GNU C-kirjaston (glibc) funktiosta gethostbyname on löydetty haavoittuvuus, joka mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä.

GNU C-kirjasto (glibc) on yksi Linux-käyttöjärjestelmän keskeisimpiä komponentteja. Tietoturvayhtiö Qualys on löytänyt puskurin ylivuotohaavoittuvuuden kirjaston funktiosta __nss_hostname_digits_dots(), jota käytetään gethostbyname() -funktion kautta. Gethostbyname on yleinen Linux-sovellusten nimipalvelukyselyihin käytetty funktio. Haavoittuvuus mahdollistaa pahimmillaan hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä sekä kohdepalvelimen haltuunoton.

Qualyksen mukaan haavoittuvuuden hyödyntäminen onnistuu ainakin Procmail sekä Exim sähköpostipalvelinsovellusten kautta. Haavoittuvuuden tunniste on CVE-2015-0235 ja Qualys kutsuu haavoittuvuutta GHOST-haavoittuvuudeksi.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Sulautetut järjestelmät

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

Glibc-kirjaston versiot välillä 2.2 ja 2.17. Haavoittuvan kirjastoversion sisältäviä Linux-jakeluita ovat muun muassa seuraavat:

• Debian 7 (wheezy)
• Red Hat Enterprise Linux 6 ja 7
• CentOS 6 ja 7
• Ubuntu 12.04

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti. Linux-jakelujen käyttäjien osalta suositeltavin tapa tähän on jakelijan tarjoamat päivityspalvelut.

Lisätietoa:

•  
• https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
• https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability
• CVE-2015-0235
•  

Päivityshistoria

27.01.2015 klo 22:37

Adoben Flash Player-liitännäisessä on havaittu paikkaamaton haavoittuvuus, jota hyödynnetään haittaohjelmien levittämisessä murrettujen verkkosivujen kautta. Haavoittuvuutta on hyödynnetty Microsoft Internet Explorer- sekä Mozilla Firefox -selaimilla Windows-käyttöjärjestelmissä.

Adobe tiedotti 22.1.2015 illalla paikkaamattomasta haavoittuvuudesta Flash Player -selainliitännäisessä. Haavoittuvuutta on hyödynnetty haittaohjelmien levittämisessä käytettävien murrettujen verkkosivujen kautta (exploit kit). Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa haluamaansa ohjelmakoodia kohdejärjestelmässä. Haavoittuvuudelle annettu tunniste on CVE-2015-0311. Adobe arvioi julkaisevansa korjauksen haavoittuvuudelle viikolla 5.

Adobe julkaisi 22.1.2015 lisäksi päivityksen toiseen Flash Player -haavoittuvuuteen tunnisteella CVE-2015-0310.

Lisäys 26.1.2015: Adobe julkaisi 24.1.2015 päivityksen Flash Player -haavoittuvuuteen tunnisteella CVE-2015-0311

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Adobe Flash Player 16.0.0.287 ja aikaisemmat Windows- sekä Macintosh-versiot
• Adobe Flash Player 13.0.0.262 ja aikaisemmat 13.x versiot
• Adobe Flash Player 11.2.202.438 ja aikaisemmat Linux-versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Haavoittuvuuden vaikutuksia voi rajoittaa poistamalla Flash Playerin kokonaan käytöstä selaimesta tai käyttämällä kolmannen osapuolen selainlaajennuksia jotka estävät skriptien suorittamisen automaattisesti selaimessa, kuten Firefox-selaimelle tarkoitettua NoScript-laajennusta.

Lisätietoa:

•  
• http://helpx.adobe.com/security/products/flash-player/apsa15-01.html
• http://helpx.adobe.com/security/products/flash-player/apsb15-02.html
• http://malware.dontneedcoffee.com/2015/01/unpatched-vulnerability-0day-in-flash.html
• CVE-2015-0310
• CVE-2015-0311
• http://helpx.adobe.com/security/products/flash-player/apsa15-01.html

Kyberturvallisuuskeskus on saanut useita ilmoituksia haittaohjelmasta, jota on levitetty sähköpostiviestien avulla. Kyseinen haittaohjelma tunnetaan nimellä Dalexis. Haittaohjelma pyrkii lisäksi lataamaan tietokoneelle CTB Locker-nimisen kiristyshaittaohjelman, joka salaa tiettyjä tietokoneen tiedostoja vahvalla salauksella sekä vaatii niiden avaamisesta virtuaalivaluutta bitcoineja.

Viime päivinä myös Suomessa on havaittu kiristyshaittaohjelmaa levittäviä sähköpostiviestejä. Tietojemme mukaan kampanja on ollut käynnissä 19.1. lähtien. Myös Suomessa on tehty havaintoja CTB Locker-haittaohjelmasta.

CTB Locker-kiristyshaittaohjelma etsii salakirjoitettavia tiedostoja tietokoneen oman kiintolevyn lisäksi USB-muisteilta, ulkoisilta kiintolevyiltä sekä verkkojaoista. Haittaohjelma käyttää anonyymiä TOR-verkkoa kommunikaatiokanavana komentopalvelimelleen.

Haittaohjelmaa on levitetty muun muassa seuraavanlaisella sähköpostiviestillä:

Lähettäjä: "Santos Becerril" <groupoid@armonigrass.net>
Aihe: New Fax Message on 2015/01/19 at 16:45:09
Liitteet: cuteys.zip

Viestin sisältö:
Fax: +074875xxxxx
Date: 2015/01/18 16:45:09 CST
Pages: 2
ID: EU-5D5245942-5441
Filename: cuteys.zip

Muista varmuuskopiot

Paras tapa torjua kiristyshaittaohjelma on huolehtia siitä, että ainakin tärkeistä tiedostoista on ajantasaiset varmuuskopiot. Tällöin tartunnasta toipumiseen riittää järjestelmän puhdistaminen tai uudelleen asentaminen ja varmuuskopioitujen tiedostojen palauttaminen. Säännöllisellä varmuuskopioinnilla suojautuu samalla myös laiterikkoja vastaan.

Kuten tavallista, haittaohjelmien leviämistä voi vaikeuttaa pitämällä ohjelmistot ja käyttöjärjestelmän päivitykset ajan tasalla, samoin kuin tietoturvaohjelmistot ja niiden haittaohjelmatietokannatkin. Tuntemattomien liitetiedostojen avaaminen ei ole suositeltavaa.

Kyberturvallisuuskeskus suosittelee varmuuskopioiden ottamista säännöllisin väliajoin. Mikäli CTB Locker on saastuttanut tietokoneen, emme suosittele maksamaan lunnaita, sillä tiedostojen takaisinsaamisesta ei ole takeita.

Lisätietoja:

• Tietoturva nyt! Haittaohjelma vangitsee tietosi
• Tietoturva nyt! [Teema] Älä panikoi, näin pääset eroon haittaohjelmasta
•  
• http://www.ransomware.fi/
• http://blog.malcovery.com/blog/ctb-locker-the-newest-crypto-malware-now-via-spam
•  

Päivityshistoria

21.01.2015 klo 14:10