Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kyberturvallisuuskeskuksen viikkokatsaus - 40/2022

Tietoturva Nyt!

Julkaistu

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 29.9. - 6.10.2022). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin. TLP:CLEAR

TLP:CLEAR

Tällä viikolla katsauksessa käsiteltäviä asioita

  1. Microsoft Exchange -haavoittuvuus viikon teemana
  2. Kiristyshuijauksia verkkosivuston ylläpitäjiä kohtaan
  3. Merikaapelit ovat internetin selkäranka
  4. JAMK ja LVM järjestivät vuosittaisen kansallisen kyberharjoituksen
  5. Tietoturva 2022-seminaari lokakuussa
  6. Haavoittuvuudet

Microsoft Exchange -haavoittuvuus viikon teemana

Kyberviikon eniten huomiota saanut tapaus koski Microsoft Exchange -sähköpostipalvelimien haavoittuvuuksia (Ulkoinen linkki). Mielivaltaisen koodin suorittamisen mahdollistava haavoittuvuus vaatii kuitenkin käyttäjän tunnistautumisen palvelimelle. Tällöin hyökkääjän hallussa tulee olla käyttäjätunnus ja salasana päästäkseen palvelimelle hyödyntämään haavoittuvuutta. Kohdistettu kalastelu yhdistettynä tämän kaltaiseen haavoittuvuuteen voi kuitenkin johtaa pahimmassa tapauksessa onnistuneeseen kyberhyökkäykseen. Tämän hetkisten tietojen mukaan haavoittuvuus koskee Exchange-palvelimia, joita ylläpidetään käyttäjien omissa ympäristöissä (OnPrem) ja niiden selainpohjainen käyttäjäympäristö (OWA) on avoinna internet-rajapintaan. Korjaavia päivityksiä ei toistaiseksi ole saatavilla, eli kyse on niin sanotusta nollapäivähaavoittuvuudesta.

Kyberturvallisuuskeskus on kartoittanut Suomen tilannetta haavoittuvien Exchange-palvelinten osalta ja viestinyt haavoittuvuudesta organisaatioille. Tämän hetken tietojen mukaan Suomessa ei ole havaittu tietomurtoja tämän Exchange-haavoittuvuuden osalta. Microsoft kertoo tiedotteessaan, että heillä on tiedossa joitain kohdistettuja hyökkäyksiä, joissa on hyödynnetty näitä tuoreita haavoittuvuuksia.

Tämä "ProxyNotShell" -nimen saanut haavoittuvuus ei kuitenkaan ole yhtä kriittinen, kuin viime vuoden maaliskuussa kyberkenttää järisyttänyt "ProxyShell"-haavoittuvuus, josta Kyberturvallisuuskeskus julkaisi punaisen varoituksen (Ulkoinen linkki). Tuolloin kyseistä haavoittuvuutta hyväksikäytettiin internetissä automatisoidusti ilman tunnistautumista. Viime vuonna Kyberturvallisuuskeskuksen tietoon tuli 76 kyseiseen haavoittuvuuteen liittyvää tietomurtoa eri kokoisissa kotimaisissa organisaatiossa. On kuitenkin otettava huomioon, että tuolloin haavoittuvuutta hyväksikäytettiin automatisoidusti ympäri maailmaa ja kotimaiset organisaatiot eivät olleet yksin hyökkäysten kohteena. Tietoomme ei tuolloin kuitenkaan tullut vakavampia poikkeamia, vaikka tietomurtojen kappalemäärä kuulostaakin suurelta kotimaisittain. Organisaatiot selvisivät palvelinten paikkauksilla, tietomurtotutkinnoilla ja uudelleenasennuksilla - ja osa siirtyi paikallisesta sähköpostipalvelimesta pilvipohjaisiin ratkaisuihin.

Tämän kaltaiset haavoittuvuudet kuitenkin osoittavat, kuinka tärkeää nopea reagointi on. Haavoittuvat palvelimet ovat hetkessä hyökkääjien kohteena ja ongelman mitigoiminen tai päivitysten asentaminen tuleekin suorittaa heti. Viime vuoden "ProxyShell" -haavoittuvuus aiheutti lukuisissa organisaatioissa välittömiä toimia ja hätäpäivityksiä asennettiin jopa kesken työpäivien aiheuttaen katkoksia työn tekemiseen. Parempi kuitenkin pieni katkos kuin murrettu palvelin.

Kiristyshuijauksia verkkosivuston ylläpitäjiä kohtaan

Muutaman viime viikon aikana Kyberturvallisuuskeskus on saanut useita ilmoituksia huijausyrityksistä, joissa on ollut väitteitä verkkosivujen murtamisesta ja niiden sisällön kopioimisesta. Huijauksissa on uskoteltu että verkkosivujen tietokanta olisi kopioitu ja, että tiedot tultaisiin vuotamaan ellei uhri maksaisi kiristäjälle $3000 bitcoin-virtuaalivaluuttana. Huijausviestit ovat tulleet Kyberturvallisuuskeskukselle tulleiden ilmoitusten perustella sivustojen ylläpitäjille sähköpostitse.

Huijausviestien rakenne ja leipäteksti on ollut yhtenäinen, mutta väliotsikoiden kielet ovat vaihdelleet viesteissä. Tällä hetkellä saatujen havaintojen pohjalta ei ole löytynyt yhtä yksittäistä lähettäjää ja bitcoin-lompakot, joihin lunnaita vaaditaan ovat olleet yksilöityjä. Kyberturvallisuuskeskuksen saamien tietojen mukaan yhdessäkään tapauksessa ei ole tapahtunut tietomurtoa.

*Ote huijauksessa olevasta kiristysviestistä.*

>Your Site Has Been Hacked
>
>PLEASE FORWARD THiS EMAiL TO SOMEONE íN YOUR COMPANY WHO iS ALLOWED TO MAKE iMPORTANT DECiSiONS!
>
>We have hacked your website http://www.väitetykohde.domain and extracted your databases.
>
>How díd this happen?
>
>Our team has found a vulnerabílíty wíthin your site that we were able to exploit. After finding the >vulnerabilíty we were able to get your database credentíals and extract your entire database and move the >informatíon to an offshore server.

*Ote huijauksessa olevasta kiristysviestistä.*

Merikaapelit ovat internetin selkäranka

Nord Stream -kaasuputkien vuodot ovat ymmärrettävästi aiheuttaneet huolta myös kansainvälisten tietoliikenneyhteyksien toimivuudesta. Suomesta on useita yhteyksiä maailmalle ja vaikka häiriöt ovat mahdollisia, internet on varsin vikasietoinen. Teemme jatkuvaa yhteistyötä viestintäverkkoinfrastruktuurin suojaamiseksi sekä mahdollisten ongelmien ennaltaehkäisemiseksi, havaitsemiseksi ja korjaamiseksi.

Suomesta on useita kansainvälisiä tietoliikenneyhteyksiä, kuten merikaapeleita, muualle Eurooppaan ja maailmaan. Tärkeimmät järjestelmät ovat kahdennettuja ja tärkeimmät tietoliikenneyhteydet reittivarmistettuja. Esimerkiksi ulkomaille kytkeytyviä kaapeleita on siis useita suurimmilla teleyrityksillä ja Suomen sisällä tuhansia.

Useiden merikaapeleiden olemassaolon lisäksi internet on tekniikaltaan varsin vikasietoinen: internetin reititysprotokollat etsivät automaattisesti uusia reittejä liikenteelle, jos jokin yhteys menetetään. Tietoliikennettä niin kotimaisissa kuin kansainvälisissä yhteyksissä voidaan siis uudelleenreitittää esimerkiksi laitteistojen tai yhteyksien vikaantuessa ja huoltotöiden yhteydessä ja tätä voidaan tehdä myös operaattorien välisenä yhteistyönä.

Näiden tekijöiden ansiosta häiriöt merikaapeleissa voivat aiheuttaa yhteyksiin lähinnä hetkellisiä katkoksia tai hitautta dataliikenteessä.

Lisää Kyberturvallisuuskeskuksen artikkelista: Merikaapelit ovat internetin selkäranka (Ulkoinen linkki)

JAMK ja LVM järjestivät vuosittaisen kansallisen kyberharjoituksen

"Turvallisuusviranomaiset ovat vuosittaisella kyberharjoittelulla kehittäneet toimintavalmiuksiaan ja reagointikykyään vakavien kyberpoikkeamatilanteiden varalle. Tänään saatiin päätökseen Jyväskylän ammattikorkeakoulun yhdessä liikenne- ja viestintäministeriön kanssa järjestämä vuosittainen kansallinen kyberharjoitus KYHA. Harjoitusten tuloksena osallistujien osaaminen kybersuojautumisesta ja -vaikuttamisesta on kasvanut vastaamaan nykyaikaisen toimintaympäristön ja vallitsevan turvallisuustilanteen vaateisiin."

""Turvallisuusviranomaiset ovat pitkäjänteisellä kyberharjoittelulla ylläpitäneet ja kehittäneet kyberosaamisen ja -yhteistyön nykyaikaisen toimintaympäristön ja uhkatilanteiden vaatimalla tasolla. KYHA-harjoitus on turvallisuusviranomaisille yksi neljästä vuosittaisen harjoituksen kokonaisuudesta, joissa viranomaistoimijat ja julkishallinto sidosryhmineen harjoittelevat yhdessä. KYHA-harjoitustoiminta on hyvä esimerkki toiminnasta, jolla kansallista kyberresilienssiä käytännössä kehitetään", kertoo valtion kyberturvallisuusjohtaja Rauli Paananen. "

Lisää JAMK:in sivuilta löytyvästä tiedotteesta (Ulkoinen linkki)

Tietoturva 2022-seminaarin ilmoittautuminen on auki

Kyberturvallisuuskeskuksen järjestämä Tietoturva 2022 -seminaari pidetään Helsingissä 25.10.2022. Ohjelmaa voi seurata paikan päällä tai etäyhteyksin.

Tilaisuus on maksuton ja ilmoittautuminen seminaariin on auki. Ilmoittautuminen tapahtuu myös Kyberturvallisuuskeskuksen sivujen kautta (Ulkoinen linkki). Päivä on jaettu kahteen osaan, aamupäivä on tarkoitettu organisaatioille ja iltapäivä tietoturva-asiantuntijoille.

Tämän vuoden tapahtuman yleisenä teemana on turvallisuusympäristömme muutos ja sen vaikutus yhteiskunnan eri sektorien kyberturvallisuuteen ja -varautumiseen. Tilaisuudessa käsiteltäviä aiheita ovat esimerkiksi kyber- ympäristössä nousevat uudenlaiset uhat ja ilmiöt, uhkakentän muutos ja teknologinen kehitys sekä toimialojen yhteistyö ja varautuminen.

Puhujakaartimme lukeutuu mukaan niin suomalaisia kuin kansainvälisiäkin alan huippuosaajia. Lisäksi kuulemme koti- ja ulkomaisten yritysten ja viranomaisten puheenvuoroja ajankohtaisista kyberturvallisuuteen liittyvistä aiheista.

Viikon merkittävät haavoittuvuudet

Lisää yleistietoa haavoittuvuuksista ja käytetyistä termeistä löydät Tietoturva Nyt! -artikkelistamme Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio pähkinänkuoressa.

Microsoft Exchange CVE-2022-41040 (CVSS 8.8) ja CVE-2022-41082 (CVSS 8.8)

Lisätietoja ja yksityiskohtia haavoittuvuuden rajoittamisesta on saatavilla Microsoftin verkkosivuilla (Ulkoinen linkki)

Tunnistautumista vaativa etäkäytön mahdollistava haavoittuvuus Microsoft Exchangen versioissa
Microsoft Exchange Server 2013, 2016, ja 2019.
Haavoittuuden vaikutusta voi rajata lisäämällä säännön estämään tunnetut hyökkäysmallit.

Haavoittuvuuden vaikutusta voidaan rajata myös estämällä PowerShellin etäkäyttöön liittyvät portit:

HTTP: 5985 
HTTPS: 5986 

VM2 JavaScript suoritusympäristön haavoittuvuus CVE-2022-36067 (CVSS 10.0)

Isäntäjärjestelmän etäkäytön mahdollistava haavoittuvuus rajatun suoritusympäristön (sandbox) vm2 ohjelmakomponentissa. (Ulkoinen linkki)

Vm2 on JavaScript-ohjelmointikielen rajattu suoritusympäristö, jossa on mahdollista suorittaa turvallisesti ei luotettua ohjelmakoodia vaarantamatta taustalla toimivaa palvelinta. Haavoittuvuus on korjattu versiossa 3.9.11, joka on syytä asentaa viipymättä.

Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.

TLP:CLEAR