Tõnu Tammer
Tõnu Tammer Foto: Konstantin Sednev

Märtsi lõpus tuli avalikuks laialt kasutatud veebiraamistiku Java Springiga seotud nullpäeva turvanõrkus. Riigi infosüsteemi amet (RIA) soovitab organisatsioonidel kontrollida, kas turvanõrkused seavad ka nende süsteemid ohtu.

Spring on maailmas laialdaselt kasutatav avaliku lähtekoodiga Java tarkvara, mille kasutamine lihtsustab ja kiirendab Java programmeerimiskeelega rakenduste arendamist.

«Seda lahendust kasutatakse väga palju nii mujal maailmas kui ka siin Eestis. Seepärast soovitame organisatsioonidel kontrollida, kas need turvanõrkused mõjutavad ka neid,» ütles RIA küberintsidentide käsitlemise osakonna juhataja Tõnu Tammer.

Ta lisas, et tavakasutajat see nõrkus otseselt ei mõjuta, vaid selle kaudu saab organisatsioonide IT-süsteemidesse siseneda ja teoorias korda saata seda, mida hing ihaldab.

«Ettevõtte juhid võiksid oma IT-teenuse pakkujalt või osakonnalt küsida, kas nad on värske Java tarkvara nõrkusega kursis ning öelda, et nad maandaksid sellega seotud ohte. See nõrkus võib tavakasutajaid mõjutada siis, kui nad ei saa mõnd teenust kasutada või mõne ettevõtte kaudu on nende andmed varastatud,» lausus Tammer.

Kurjategijad kasutavad nõrkust ära peamiselt tarkvaratööstusega seotud ettevõtete ründamiseks. «See ei tähenda, et sihikule ei võetaks muudes valdkondades tegutsevaid ettevõtteid ja asutusi. Nõrkused avalikustati alles eelmisel nädalal, siis tegelevad nii kurjategijad kui ka küberturbeeksperdid nende analüüsimise ning mõju hindamisega,» ütles ta. «Vastumeetmed tuleks kasutusele võtta enne, kui ründajad saavutavad vilumuse selle ära kasutamisel. Siis võib olla hilja.»

RIA intsidentide käsitlemise osakond (CERT-EE) märkas alates 31. märtsist katseid neid turvanõrkuseid ära kasutada. CERT-EEle ei ole 6. aprilli seisuga laekunud ühtegi teavitust, et neid turvanõrkusi oleks suudetud edukalt ära kasutada, kuid CERT-EE jälgib pingsalt olukorda ja edasisi arenguid.

RIA teavitas 1. aprillil riigiasutusi ning elutähtsa ja olulise teenuse osutajaid turvanõrkusest ja võimalikest vastumeetmetest. Ameti kodulehelt leiab ohuhinnangu, mis kirjeldab turvanõrkuste iseloomu ning annab konkreetsed soovitused, kuidas need kõrvaldada.

Tagasi üles