Kyberturvallisuuskeskuksen viikkokatsaus - 41/2025

Kriittinen haavoittuvuus yhä päivittämättä noin sadalla kotimaisella organisaatiolla

Kyberturvallisuuskeskus julkaisi 26.9.2025 haavoittuvuustiedotteen kriittisistä Cisco ASA- ja FTD -tuotteiden haavoittuvuuksista [1]. Kyseiset tuotteet ovat erittän suosittuja Suomessa ja yhä edelleen Suomessa on yli 100 haavoittuvaa laitetta verkossa. Haavoittuvuutta on käytetty kyberhyökkäyksiin jo vähintään kahden viikon ajan maailmalla. Kyberturvallisuuskeskus on ollut yhteydessä haavoittuvien laitteiden omistajiin joko suoraan tai yritysten palveluntarjoajien välityksellä. Haavoittuvien laitteiden määrä on laskenut, mutta määrä on silti suuri. Usein päivittämättä jäänyt verkkolaite johtaa ajan myötä tietomurtoon. Kyberturvallisuuskeskus ei ole toistaiseksi vastaanottanut tietomurtoilmoituksia 25.9.2025 julkaistuun haavoittuvuuteen liittyen. Proaktiivisella viestimisellä Kyberturvallisuuskeskus pyrkii myös vaikuttamaan siihen, että lähitulevaisuudessakin tietomurtojen määrä jäisi vähiin. Useat sadat Cisco-laitteet on kuitenkin jo päivitetty uusimpaan versioon viimeisen kahden viikon aikana Suomessa.

Viime vuosien aikana kriittiset haavoittuvuudet Cisco ASA -laitteissa ovat johtaneet Suomessa useaan Akira-kiristyshaittaohjelmaan [2]. Tuote itsessään on yhtä turvallinen kuin muutkin verkon reunalaitteet. Yleisesti tuotetta käytetään esimerkiksi turvallisten etäyhteyksien mahdollistamisesksi organisaation käyttäjille. Organisaatioiden tulee seurata päivittäin haavoittuvuustiedotteita käytäämiinsä tuotteisiin joko itse tai palveluntarjoajan avulla. Päivittämätön laite on yhtä kuin matalalla roikkuva hedelmä hyökkääjille. 

Valepomo linjoilla? Toimitusjohtajahuijauksia on nyt liikkeellä

Syksyn aikana Kyberturvallisuuskeskus on vastaanottanut useita ilmoituksia toimitusjohtajahuijauksista. Näissä huijauksissa rikolliset esiintyvät yrityksen tai organisaation johtajina ja pyrkivät saamaan työntekijän tekemään poikkeuksellisia toimenpiteitä, kuten tekaistujen laskujen maksamista, tilisiirtoja tai lahjakorttiostoja.

Huijausviestien muotoilussa hyödynnetään kiireen tuntua ja niissä pyritään vetoamaan ihmisen ihmillisyyteen sekä haluun auttaa. Huijausyrityksiä voi tulla sähköpostilla, pikaviestipalveluissa tai puhelimitse. Yhteydenottoja voi erityisesti tulla työntekijöille, jotka hoitavat laskutusta, palkkoja tai henkilöstöasioita, sillä he ovat rikollisille erityisen kiinnostavia kohteita. Huijauksia on kohdistettu niin pieniin yrityksiin kuin suuriin konserneihin. Taloudelliset tappiot voivat nousta kymmeniin tai jopa satoihin tuhansiin euroihin.

Kyberturvallisuuskeskus suosittelee varmistamaan maksupyyntöjen ja poikkeavien viestien aitouden ennen toimimista. Noudata aina yrityksesi ohjeita laskujen maksamisesta. Älä ohita mitään prosessin vaihetta mahdollisesta painostuksesta huolimatta. Organisaatioissa on myös hyvä luoda prosessit maksukäytännöille, joiden avulla laskujen oikeellisuus voidaan aina varmistaa. Noudattakaa sovittuja käytäntöjä ja varmistakaa, ettei laskuja voi maksaa nopeampia oikoreittejä pitkin.

Syyskuun Kybersää on julkaistu

Syyskuu oli poikkeamien määrän kannalta jälleen aktiivinen kuukausi. Loppukesästä lisääntyneet poikkeamat jatkoivat kasvua ja kuukauden yleiskuva oli pääosin sateinen. Tässä julkaisussa käsitellään myös kvartaalittaisia toimialakohtaisia havaintoja.

Viikon haittaohjelmakatsaus: Triada

Triada on Android-laitteita uhkaava etähallintatroijalainen (RAT, Remote Access Trojan), joka varastaa luottamuksellisia tietoja, kuten luottokorttinumeroita, salasanoja ja pankkitietoja. Samalla se avaa hyökkääjille takaoven, jonka kautta laite voidaan liittää bottiverkkoon. Haittaohjelma havaittiin ensimmäisen kerran Kasperskyn toimesta vuonna 2016, ja se merkitsi uutta aikakautta mobiiliturvallisuudessa: Triada onnistui piiloutumaan lähes kaikkiin laitteen prosesseihin pysyen silti vain laitteen RAM-muistissa.

Vuonna 2025 Triada on noussut jälleen otsikoihin, kun sitä on havaittu esiasennettuna väärennetyissä suosittujen älypuhelinten kopioissa, joita myydään alennettuun hintaan verkossa. Androidin parantunut tietoturva on kääntynyt tässä suhteessa käyttäjää vastaan: Kun järjestelmäosiot ovat nykyään suojattuja muutoksilta, niihin esiasennettu haittaohjelma on myös lähes mahdoton poistaa.

Miten suojautua Triadalta:

• Osta laitteet vain luotettavista lähteistä. Vältä epäilyttävän halpoja tarjouksia ja varmista myyjän virallisuus.
• Tarkista laitteen aitous. Vertaile IMEI-numeroita, teknisiä tietoja ja pakkausta valmistajan tietoihin.
• Käytä mobiiliturvaohjelmistoa. Asenna tunnettu virustorjunta ja pidä se ajan tasalla.
• Seuraa sovellusten oikeuksia. Poista sovellukset, joilla on tarpeettoman laajat käyttöoikeudet.
• Pidä järjestelmä päivitettynä. Asenna valmistajan viralliset tietoturvapäivitykset säännöllisesti.
• Koska Triada voi piileskellä laitteen laiteohjelmistossa, paras puolustus on huolellinen ostopäätös.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Haavoittuvuudet

CVE: CVE-2025-49844
CVSS: 10
Mikä: Kriittinen haavoittuvuus Redis-ohjelmistossa
Tuote: Redis on avoimen lähdekoodin muistitietokanta, jota käytetään laajasti mm. pilviympäristöissä.
Korjaus: Haavoittuvat versiot on päivitettävä viipymättä korjattuun versioon.