Kohde:

– palvelimet ja palvelinsovellukset
– työasemat ja loppukäyttäjäsovellukset
– verkon aktiivilaitteet
– sulautetut järjestelmät

Lisätietoja

Hyökkäystapa:

– ilman kirjautumista
– etäkäyttö

Lisätietoja

Hyväksikäyttö:

– komentojen mielivaltainen suorittaminen
– palvelunestohyökkäys

Lisätietoja

Ratkaisu:

– korjaava ohjelmistopäivitys

Lisätietoja

GnuTLS Transport Layer Security -kirjastosta on löydetty muistinkäsittelyyn
liittyvä haavoittuvuus Server Hello-viestin session id -parametrin
käsittelyssä. Haavoittuvuuden avulla on mahdollista aiheuttaa
palvelunestotila haavoittuvassa asiakasohjelmistossa sen vastaanottaessa
tietyllä tavalla muokatun Server Hello -viestin.

Haavoittuvuus saattaa myös mahdollistaa hyökkääjän koodin suorittamisen
kohdejärjestelmässä käyttäjän oikeuksin.

HAAVOITTUVAT OHJELMISTOT:

* GnuTLS 3.1.x, versiota 3.1.25 vanhemmat versiot

* GnuTLS 3.2.x, versiota 3.2.15 vanhemmat versiot

* GnuTLS 3.3.x, versiota 3.3.2 vanhemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä GnuTLS korjattuun versioon.

https://www.cert.fi/haavoittuvuudet/2014/haavoittuvuus-2014-074.html

Yhdysvaltain oikeusministeriön johtamassa operaatiossa iskettiin Gameover
ZeuS- ja CryptoLocker-haittaohjelmia vastaan. Viranomaiset ottivat
Yhdysvaltain oikeusviraston johtamassa kansainvälisessä operaatiossa
haltuunsa Gameover ZeuS- ja CryptoLocker-haittaohjelmien komentoliikennettä
ja heikensivät haittaohjelmaverkostojen otetta uhreistaan.

“Operation Tovar”-nimellä kulkenut poliisioperaatio on osa kansainvälisessä
yhteystoiminnassa tehtyä viranomaisten taistelua haittaohjelmia levittäviä
rikollisverkostoja vastaan. Operaatioon osallistui yhdysvaltain
liittovaltion poliisi FBI, Europol, Iso-britannian NCA sekä
tietoturvayritykset CrowdStrike, Dell SecureWorks, Symantec, Trend Micro,
F-Secure ja McAfee sekä tutkijoita eurooppalaisista yliopistoista.

Gameover ZeuS on ollut vaikeasti torjuttava uhka. Perinteisesti
haittaohjelmat viestivät rikollisten hallussa olevalle komentopalvelimelle
saadakseen käskyjä, ja välittääkseen käyttäjiltä varastettua tietoa takaisin
tekijälleen. Komentopalvelimien haltuun ottaminen tai niille tarkoitetun
viestinnän ohjaaminen turvallisen tahon hallinnoimalle palvelimelle on ollut
perinteinen keino haittaohjelmaverkostojen häiritsemiseen. Tätä mentelmää
kutsutaan termillä “sinkholing”. Gameover ZeuS sisältää
komentopalvelinhäirinnän tehottomaksi tekevän p2p- eli
vertaisverkkotoiminnallisuuden, jonka avulla saastuneet koneet voivat ottaa
vastaan komentoja myös sellaisissa tilanteissa, joissa komentopalvelin ei
vastaa kutsuihin. Tartunnan saaneissa koneissa olevat haittaohjelmat
ylläpitävät kattavaa listaa muista saastuneista tietokoneista ja pystyvät
jakamaan päivityksiä, konfiguraatiotiedostoja sekä välittämään varastettua
dataa suoraan muille koneille ilman keskitettyä komentopalvelinta.

Apple has unveiled iOS 8, the biggest release since the launch of the App
Store, giving users new features and developers the tools to create amazing
new apps. “iOS 8 offers simpler, faster, and more intuitive ways to use your
device with incredible new features like iCloud Photo Library, a new
Messages app, the QuickType keyboard, and an entirely new Health app,” said
Craig Federighi, Apple’s senior vice president of Software Engineering.
“We’re also giving developers amazing new tools to make managing your health
and your home from your devices an integrated, simple, and secure
experience.”

Read more: apple.com/ios

Kyberturvallisuuskeskus on saanut maanantaina 26.5. haltuunsa listan
käyttäjätunnus-salasana pareja suomalaisiin FTP-palvelimiin. File Transfer
Protocol (FTP) on tiedonsiirtomenetelmä kahden tietokoneen välillä. Listassa
on 1000 suomalaista FTP-palvelinta, joissa on yhteensä noin 2500
vaarantunutta käyttäjätunnusta. Listan tarkkaa alkuperää ei ole tiedossa,
mutta luultavasti käyttäjätunnukset ja salasanat on varastettu
tietojenkalastelun tai haittaohjelman avulla. Tällä hetkellä ei ole
tiedossa, että listassa oleville palvelimille olisi murtauduttu, joten vain
listan sisältämät käyttäjätunnukset ovat vaarantuneet.

Kyberturvallisuuskeskus on ottanut teleyritysten kautta yhteyttä kaikkiin
vuotaneita käyttäjätunnuksia koskevien FTP-palvelinten ylläpitäjiin.
Ylläpitäjät ovat olleet yhteydessä omiin asiakkaisiinsa. Käyttäjien
kannattaa seurata palveluntarjoajien viestejä, ja vaihtaa salasana
palveluntarjoajan niin pyytäessä. Ellei palveluntarjoajalta tule asiaan
liittyvää viestiä, ei käyttäjien tarvitse ryhtyä toimiin asian suhteen.

Listaa vaarantuneista käyttäjätunnuksista ei julkaista, koska se saattaisi
johtaa tunnusten väärinkäytöksiin.

https://www.cert.fi/