Oheinen ohje kuvaa miten käyttäjä voi testata onko oma Ubuntu-käyttöjärjestelmä haavoittuva ns. Shellshock-haavoittuvuudelle.

Keskiviikkona löydetty Bash-komentotulkkia koskeva haavoittuvuus on yleisesti tunnettu nimellä Shellshock. Haavoittuvuus mahdollistaa pahimmillaan mielivaltaisten komentojen ajamisen kohdetietokoneessa. Haavoittuvuudelta voi suojautua joko eristämällä haavoittuvat järjestelmät muusta internetistä esimerkiksi palomuurin avulla, tai päivittämällä Bash-komentotulkin sen uusimpaan versioon.

Alla on kuvalliset ohjeet, joiden avulla voi tarkistaa onko oma Ubuntu-käyttöjärjestelmä altis haavoittuvuudelle. Windows käyttäjiä haavoittuvuus ei koske, ellei käytä ns. CYGWIN-ympäristöä, jonka avulla Windowsiin saa Unixin kaltaisia toiminnallisuuksia. Kaikki Mac OS X -käyttöjärjestelmät ovat haavoittuvia, mutta tavallisesti niissä ei ole verkkoon avoimia palveluita, joita hyödyntämällä haavoittuvuutta voisi hyväksikäyttää.

Komentokehoitteen avaaminen Ubuntu-käyttöjärjestelmässä

Haavoittuvuuden voi testata Ubuntu-käyttöjärjestelmässä, ja muissakin Linux- ja Unix -pohjaisissa järjestelmissä, komentokehoitteen avulla. Käyttäjän tulee syöttää komentokehoitteeseen tietyllä tavalla muotoiltu komentorivi, joka testaa onko Bash-komentotulkki altis haavoittuvuudelle.

Komentokehoite avataan eri Ubuntu-versioissa hieman eri tavoilla. Alla on lueteltu yleisimpiä keinoja komentokehoitteen avaamiseen.

Tapa 1: CTRL+ALT+T

Paina CTRL ja ALT -näppäimet pohjaan samanaikaisesti ja paina vielä lisäksi T kirjainta. Yleensä tämä pikakomento avaa komentokehoitteen, mutta tietyissä Ubuntu-versioissa se on estetty.

Tapa 2: Ubuntu Classic -ikkunointiympäristö

Komentokehoite avataan kuvaruudun vasemman yläreunan sovellusvalikon avulla.

Englanninkielinen Ubuntu: Applications -> Accessories -> Terminal.

Suomenkielinen Ubuntu: Sovellukset -> Apuohjelmat -> Pääte.

Kuva 1: Komentokehoitteen avaaminen Ubuntu Classic -ympäristössä

Tapa 3: GNOME Shell -ikkunointiympäristö

Komentokehoite avataan kuvaruudun vasemman yläreunan "Activities"-valikon avulla

Englanninkielinen Ubuntu: Activities -> Applications -> Accessories -> Terminal.

Kuva 2: Komentokehoitteen avaaminen GNOME Shell -ympäristössä

Tapa 4: Ubuntu Unity -ikkunointiympäristö

Komentokehoite avataan klikkaamalla kuvaruudun vasemmasta yläreunasta "Ubuntu" -nappia, ja kirjoita avautuvaan valikkoon "terminal" Ubuntun englanninkielisessä versiossa tai "pääte" suomenkielisessä versiossa.

Kuva 3: Komentokehoiteen avaaminen Unity-valikon avulla

Haavoittuvuuden testaaminen

Shellshock-haavoittuvuudella tarkoitetaan itseasiassa useita eri haavoittuvuuksia. Alla on ohjeet, joiden avulla kaksi ensimmäisenä löydettyä haavoittuvuutta voi testata.

Haavoittuvuus 1 (CVE-2014-6271):

Kirjoita komentokehoitteeseen alla oleva rivi ja paina enter.

x='() { :;}; echo HAAVOITTUVA' bash -c :

Mikäli komento palauttaa tekstin HAAVOITTUVA, on järjestelmässä haavoittuvuus.

Mikäli komento ei palauta mitään, tai palauttaa vastineen:

    bash: warning: x: ignoring function definition attempt
    bash: error importing function definition for `x'

Ei järjestelmä ole haavoittuva.

Kuva 4: Kuvaruutukaappaus haavoittuvan järjestelmän komentokehoitteesta

Haavoittuvuus 2 (CVE-2014-7169):

Kirjoita komentokehoitteeseen

cd /tmp; rm -f /tmp/echo; env 'x=() { (a)=>' bash -c "echo date"; cat /tmp/echo

Mikäli komento palauttaa vastineen, jonka lopussa on komennon suoritusajanhetki, kuten esimerkiksi La 27 Syy 2014 20:15:37 EEST, on järjestelmässä haavoittuvuus. Ennen päivämäärää saattaa komentokehoitteeseen tulostua erilaisia herjauksia. Olennaista on, tulostuuko herjausten jälkeen päivämäärä komentokehoitteeseen.

Huomaa, että komento luo tai ylikirjoittaa tiedoston nimeltä echo kansioon /tmp/.

Kuva 5: Kuvaruutukaappaus haavoittuvan järjestelmän komentokehoitteesta. (Kuvakaappauksessa näkyvän järjestelmän päivämäärä on väärä johtuen testiympäristöstä.)

Päivittäminen

Tarvittaessa Bash-komentotulkki kannattaa päivittää komentokehoiteen kautta seuraavilla komennoilla

sudo apt-get update
sudo apt-get upgrade bash

Päivityksen jälkeen kannattaa testata, että Bash-komentotulkki on varmasti päivittynyt ylläolevien ohjeiden mukaisesti.

Lisätietoja aiheesta:

Varoitus 02/2014

Haavoittuvuus 106/2014

Jos tulee ongelmia yllä olevan kanssa, autamme mielellämme. Terveisin Valvonta

Tänään julkaistua Bash-komentotulkin Shellshock-haavoittuvuutta hyödynnetään aktiivisesti verkkohyökkäyksissä. Verkossa on julkaistu esimerkkikomentoja, jotka lataavat haavoittuviin palvelimiin haittaohjelman ja suorittavat sen.

Kyberturvallisuuskeskus on havainnut haavoittuvuuden aktiivisia hyväksikäyttöyrityksiä. Syöttämällä erityisesti muodostetun ympäristömuuttujan haavoittuvalle Bash-komentotulkille hyökkääjän on mahdollista suorittaa haluamiaan komentoja. Verkossa on julkaistu esimerkkikomentoja, joiden avulla hyökkääjä saa haavoittuvalle palvelimelle haittaohjelman tai takaoven.

Kyberturvallisuuskeskus suosittelee päivittämään bash-komentotulkin mahdollisimman pian. Saatavilla oleva päivitys korjaa tällä hetkellä aktiivisesti hyväksi käytettävän haavoittuvuuden. Päivitys oli kuitenkin osittain puutteellinen, jonka vuoksi haavoittuvuudelle on tulossa toinen korjaus. Ongelmaa voi myös rajoittaa esimerkiksi käyttämällä vaihtoehtoista shelliä tai rajoittamalla tai muuttamalla CGI-skriptien toimintaa.

• Haavoittuvuus 106/2014 Haavoittuvuus Bash-komentotulkissa
•  
• CVE-2014-6271
• CVE-2014-7169
•  

Useita suomalaisiin kohdistuvia tietojenkalastelukampanjoita on taas liikkeellä. Tietoja on yritetty udella muun muassa sähköpostitilin vahvistamisen, saapuneen verkkopankkiviestin ja vanhentuvan verkkotunnuksen verukkeilla.

Outlook-tilin aktivointikampanja

Microsoftin tarjoaman Outlook-sähköpostipalvelun käyttäjiä on kehotettu vahvistamaan tilinsä. Viestissä uhataan sulkea vahvistamaton tili. Tilin vahvistuksessa pyydetään käyttäjältä muun muassa sähköpostitilin salasanaa.

Tietojenkalastelun tunnistaa esimerkiksi siitä, että oikea ylläpito ei koskaan kysy käyttäjän salasanaa sähköpostin, puhelimen tai muun viestimen välityksellä.

Alla on esimerkki yhdestä tietojenkalasteluviestistä:

From: c_thoben@hotmail.com
To: 
Subject: Outlook.com : Vahvista tilisi‏‏‏
Date: Mon, 15 Sep 2014 11:17:57 +0200

ACCOUNT@ UPDATED

Tietokantamme tilien hallintatoimenpiteen aikana huomasimme, että
tiliäsi ei olevahvistettu. Tekninen valvontamme sulkee kaikki
vahvistamattomat tilit, joten estääksesi tilisi sulkeutumisen sinun
täytyy klikata 'vastaa'-painiketta vastataksesi tähän viestiin sekä
syöttää alla olevat puuttuvat tiedot uudistaaksesi tilisi.

Nimi........................................................
Microsoft-tili Lisätietoja..................................
Salasana....................................................
Syntymäpäivä................................................
Maa/alue....................................................

Varoitus!!!
  Mikäli tilinomistaja ei suostu uusimaan tiliään viikon kuluessa tämän 
 varoituksen saamisesta, he menettävät sen lopullisesti. 
Terveisin
Outlook.com-tiimi

Tietojenkalastelua Aktia-pankin nimissä

Aktia-pankin nimissä on lähetetty viestejä asiakkaille, joissa ilmoitetaan uudesta verkkopankkiin saapuneesta viestistä. Oletetun viestin pääsee näkemään klikkaamalla sähköpostin linkkiä, mutta linkki ohjaakin tietojenkalastelusivulle, jossa kysytään käyttäjän verkkopankkitunnuksia.

Tietojenkalastelusivun erottaa helpoiten selaimen otsikkorivin väärästä osoitteesta.

From: Aktia <mailto:noreply@sslatkia.fi>
Sent: Friday, September 12, 2014 1:55 PM
To: 
Subject: Viesti

Hyvä asiakas.
Olet saanut uuden viestin.
Käytä tiliä LINKKI

Sähköpostissa oleva linkki vie oheisen kuvan kaltaiselle tietojenkalastelusivustolle:

Kuva 1: Pankkitietojen kalasteluun käytetty sivu

Verkkotunnuksen rekisteröinnin uusiminen -huijaus

Verkkotunnusten haltijoille on lähetetty valheellisia viestejä verkkotunnuksen uusimiseen liittyen. Viesti lähetetään kohteille, joiden
verkkotunnusten voimassaolo on oikeastikin raukeamassa tietyn ajan kuluttua. Näin kohde saattaa helpostikin langeta huijaukseen. Viesti tulee kuitenkin verkkorikollisilta, jotka haluavat uhreiltaan luottokorttitiedot.

Alla esimerkki eräästä huijauksessa käytetystä viestistä:

As a courtesy to domain name holders, we are sending you this notification 
for your business Domain name search engine registration. This letter is 
to inform you that it's time
to send in your registration and save.
Failure to complete your Domain name search engine registration by the 
expiration date may result in cancellation of this offer making it 
difficult for your customers to locate
you on the web.
Privatization allows the consumer a choice when registering. Search engine 
subscription includes domain name search engine submission. You are under 
no obligation to pay the
amounts stated below unless you accept this offer. Do not discard, this 
notice is not an invoice it is a courtesy reminder to register your domain 
name search engine listing so
your customers can locate you on the web.
This Notice for: WWW.DOMAINNAME.ORG will expire on SEPTEMBER 15,2014 Act 
today!
Select Term:

[ ] 1 year   09/15/2014 - 09/15/2015 $75.00
[ ] 2 year   09/15/2014 - 09/15/2016 $119.00
[ ] 5 year   09/15/2014 - 09/15/2019 $199.00
[ ] 10 year -Most Recommended- 09/15/2014 - 09/15/2024 $295.00
[ ] Lifetime (NEW!) Limited time offer - Best value! Lifetime $499.00
Today's Date: _____________________ Signature: _____________________
Payment by Credit Card
Select the term above, then return by fax: 1-716-650-4793

Tutulta henkilöltä saapunut Google Drive -dokumentti

Googlen sähköpostissa on havaittu kontaktiverkoston avulla leviävä tietojenkalasteluviesti. Tietojenkalastus on toteutettu siten, että uhri saa tutulta henkilöltä sähköpostiviestin, jossa on jaettu Google Drive -dokumentti. Kuitenkin dokumenttiin väitetysti ohjaava linkki vie Googlea muistuttavalle sisäänkirjautumissivulle, jonka avulla uhrin sähköpostitunnus ja salasana pyritään kalastamaan. Jos uhri erehtyy syöttämään sähköpostitunnuksensa huijareille, huijarit lähettävät vastaavan sähköpostiviestin uhrin nimissä uhrin kontaktiverkostolle.

MBnet-sähköpostipalvelun tunnuksia kalasteltu "Epäilyttävää toimintaa" -viestein

MBnet-käyttäjien tunnuksia on kalastettu alla olevan viestin ja verkkosivun avustuksella:

Aihe:  Epäilyttävää toimintaa: MBnet
Päiväys:  Thu, 18 Sep 2014 21:11:40 +0100
Lähettäjä:  Brandon Hernando Sarmiento Velazco <bhsarmientov@unal.edu.co>
Vastaanottaja:  

-- 
Epäilyttävää toimintaa: MBnet
Kirjaudu tilillesi: LINKKI
Olet saanut tämän sähköpostiviestin, koska järjestelmä on
huomannut joitakin epäilyttävää toimintaa MBnet.
Kaikki mitä sinun pitää nauttia kaikista Welmail palvelu
oman id on vahvistaa henkilöllisyytesi, seuraa linkkiä
Alla aloittamaan tämän prosessin.
Klikkaa tästä nyt: LINKKI


MBnet.
Tunnukseen.

Kuva 2: Kuvakaappaus MBbnet-tunnusten kalasteluun käytetystä verkkosivustosta

Päivityshistoria

19.09.2014 klo 16:00