 |
Muut verkkotunnukset myös meidän kautta
Tietoturvatiedotteet
10 05 2016
WordPress-ohjelmiston päivitys korjaa haavoittuvuuksia
tietoturva, haavoittuvuudet, wordpressWordPress-sisällönhallintajärjestelmästä on julkaistu uusi versio 4.5.2, joka korjaa haavoittuvuuksia. Korjaava päivitys on saatavilla. Valmistaja suosittelee sen asentamista mahdollisimman pian.
Korjatut haavoittuvuudet liittyvät WordPressin käyttämiin kolmansien osapuolien kirjastoihin (Plupload, MediaElement.js), joita käytetään mm. tiedostojen palvelimelle siirtämisen ja mediatiedostojen käsittelyn yhteydessä.
Myös ImageMagick -lisäosan haavoittuvuuksiin liittyen on julkaistu ohje, joka neuvoo oman sivuston tarkistamisen ja korjaavan päivityksen asentamisen kanssa.
Haavoittuvat Wordpress-sivustot ovat erityisen alttiita hyökkäyksille ja tietomurroille. Murretut sivustot voivat ohjata sivustolla vierailevia kävijöitä haittaohjelmia jakaville sivustoille ja sen avulla saastuttaa kävijät haittaohjelmalla.
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Hyväksikäyttö
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot:
- WordPress versio 4.5.1 ja vanhemmat versiot
Ratkaisu- ja rajoitusmahdollisuudet:
- Päivitä ohjelmisto valmistajan ohjeiden mukaisesti. Kyberturvallisuuskeskus suosittelee automaattisten päivitysten käyttöönottoa.
Lisätietoa:
- https://wordpress.org/news/2016/05/wordpress-4-5-2/
- https://make.wordpress.org/core/2016/05/06/imagemagick-vulnerability-information/
- Ohje 2/2016 Verkkosivujesi pimeä puoli - Ohjeita sisällönhallintajärjestelmien kyberuhkien torjumiseksi
Päivityshistoria
- 09.05.2016 klo 09:52Julkaistu
24 03 2016
Oracle korjasi kriittisen Java-haavan
tietoturva, javaOracle korjasi Javan ajoympäristöstä (JRE, Java Runtime Environment) kriittisen haavoittuvuuden tavallisen päivityssyklin ulkopuolella. Java-selainlaajennukset kannattaa poistaa käytöstä, mikäli niille ei ole tarvetta.
Haavoittuvuuden avulla hyökkääjän voi olla mahdollista suorittaa komentoja kohdejärjestelmässä houkuttelemalla käyttäjän selaamaan sivustolle, joka sisältää tietyllä tavalla muotoillun Java-sovelman (applet). Haavoittuvuudesta ei ole saatavilla tarkempia tietoja.
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Etäkäyttö
Hyväksikäyttö
- Komentojen mielivaltainen suorittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot:
- Oracle Java, kaikki tuetut versiot
Haavoittuvuus voi koskea myös avoimen lähdekoodin Java-versioita.
Ratkaisu- ja rajoitusmahdollisuudet:
Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti.
Javan selainlaajennus kannattaa poistaa käytöstä jos sille ei ole tarvetta. Neuvoja liitännäisen käytöstä poistamiseen on listattu muun muassa Tietoturva nyt! -artikkeleissa:
Lisätietoa:
- http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html
- https://blogs.oracle.com/security/entry/security_alert_cve_2016_0636
- CVE-2016-0636
Päivityshistoria
- 24.03.2016 klo 09:42Julkaistu
18 03 2016
Metaphor: Androidin vakavaan Stagefright-haavoittuvuuteen uusi hyväksikäyttömenetelmä
tietoturva, android, kyberturvallisuusAndroid-laitteita laajamittaisesti koskevaan viime vuoden Stagefright-haavoittuvuuteen on julkaistu toimiva hyväksikäyttömenetelmä, nimeltään Metaphor, joka tietoturvatutkijoiden mukaan mahdollistaa Androidin suojausmekanismien ohittamisen. Haavoittuvat laitteet voidaan ottaa haltuun esimerkiksi haitallisella verkkosivulla vierailun yhteydessä.
Stagefright-haavoittuvuus on lähes kaikissa Android-laitteissa
Loppukesällä 2015 Zimperiumin julkistama Stagefright on joukko haavoittuvuuksia mediatiedostojen käsittelyyn käytetyn Stagefright-kirjaston mediaserver-komponentissa. Haavoittuvuudet mahdollistavat haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä jopa ilman käyttäjän toimia, jos haitallista sisältöä sisältävä mediatiedosto toimitetaan laitteeseen esimerkiksi multimediaviestin, sähköpostin, Bluetoothin tai verkkosivulla vierailun avulla. Haavoittuvuus koskee Android-versioita 2.2 - 5.1.1.
Elokuun puolessa välissä Trend Micro löysi uuden Androidin mediaserver-komponentin haavoittuvuuden, joka sai nimen Stagefright 2. Haavoittuvuus koskee Android-versioita 2.3 - 5.1.1.
Google julkaisi päivityksen Stagefright-haavoittuvuuksiin melko nopeasti, mutta ongelmaksi muodostui päivitysten jakelun hitaus muiden Android-laitevalmistajien kautta käyttäjille. Lisäksi kaikki valmistajat eivät enää tue vanhimpia haavoittuvia laitteita, eikä osaa sulautetuista järjestelmistä ole suunniteltu helposti päivitettäväksi.
Metaphor ohittaa muistinsuojausmekanismit
Zimperium julkaisi Stagefright-haavoittuvuuden hyödyntämiseen esimerkkihaittakoodia. Käytännössä haavoittuvuuksien hyödyntäminen vaikutti tällöin kuitenkin hankalalta, sillä Android-versiosta 4.1 lähtien käyttöjärjestelmään on lisätty muistin suojausmekanismi, Address Space Layout Randomization (ASLR). Haitallisen ohjelmakoodin ajaminen Stagefright-haavoittuvuuden avulla edellyttää ASLR-suojauksen ohittamista, joka käytännössä edellyttää toisen haavoittuvuuden olemassaoloa puhelimessa.
Juuri julkistettu Metaphor-nimen saanut exploit voi ohittaa myös muistin suojausmekanismi ASLR:n, mikä tekee uhkasta todellisemman. Israelilainen tutkimusyhtiö NorthBit esittää tutkimuksessaan kolmivaiheisen tavan, jolla Android-laite voidaan ottaa haltuun:
- Käyttäjä houkutellaan vierailemaan haitallisella verkkosivulla, jonka lähettämä videotiedosto kaataa laitteen mediaserver-sovelluksen. Sivulla oleva JavaScript odottaa mediaserverin uudelleenkäynnistystä ja lähettää tietoa laitteesta hyökkääjän palvelimelle.
- Vastaanotetun tiedon perusteella räätälöidään videotiedosto, joka lähetetään laitteelle. Video hyödyntää Stagefright-haavoittuvuuksia paljastaen lisätietoa laitteen sisäisestä tilasta ja lähettää tiedot hyökkääjän palvelimelle.
- Vastaanotetun tiedon perusteella luodaan vielä yksi haittaohjelman sisältävä videotiedosto, joka suoritetaan videon prosessoinnin yhteydessä.
Käyttäjän toimia ei tarvita, sillä videotiedostot käsitellään selaimen noutaessa ne palvelimelta.
Haavoittuvuuden hyväksikäyttöä Nexus 5 -laitteella demonstroidaan myös Youtube-videolla. NorthBit kertoo onnistuneista kokeiluista myös LG G3:lla, HTC Onella ja Samsung Galaxy S5:llä.
Haavoittuvia versioita ei ole syytä käyttää
Metaphor toimii Android-versioissa 2.2-4.0, joissa ASLR-suojausta ei ole, sekä ohittaa ASLR-suojauksen versioissa 5.0-5.1.
Verkkoselaukseen käytettävien tai multimediaviestien vastaanottamiseen kykenevien Android-laitteiden versio ja päivitykset on tässä vaiheessa syytä tarkistaa omalta laitteeltaan. Lisätietoa Stagefright-päivityksistä on koottu lisätietolinkkeihin.
Niitä Android-laitteita, joihin korjauspäivitystä ei ole saatavilla, ei enää kannata käyttää. Oman laitteen tilan voi tarkistaa myös Stagefright Detector -työkalulla.
Lisätietoja
Metaphor ja Stagefright
- Millions of Android devices vulnerable to new Stagefright exploit, Wired 16.3.2016
- 'Millions' of Android mobes vulnerable to new Stagefright exploit that leaps security walls, The Register 17.3.2016
- Haavoittuvuus 067/2015: Stagefright-kirjaston haavoittuvuudet vaarantavat Android-laitteiden tietoturvan, 28.7.2015
- Tietoturva nyt! Kuusi Android-haavoittuvuutta ja vinkit niiden torjumiseen, 8.9.2015
- Metaphor: A (real) real life Stagefright exploit (pdf)
- Metaphor - Stagefright Exploitation Breaking ASLR (Youtube-video)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3864
Stagefright-päivitysten saatavuus
- Koonti useiden valmistajien Stagefright-päivityksistä: List of phones with Stagefright patches, 26.8.2015
- Lisätietoa Motorola-päivityksistä: https://motorola-global-portal.custhelp.com/app/answers/prod_answer_detail/a_id/106654
- Lisätietoa Samsung-päivityksistä (haku mallinumeron perusteella): http://www.sammobile.com/firmwares/
- Zimperiumin StageFright Detector -työkalu haavoittuvuuden tarkistamiseen Google Play -kaupassa: https://play.google.com/store/apps/details?id=com.zimperium.stagefrightdetector
Päivityshistoria
- 17.03.2016 klo 12:31Julkaistu
- 18.03.2016 klo 09:38Lisätietolinkkejä päivitysten saatavuudesta ja haavoittuvuuden tarkistamisesta.
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.