Linux-ytimestä on löydetty haavoittuvuus, joka voi mahdollistaa komentojen suorittamisen paikallisesti korotetuilla käyttövaltuuksilla.

Löydetty haavoittuvuus liittyy ytimen CONFIG_KEYS asetukseen. Kyseisen asetuksen ollessa käytössä, henkilö jolla on tunnukset järjestelmään, voi kohottaa käyttövaltuutensa pääkäyttäjän tasoisiksi.

Löydetty haavoittuvuus koskee useita Linux-jakeluiden uusimpia versioita ja vanhempia Android-laitteita (käyttöjärjestelmän versiot 4.4 ja aiemmat). Haavoittuvuuden hyväksikäyttö vaatii merkittäviä laskentaresursseja ja esimerkiksi tehokkaalla pöytäkoneella sen hyväksikäyttö kestää noin 30 minuuttia.

Haavoittuvuus on korjattu useissa Linux-jakeluiden uusimmissa versioissa.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Matkaviestinjärjestelmät

Hyökkäystapa

• Paikallisesti

Hyväksikäyttö

• Käyttövaltuuksien laajentaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen
• Ei päivitystä

Haavoittuvat ohjelmistot:

Linux-ydin, versio 3.8 ja uudemmat

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä käyttäjärjestelmän ydin korjattuun versioon. Useimmat Linux-jakelut ovat julkaisseet korjatut versiot ytimestä.

Haavoittuvuuden hyväksikäyttöä voi myös rajoittaa ottamalle esimerkiksi SELinux-laajennuksen käyttöön estävässä tilassa.

Lisätietoa:

https://access.redhat.com/security/cve/CVE-2016-0728 

https://security-tracker.debian.org/tracker/CVE-2016-0728

http://www.ubuntu.com/usn/usn-2870-1/

http://perception-point.io/2016/01/14/analysis-and-exploitation-of-a-linux-kernel-vulnerability-cve-2016-0728/

http://www.androidcentral.com/kernel-vulnerability-exposed-researchers

CVE-2016-0728

Päivityshistoria

26.01.2016 klo 10:06

JSocket RAT -haittaohjelman levityskampanja on Keskusrikospoliisin tutkinnassa. Viestien levityksessä on käytetty suomalaisia murrettuja sähköpostitilejä.

Viestintäviraston Kyberturvallisuuskeskuksen ja Keskusrikospoliisin selvitysten perusteella etäohjattava ja tietojen varastamiseen soveltuvaa Jsocket RAT -haittaohjelmaa on levitetty käyttäen suomalaisia murrettuja sähköpostitilejä yli 15000 suomalaiseen sähköpostiosoitteeseen. Haittaohjelma ei ollut ainakaan sen levityshetkellä hyvin tunnistettu yleisimmin käytetyissä virustorjuntaohjelmistoissa. Haittaohjelma pystyy myös estämään virustorjuntaohjelmistojen toiminnan.

Levityskampanja on Keskusrikospoliisin tutkinnassa. Haittaohjelman levityksessä on käytetty suomalaisia murrettuja sähköpostitunnuksia. Tunnusten kautta lähetettyjen haittaohjelmia sisältäneiden viestien vastaanottajat ovat viranomaisten tiedossa. Kyberturvallisuuskeskus lähettää maanantaina 25.1.2016 toimintaohjeita sisältävän sähköpostiviestin kampanjan kohteiksi joutuneisiin sähköpostiosoitteisiin.

Haittaohjelman lähetyksessä käytettyihin murrettuihin sähköpostiosoitteisiin ei ole tarvetta olla yhteydessä. Osoitteiden omistajatahot ovat käynnistäneet osaltaan tarvittavat suojaustoimenpiteet.

Kyberturvallisuuskeskuksen lähettämän sähköpostin sisältämät toimintaohjeet:

Otsikko: Viestintäviraston varoitus haitallisesta sähköpostista

Hei!

Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut,
että te olette saattaneet vastaanottaa haittaohjelman
sisältävän sähköpostin. 

Viesti on osa laajaa haittaohjelman levityskampanjaa, jossa
kohteena on ollut noin 15000 suomalaista käyttäjää. 
Keskusrikospoliisi tutkii tapausta. 
Teille mahdollisesti saapuneen sähköpostin otsikko on <<OTSIKKO>> 
ja se on lähetetty <<PÄIVÄMÄÄRÄ>>. Viestiä ei tule yrittää avata.

Toimintaohje: ************* -Jos ette löydä sähköpostilaatikosta yllämainittua viestiä, 
virustorjunta on todennäköisesti estänyt viestin toimituksen teille. Asia ei vaadi teiltä
jatkotoimenpiteitä. 
-Jos ette ole avanneet viestiä, tuhotkaa viesti sitä avaamatta. Tässä tapauksessa 
yhteydenottoa poliisiin ei tarvita. 
-Jos olette avanneet viestin sisältäneen liitetiedoston, ottakaa yhteyttä 
Keskusrikospoliisiin alla olevien ohjeiden mukaisesti. 

JSocket RAT -haittaohjelmaa levitetään sähköpostitse - Tietoturva nyt! -artikkeli 21.1.2016

Laitteen etähallinnan mahdollistava haittaohjelma JSocket RAT leviää sähköpostin välityksellä - Tietoturva nyt! -artikkeli 19.1.2016

Etähallittavaa JSocket RAT -haittaohjelmaa on levitetty ainakin 15 000 suomalaiseen sähköpostiosoitteeseen. Haittaohjelman sisältävä viesti voi tulla tutulta ihmiseltä, sillä levitykseen käytetään ilmeisesti murrettuja käyttäjätunnuksia ja niiden yhteystietolistoja.

Kyberturvallisuuskeskuksen näkemät viestiesimerkit ovat lyhyitä ja kömpelöllä suomella kirjoitettuja. Viestin lyhyyden vuoksi se voi näyttää uskottavalta ihmiselle, joka lukee sen kiireessä. Alla on kuva eräästä levitykseen käytetystä viestistä:

Myös seuraavia viestien otsikoita on nähty:

• Laskuttaa_00995647 ( Maksu)
• VS: Laskuttaa_00995647 ( Maksu)
• SV: Laskuttaa_00995647
• VS: Laskuttaa_00995647
• Dokumentti
• Laskuttaa_094895
• Faktura_0099787 {Betaling)
• Fakturra_0099787 (pagameto)
• Fattura_0099787 (pagamento)

Suositellut toimenpiteet

1. Jos olet saanut kuvatunlaisen viestin, muttet ole avannut sitä, poista viesti pysyvästi. Esimerkiksi Microsoft Outlookissa valitse viesti postilaatikosta yhdellä klikkauksella, paina näppäimistöstä vaihto (shift) -näppäin pohjaan ja paina Delete-näppäintä.
2. Jos olet avannut kuvatunlaisen viestin, varmista, ettei koneesi ole saanut tartuntaa:
   • Ota tietokone heti irti tietoverkosta haittaohjelman mahdollisen leviämisen estämiseksi.
   • Jos saastunut kone on työnantajasi antama, toimi työnantajan ohjeiden mukaan (esimerkiksi yhteydenotto ATK-tukeen).
   • Jos kyse on yksityisestä koneesta, tarkasta se päivitetyllä haittaohjelmien torjuntaohjelmalla.

JSocket RAT kytkee monia virustorjuntaohjelmistoja pois käytöstä, joten voi olla tarpeen asentaa toisella koneella USB-muistitikulle ohjelma, jolta saastuneen tietokoneen voi käynnistää haittaohjelmien tarkastusta varten (ns. anti-virus boot disk tai rescue disk).

Tartuntojen ehkäisy

Noudata varovaisuutta epäilyttäviltä näyttävien sähköpostiviestien käsittelyssä. Epäilyttävien viestien liitetiedostoja ei kannata avata. Paras tapa varmistua viestin aitoudesta on ottaa sen lähettäjään yhteyttä jollakin muulla viestivälineellä kuin sähköpostilla.

Varmista, että virustorjuntaohjelmisto toimii. Torjuntaohjelman tunnistetietokannan automaattipäivityksen tulee olla päällä ja torjuntaohjelman tulee automaattisesti tarkastaa avattavat ja suoritettavat tiedostot. Useilla työpaikoilla ATK-tuki varmistaa nämä asiat keskitetysti.

Työpaikan sähköpostijärjestelmän ylläpitäjien kannattaa ohjata kaikki sähköpostipalvelimen läpi kulkevat viestit virustorjuntaohjelmiston läpi. Varotoimena sellaiset viestit, jotka sisältävät Zip-pakatun liitetiedoston, jonka sisältönä on jar-tiedosto, kannattaa laittaa karanteeniin ja tarkastaa tuoreita haittaohjelmatunnisteita vastaan vielä seuraavana päivänä. Jos yrityksen työntekijöillä ei ole tarvetta vastaanottaa jar-tiedostoja, kannattaa niiden vastaanotto sähköpostilla estää kokonaan.

Lisää aiheesta

Laitteen etähallinnan mahdollistava haittaohjelma JSocket RAT leviää sähköpostin välityksellä (Tietoturva nyt! 19.1.2016)