Haavoittuvuuspäivitykset - juoksukisa hyväksikäyttöä vastaan
Tietoturva Nyt!
"Päivittäkää heti" -ohje on monelle ylläpitäjälle itsestäänselvyys. Jatkuvasti toitotettuna kehotus saattaa kaikua kuuroille korville. Kuinka aikakriittisiä päivitykset siis oikeasti ovat?
Tietoturvavaroituksilta ja joissakin tapauksissa myös pelottelulta tuskin kukaan pystyy välttymään. Jatkuva pelottelu aiheuttaa stressitilan, josta löytyy internetistä jonkin verran keskustelua aiheella alert fatigue, eli varoitusväsymys.
Ylläpitäjät, tietoturvaihmiset tai lisäresursseista päättävät liikejohdon ihmiset saattavat miettiä, onko kaikella aina niin kiire, että koko ajan pitää olla juoksemassa.
Alla kolme esimerkkiä viime viikon uutisseurannastamme.
Esimerkki 1: Fortinet SSL VPN (CVE-2018-13379)
Yksinkertaisella HTTP-pyynnöllä hyökkääjä pystyy lukemaan VPN-laitteen arkaluontoisia tietoja, kuten salasanoja tai yksityisiä avaimia.
Päivitys saatavilla 24.5.2019 (Ulkoinen linkki)
Hyväksikäyttökoodi saatavilla 14.8.2019
Laajamittainen hyväksikäyttö havaittu 22.8.2019 (Ulkoinen linkki)
Esimerkki 2: Pulse Secure VPN (CVE-2019-11510)
Yksinkertaisella HTTP-pyynnöllä hyökkääjä pystyy lukemaan VPN-laitteen arkaluontoisia tietoja, kuten salasanoja tai yksityisiä avaimia.
Päivitys saatavilla 24.4.2019 (Ulkoinen linkki)
Hyväksikäyttökoodi saatavilla 21.8.2019
Laajamittainen hyväksikäyttö havaittu 22.8.2019 (Ulkoinen linkki)
Esimerkki 3: Webmin (CVE-2019-15107)
Yksinkertaisella HTTP-pyynnöllä hyökkääjä pystyy ajamaan mielivaltaista koodia pääkäyttäjän oikeuksin.
Päivitys saatavilla 18.8.2019 (Ulkoinen linkki)
Hyväksikäyttökoodi saatavilla 12.8.2019
Laajamittainen hyväksikäyttö havaittu 21.8.2019 (Ulkoinen linkki)
Huom: Hyväksikäyttökoodi oli siis ennen päivitystä julkisesti saatavilla, tämä oli ns. nollapäivähaavoittuvuus.
Paikoillanne, valmiina, hep
Näistä kolmesta viimeisin, eli Webmin, oli nollapäivähaavoittuvuus ja sen suhteen oli syytä toimia heti.
Kaksi aiempaa olivat toki haavoittuvuuden tunnistaneiden tahojen hyväksikäytettävissä, mutta niiden laajamittainen hyväksikäyttö automaatioskripteillä olisi voitu välttää 3-4 kuukauden aikana.
Tästä 3-4 kuukauden etumatkasta huolimatta tuhannet laitteet olivat haavoittuvuuden julkaisun aikaan vielä päivittämättä (Ulkoinen linkki).
Hyväksikäyttömenetelmän julkaisusta alkaa rikollisten välinen kilpajuoksu siitä, kuka ehtii ensin automatisoimaan menetelmän tehokkaimmin. Tässä kohtaa ollaan siis jo liian myöhässä päivitysten suhteen, koska kohdennetut hyväksikäytöt tapahtuvat heti ja laajamittainen hyväksikäyttö alle viikossa.
Mikäli yrityksen päivitysten asennusprosessit eivät pysy päivitysten julkaisutahdin tasalla, on tämä otettava huomioon liikejohdon riskienhallinnassa liiketoiminnan jatkuvuuden uhkana.
Tällöin on yleensä kaksi pääkeinoa vastata tilanteeseen:
- minimoidaan riskiä tehostamalla päivitystahtia: uusilla rekrytoinneilla ja/tai automaatiolla
- hyväksytään päivitysten asennuksen viiveestä mahdollisesti aiheutuvan tietomurron riski
Rakenteellisia ongelmia ei yksittäinen ylläpitäjä tässä jatkuvassa stressitilassa ratkaise, vaan tehtäväksi jää viestiä riskit ylöspäin.