Tietoturva-asiantuntijamme Janne Nevalainen ja Marcus Söderblom keskustelevat kyberturvallisuusmaailman ajankohtaisimmista ilmiöistä ja uutisista kahdesti kuukaudessa Innofactorin Kyberturvastudiossa. Tässä blogissa käymme läpi kyberrintaman kuulumisia viikolta 17.

Voit katsoa Kyberturvastudion jaksoja myös videona tai kuunnella kätevästi podcastina. Tuoreimmassa jaksossa käsittelemme seuraavia aiheita:

Lenovo UEFI -haavoittuvuus koskee jopa yli miljoonaa tietokonetta

Snort IDS -haava vaaraksi ICS-verkolle

Alhack-haavoittuvuus uhkaa päivittämättömiä Android-laitteita

Cisco Umbrella Virtual Appliance -ohjelmiston pääkäyttäjätunnukset vaarassa

Java-versioissa haavoittuvuuksia

Black Cat -kiristyshaittaohjelmalla 60 kohdetta maailmanlaajuisesti.

Lenovo UEFI -haavoittuvuus koskee jopa yli miljoonaa tietokonetta

Lenovon UEFI-ohjelmistosta on löydetty haavoittuvuus, joka koskee yli 100:aa valmistajan tietokonemallia ja jopa yli miljoonaa yksittäistä tietokonetta. Ongelma on paitsi laaja myös verrattain vakava, sillä UEFI-ohjelmistoon tehtävien muutosten avulla voidaan esimerkiksi ohittaa päätelaitteen turvajärjestelmiä. Onni onnettomuudessa on kuitenkin se, että tämänkaltaisissa haavoittuvuuksissa hyökkääjä tarvitsee pääsyn laitteelle vähintään etäyhteyden kautta aiheuttaakseen laajempaa vahinkoa.

Lenovo on jo ehtinyt julkaista haavoittuvuuden korjaavan päivityksen.

Snort IDS -haava vaarantaa teollisuusyrityksille kriittisen ICS-verkon

Snort IDS on tunnettu avoimeen lähdekoodiin perustuva IDS/IPS-ohjelmisto eli tunkeilijan havaitsemis- ja estämisjärjestelmä. Ohjelmistosta tunnistettiin vastikään haava, joka koskee nimenomaan teollisuuden alan ICS-verkoissa käytössä olevaa Modbus-protokollaa.

Haavoittuvuus mahdollistaa dossaamisen eli sellaisen palvelunestohyökkäyksen, jonka tarkoitus on estää hyökkäyksen kohteen (kuten ohjelmiston tai verkkosivuston) tavanomainen toiminta. Snortin tapauksessa hyökkäys on sikäli kriittinen, että se kohdistuu tekniseen puolustuskontrolliin, jonka tehtävänä on suojata teollisuusyrityksille kriittistä ICS-verkkoa.

Alhack-haavoittuvuus vaaraksi päivittämättömille Android-laitteille

Alhack on nimitys viimeisimmälle Android-laitteista löydetylle Alac-koodekin haavoittuvuudelle. Haavoittuvuutta hyödyntävissä hyökkäyksissä Android-käyttäjälle lähetetään äänitiedosto, jonka avulla hyökkääjä pyrkii saamaan pääsyn laitteen tiedostoihin ja sovelluksiin, kuten mediatiedostoihin ja kameraan.

Kyse on itse asiassa vanhasta haavoittuvuudesta, joka korjattiin jo joulukuussa. Jos Android-laitteen päivitykset ovat ajan tasalla, mitään hätää asian suhteen ei pitäisi olla. Toki maailmanlaajuisesti käytössä on yhä valtava määrä vanhoja Android-laitteita, joihin päivityksiä ei välttämättä ole enää saatavilla.

Cisco Umbrella Virtual Appliance -haava mahdollistaa ohjelmiston pääkäyttäjätunnuksen varastamisen

Cisco Umbrella Virtual Appliance -tietoturvajärjestelmässä on havaittu kriittinen haavoittuvuus, joka mahdollistaa ohjelmiston pääkäyttäjätunnuksen varastamisen. Haavoittuvuutta hyväksikäyttävä hyökkääjä pyrkii suorittamaan man-in-the-middle attack -nimellä tunnetun tietoturvahyökkäyksen ohjelmiston SSH-yhteyttä kohtaan.

Tässä haavoittuvuudessa uhkaa lieventää se, että Ciscon mukaan SSH-palvelu ei ole oletusarvoisesti päällä Virtual Appliancessa, vaan se on erikseen kytkettävä päälle. Ciscon mukaan haavoittuvuutta ei myöskään ole ehditty hyödyntää.

Java-haavoittuvuus mahdollistaa allekirjoituksen väärentämisen

Oraclen Java-ohjelmistokirjastossa havaittiin kriittinen haavoittuvuus, josta myös Kyberturvallisuuskeskus on ehtinyt varoittaa. Haavoittuvuus koskee Java-versioita 15–18.

Luonteeltaan melko tekninen haavoittuvuus liittyy Javassakin käytössä olevaan ECDSA-salausalgoritmiin, jonka hyökkääjät pystyvät ohittamaan ja esimerkiksi kirjautumaan Javaa käyttäviin järjestelmiin ja siten väärentämään allekirjoituksia ja kaksivaiheisen tunnistautumisen viestejä. Haavan korjaava päivitys olisi erityisen tärkeä niille, jotka käyttävät Javaa palvelinohjelmistoissa.

Black Cat -kiristyshaittaohjelma iskenyt maailmanlaajuisesti 60 kohteeseen

Rust-nimisellä ohjelmistokielellä kirjoitettu Black Cat -kiristyshaittaohjelma on ehtinyt iskeä maailmanlaajuisesti jo ainakin 60 kohteeseen, joihin lukeutuvat mm. sveitsiläisen lentokentän hallintopalvelu ja kaksi saksalaista polttoainejakeluyhtiötä. Rust on verrattain nuori ohjelmistokieli, ja Black Cat onkin yksi ensimmäisiä Rustilla tehdyistä laaja-alaisista kiristyshaittaohjelmista.

Rustilla koodatut haittaohjelmat voivat aiheuttaa ongelmia erityisesti staattisiin tunnistustekniikoihin – "sormenjälkiin"– luottaviin haittaohjelmien torjuntaohjelmiin. FBI:n mukaan Black Catin taustalla saattaa olla sama taho, joka oli organisoimassa kyberhyökkäystä Yhdysvaltain Itärannikon suurinta öljynjakelija Colonial Pipelinea vastaan vuoden 2021 toukokuussa.

Lue blogi: Mikä on kiristyshaittaohjelma?

Katso Kyberturvastudion viikon 17 jakso kokonaisuudessaan täältä.

Kyberturvallisuusalan käänteistä pysyt helposti ajan tasalla tutustamalla kattavaan webinaaritarjontaamme. Lisätietoa Innofactorin kyberturvallisuuspalveluista löydät puolestaan verkkosivuiltamme.