Kyberturvallisuuskeskuksen viikkokatsaus - 19/2024

Tällä viikolla katsauksessa käsiteltäviä asioita

1. Poistimme Palo Alton kriittistä haavoittuvuutta koskevan varoituksen
2. Mirai-haittaohjelma on vaikeasti kitkettävissä
3. Kyberturvallisuuskeskuksen tapaustunnisteet uusittiin
4. Ajankohtaiset huijaukset

Poistimme Palo Alton kriittistä haavoittuvuutta koskevan varoituksen

Palo Alto GlobalProtect -tuotetta käyttäviin organisaatioihin kohdistui vakava uhka huhtikuussa. Kyseisestä tuotteesta oli löytynyt kriittinen haavoittuvuus, jota käytettiin aktiivisesti hyväksi jo ennen korjaavien päivitysten julkaisua. Julkaisimme aiheesta haavoittuvuustiedotteen ja pian tämän jälkeen vastaanotimmekin ensimmäiset ilmoitukset tietomurroista.

Ensimmäisten tietomurtoilmoitusten vastaanottamisen jälkeen arvioimme tilanteen olevan vakava Suomessa ja päätimme julkaista haavoittuvuudesta vakavan varoituksen 18.4.2024. Haavoittuvuudella oli merkittäviä vaikutuksia ja se vaati laitteiden päivitystä ja tutkintaa. Kotimaisille organisaatioille haluttiin viestiä Varoituksella, että nyt on syytä ryhtyä pikaisiin toimiin Palo Alto -laitteisiin liittyen.

Kaiken kaikkiaan Kyberturvallisuuskeskukselle ilmoitettiin Palo Alto -laitteisiin liittyviä poikkeamia noin 15 kappaletta. Vakavampia tietomurtotapauksia ei ole ilmennyt. Uhka organisaatioita kohtaan on poistunut laitteiden päivitysten myötä, emmekä ole vastaanottaneet uusia ilmoituksia kahteen viikkoon, joten Varoitus päätettiin poistaa 7.5.2024.

Palo Alto -haavoittuvuudesta julkaistiin varoitus organisaatioilta tulleiden ilmoitusten perusteella. Ilmoitukset Kyberturvallisuuskeskukselle ovat tärkeässä roolissa myös jatkossa ja toivomme, että Kyberturvallisuuskeskukseen ollaan yhteydessä matalalla kynnyksellä. Ilmoituksista saatavilla tiedoilla voidaan ennaltaehkäistä tietoturvapoikkeamia myös muissa organisaatioissa. Tilannekuvatuotteemme ja eteenpäin jaettu tieto ovat pitkälti riippuvaista saamistamme ilmoituksista, jolloin yksittäinen ilmoituskin saattaa nousta merkittävään rooliin.

Lue lisää:

• Kriittinen haavoittuvuus Palo Alton GlobalProtect -tuotteessa
• Tietomurtoja Palo Alto GlobalProtect-tuotteisiin – vaatii välittömiä toimia
• Palo Alto GlobalProtect -tuotteita koskenut varoitus on poistettu
• Miksi tietoturvapoikkeaman selvittäminen on tärkeää ja miksi asiasta kannattaa ilmoittaa viranomaiselle?

Mirai-haittaohjelma on vaikeasti kitkettävissä

Verkon älykkäisiin laitteisiin (esineiden internettiin eli IoT-laitteisiin) kohdistettu Mirai-haittaohjelma on yksi viime vuosikymmenten merkittävimmistä kyberturvallisuuteen vaikuttaneista ja yhä vaikuttavista ilmiöistä. Mirain ohjelmakoodi on julkisesti saatavilla ja kyberrikolliset päivittävät ja kopioivat sitä jatkuvasti uusiksi varianteiksi. Mirai-tartuntojen torjunta ja siivoaminen on osoittautunut vaikeaksi erityisesti kulttuurillisista syistä: se nähdään helposti “jonkun toisen ongelmana”. Mirai siis pysyy riesanamme todennäköisesti vielä pitkään, kirjoittaa erityisasiantuntija Perttu Halonen hiljattain julkaisemassamme blogi-tekstissä “Miraissa on tulevaisuus (Ulkoinen linkki)”. 

Mirai-pohjaisten haittaohjelmien ja bottiverkkojen torjunta on osoittautunut viheliäiseksi ongelmaksi. Haavoittuvia laitteita on Internetissä valtavasti ja niitä omistaa lähes yhtä lukuisa joukko tahoja kotitalouksista suuryrityksiin. Älykkäitä laitteita otetaan usein käyttöön miettimättä lainkaan niiden suojaamista ja elinkaarta, ja vaikka käyttäjä olisikin kiinnostunut laitteidensa suojaamisesta, edellyttää kukin laite erilaisia toimenpiteitä, mikä on haaste niin osaamisen kuin ajankäytön kannalta. Tartunnan saaneen laitteen käyttäjien on vaikeaa havaita tartuntaa itse. Tartunnan tuntuvat vaikutukset kohdistuvat usein kolmansiin osapuoliin esimerkiksi saastuneella laitteella tehdyn palvelunestohyökkäyksen muodossa, mikä saastuneen laitteen omistajan näkökulmasta on helposti “jonkun toisen ongelma”.

Kestävä Mirain torjunta vaatisi ison toimijajoukon yhteistä vastuunkantoa ympäri maailman. Suomessa homma toimii suhteellisen hyvin, kiitos haitalliseen tietoliikenteeseen reagoimiseen kannustavan lainsäädännön ja Traficomin ja teleyritysten hyvän yhteistyön.

Erityistasiantuntija Perttu Halonen on listannut keinoja, joilla jokaisen on mahdollista liittyä yhteiseen taisteluun Mirain ja siinä samassa monen muunkin haittaohjelman toimintaedellytysten poistamiseksi:

1. Vaadi älykkäiden laitteiden myyjiltä tietoa siitä, miten pitkään laitteen ohjelmistoa tuetaan, ja miten pidät ohjelmiston päivitettynä.
2. Noudata laitteiden käyttöohjeita.
3. Vaihda laitteiden oletusarvoiset salasanat omiksesi. Käytä joka laitteessa ja käyttäjätilissä eri salasanaa.
4. Tarkasta käyttämiesi laitteiden tilanne säännöllisesti (vaikkapa kerran kuukaudessa samalla, kun tarkastat palovaroitinten toiminnan). Asenna päivitykset aina, kun niitä on saatavilla. Jos mahdollista, säädä päivitykset asentumaan automaattisesti.
5. Suosi pilvipalveluiden käyttämistä sisältöjen jakamisessa kotisi ulkopuolelle sen sijaan, että avaisit kotiverkkoasi näkymään internetiin.
6. Poista laite käytöstä viimeistään silloin, kun sen ohjelmiston tuki lakkaa.

Kyberturvallisuuskeskuksen tapaustunnisteet uusittiin

Aiemmin sähköpostiemme otsikko-kentässä käytössä ollut [FICORA #1234567] -tunniste muuttui muotoon [NCSC-FI #1234]. Muutos tunnisteen formaatissa kannattaa huomioida tunnisteita lukevien automaattisten käsittelysääntöjen osalta. Muutos on tullut voimaan uusille tapauksille 7.5.2024 alkaen.

Lisätietoja saat osoitteesta: kyberturvallisuuskeskus@traficom.fi.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisia huijauksista.