Innofactorin Kyberturvastudio – viikko 17
Tietoturva-asiantuntijamme Janne Nevalainen ja Marcus Söderblom keskustelevat kyberturvallisuusmaailman ajankohtaisimmista ilmiöistä ja uutisista kahdesti kuukaudessa Innofactorin Kyberturvastudiossa. Tässä blogissa käymme läpi kyberrintaman kuulumisia viikolta 17.
Voit katsoa Kyberturvastudion jaksoja myös videona tai kuunnella kätevästi podcastina. Tuoreimmassa jaksossa käsittelemme seuraavia aiheita:
- Lenovo UEFI -haavoittuvuus koskee jopa yli miljoonaa tietokonetta
- Snort IDS -haava vaaraksi ICS-verkolle
- Alhack-haavoittuvuus uhkaa päivittämättömiä Android-laitteita
- Cisco Umbrella Virtual Appliance -ohjelmiston pääkäyttäjätunnukset vaarassa
- Java-versioissa haavoittuvuuksia
- Black Cat -kiristyshaittaohjelmalla 60 kohdetta maailmanlaajuisesti.
Lenovo UEFI -haavoittuvuus koskee jopa yli miljoonaa tietokonetta
Lenovon UEFI-ohjelmistosta on löydetty haavoittuvuus, joka koskee yli 100:aa valmistajan tietokonemallia ja jopa yli miljoonaa yksittäistä tietokonetta. Ongelma on paitsi laaja myös verrattain vakava, sillä UEFI-ohjelmistoon tehtävien muutosten avulla voidaan esimerkiksi ohittaa päätelaitteen turvajärjestelmiä. Onni onnettomuudessa on kuitenkin se, että tämänkaltaisissa haavoittuvuuksissa hyökkääjä tarvitsee pääsyn laitteelle vähintään etäyhteyden kautta aiheuttaakseen laajempaa vahinkoa.
Lenovo on jo ehtinyt julkaista haavoittuvuuden korjaavan päivityksen.
Snort IDS -haava vaarantaa teollisuusyrityksille kriittisen ICS-verkon
Snort IDS on tunnettu avoimeen lähdekoodiin perustuva IDS/IPS-ohjelmisto eli tunkeilijan havaitsemis- ja estämisjärjestelmä. Ohjelmistosta tunnistettiin vastikään haava, joka koskee nimenomaan teollisuuden alan ICS-verkoissa käytössä olevaa Modbus-protokollaa.
Haavoittuvuus mahdollistaa dossaamisen eli sellaisen palvelunestohyökkäyksen, jonka tarkoitus on estää hyökkäyksen kohteen (kuten ohjelmiston tai verkkosivuston) tavanomainen toiminta. Snortin tapauksessa hyökkäys on sikäli kriittinen, että se kohdistuu tekniseen puolustuskontrolliin, jonka tehtävänä on suojata teollisuusyrityksille kriittistä ICS-verkkoa.
Alhack-haavoittuvuus vaaraksi päivittämättömille Android-laitteille
Alhack on nimitys viimeisimmälle Android-laitteista löydetylle Alac-koodekin haavoittuvuudelle. Haavoittuvuutta hyödyntävissä hyökkäyksissä Android-käyttäjälle lähetetään äänitiedosto, jonka avulla hyökkääjä pyrkii saamaan pääsyn laitteen tiedostoihin ja sovelluksiin, kuten mediatiedostoihin ja kameraan.
Kyse on itse asiassa vanhasta haavoittuvuudesta, joka korjattiin jo joulukuussa. Jos Android-laitteen päivitykset ovat ajan tasalla, mitään hätää asian suhteen ei pitäisi olla. Toki maailmanlaajuisesti käytössä on yhä valtava määrä vanhoja Android-laitteita, joihin päivityksiä ei välttämättä ole enää saatavilla.
Cisco Umbrella Virtual Appliance -haava mahdollistaa ohjelmiston pääkäyttäjätunnuksen varastamisen
Cisco Umbrella Virtual Appliance -tietoturvajärjestelmässä on havaittu kriittinen haavoittuvuus, joka mahdollistaa ohjelmiston pääkäyttäjätunnuksen varastamisen. Haavoittuvuutta hyväksikäyttävä hyökkääjä pyrkii suorittamaan man-in-the-middle attack -nimellä tunnetun tietoturvahyökkäyksen ohjelmiston SSH-yhteyttä kohtaan.
Tässä haavoittuvuudessa uhkaa lieventää se, että Ciscon mukaan SSH-palvelu ei ole oletusarvoisesti päällä Virtual Appliancessa, vaan se on erikseen kytkettävä päälle. Ciscon mukaan haavoittuvuutta ei myöskään ole ehditty hyödyntää.
Java-haavoittuvuus mahdollistaa allekirjoituksen väärentämisen
Oraclen Java-ohjelmistokirjastossa havaittiin kriittinen haavoittuvuus, josta myös Kyberturvallisuuskeskus on ehtinyt varoittaa. Haavoittuvuus koskee Java-versioita 15–18.
Luonteeltaan melko tekninen haavoittuvuus liittyy Javassakin käytössä olevaan ECDSA-salausalgoritmiin, jonka hyökkääjät pystyvät ohittamaan ja esimerkiksi kirjautumaan Javaa käyttäviin järjestelmiin ja siten väärentämään allekirjoituksia ja kaksivaiheisen tunnistautumisen viestejä. Haavan korjaava päivitys olisi erityisen tärkeä niille, jotka käyttävät Javaa palvelinohjelmistoissa.
Black Cat -kiristyshaittaohjelma iskenyt maailmanlaajuisesti 60 kohteeseen
Rust-nimisellä ohjelmistokielellä kirjoitettu Black Cat -kiristyshaittaohjelma on ehtinyt iskeä maailmanlaajuisesti jo ainakin 60 kohteeseen, joihin lukeutuvat mm. sveitsiläisen lentokentän hallintopalvelu ja kaksi saksalaista polttoainejakeluyhtiötä. Rust on verrattain nuori ohjelmistokieli, ja Black Cat onkin yksi ensimmäisiä Rustilla tehdyistä laaja-alaisista kiristyshaittaohjelmista.
Rustilla koodatut haittaohjelmat voivat aiheuttaa ongelmia erityisesti staattisiin tunnistustekniikoihin – "sormenjälkiin"– luottaviin haittaohjelmien torjuntaohjelmiin. FBI:n mukaan Black Catin taustalla saattaa olla sama taho, joka oli organisoimassa kyberhyökkäystä Yhdysvaltain Itärannikon suurinta öljynjakelija Colonial Pipelinea vastaan vuoden 2021 toukokuussa.
Katso Kyberturvastudion viikon 17 jakso kokonaisuudessaan täältä.
Kyberturvallisuusalan käänteistä pysyt helposti ajan tasalla tutustamalla kattavaan webinaaritarjontaamme. Lisätietoa Innofactorin kyberturvallisuuspalveluista löydät puolestaan verkkosivuiltamme.
Cybersecurity Consultant
Janne on kokenut IT-alan moniosaaja, joka on yli 20 vuotta kestäneen uransa aikana toiminut niin ylläpitäjänä, konsulttina kuin valmentajanakin. Janne on erikoistunut nykyaikaisiin tuottavuus- ja turvallisuustekniikoihin, kuten Microsoft Azureen ja Microsoft 365:een, joista hän myös kirjoittaa omaa blogiaan vapaa-ajallaan. Innofactorin kyberturvakonsulttina Janne auttaa asiakkaitaan ottamaan täyden hyödyn irti tekoälystä ja moderneista pilvityökaluista turvallisuutta korostaen.