Drupal-julkaisujärjestelmän 6.x ja 7.x versioista on löydetty kaksi haavoittuvuutta.

Toinen haavoittuvuus koskee salasanan resetointiin käytettyä URL:ia, joka on mahdollista väärentää tietyissä olosuhteissa. Tätä kautta hyökkääjän on mahdollista saada pääsy toisen käyttäjän tilille ilman tilin salasanaa. Toinen haavoittuvuus koskee Drupalin käyttämien URL:ien destination -parametria, jonka avulla käyttäjä voidaan ohjata esimerkiksi haitallista materiaalia sisältävälle sivustolle.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Etäkäyttö

Hyväksikäyttö

• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Drupal core 7.35 versiota vanhemmat versiot
• Drupal core 6.35 versiota vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Korjaava ohjelmistopäivitys

Lisätietoa:

•  
• https://www.drupal.org/SA-CORE-2015-001
• http://thehackernews.com/2015/03/hacking-drupal-website.html
•  

OpenSSL on yleisesti käytössä oleva avoimen lähdekoodin SSL- (Secure Sockets Layer), TLS- (Transport Layer Security) ja DTLS- (Datagram Transport Layer Security) protokollatoteutus sekä salauskirjasto. OpenSSL:ää käytetään esimerkiksi www-palvelinten https-toteutuksissa, sekä sähköpostipalveluiden viestiliikenteen salaamisessa asiakaskoneen ja palvelimen välillä. Päivitykset korjaavat OpenSSL-kirjastosta 12 haavoittuvuutta.

Vakavuudeltaan korkeaksi (High) luokitellun haavoittuvuuden (CVE-2015-0291) avulla on mahdollista aiheuttaa palvelimelle palvelunestotila.

Päivitysten yhteydessä aiemmin korjatun FREAK-haavoittuvuuden CVE-2015-0204 luokittelutasoa on nostettu. Kyseinen haavoittuvuus oli aiemmin luokiteltu OpenSSL:n toimesta vakavuudeltaan matalaksi, mutta heikkoja RSA-salausavaimia tuetaan luultua yleisemmin ja sen vuoksi luokittelun taso on nyt nostettu korkeaksi. Haavoittuvuuden hyväksikäyttö mahdollistaa ns. välimieshyökkäyksen (Man-in-the-Middle, MitM) tietyissä tilanteissa.

Loput haavoittuvuudet on luokiteltu kohtalaisiksi (Moderate) tai mataliksi (Low).

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

OpenSSL versiot 1.0.2, 1.0.1, 1.0.0 ja 0.9.8.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä OpenSSL korjattuihin versioihin valmistajan ohjeiden mukaisesti.

Lisätietoa:

•  
• https://www.openssl.org/news/secadv_20150319.txt
• CVE-2015-0204
• CVE-2015-0207
• CVE-2015-0208
• CVE-2015-0209
• CVE-2015-0285
• CVE-2015-0286
• CVE-2015-0287
• CVE-2015-0288
• CVE-2015-0289
• CVE-2015-0290
• CVE-2015-0291
• CVE-2015-0292
• CVE-2015-0293
• CVE-2015-1787
•  

Viestintäviraston Kyberturvallisuuskeskus on saanut viime aikoina useita ilmoituksia Elisan, Osuuspankin, Danske Bankin ja Aktian nimissä lähetetyistä tietojenkalasteluviesteistä.

Viestit ovat saapuneet sähköpostitse satunnaisille vastaanottajille.

Aktia Pankin, Danske Bankin, Osuuspankin ja Elisan nimissä lähetetyissä viesteissä ilmoitetaan joko uudesta viestistä tai laskusta ja tarjotaan linkki, joka ohjaa palveluntarjoajan sivuja muistuttavalle sivustolle, joka on kuitenkin hyökkääjän hallinnassa.

Luovuttamalla tällaiselle sivulle tunnuksensa käyttäjä tulee vahingossa luovuttaneeksi ne hyökkääjien haltuun.

Aktian ja Osuuspankin nimissä lähtetty huijausviesti:

Otsikko: Uusi viesti #003658 ^{(numero vaihtelee)}

Viesti: "Hyvä asiakas,

Sinulla on (1) viesti.

Lue täältä" ^{(sisältää linkin tietojenkalastelusivulle)}

Danske Bankin nimissä lähtetty huijausviesti:

Otsikko: Maksu Vastaanotettu

Viesti: "Hyvä asiakas.

Olet saanut uuden maksun.

Kirjaudu tilillesi" ^{(sisältää linkin tietojenkalastelusivulle)}

Elisan nimissä lähetetty huijausviesti:

Otsikko: Tärkeä ilmoitus

Viesti: "Oma Elisaan on saapunut yrityksellesi uusi nettilasku.

Pääset suoraan Laskut-osioon sisäänkirjautumisen jälkeen tästä: <linkki tietojenkalastelusivustolle>

Voit muokata Nettilaskun asetuksia (ilmoituviestien vastaanottajat ja Laskut-osioon pääsevät käyttäjät) Oma Elisassa: <linkki tietojenkalastelusivustolle>

Voit myös määrittää asetuksista haluat saada Nettilaskun jatkossa sähköpostin liitteenä.

Ystävällisin terveisin,

Elisa Oyj"

Tietojenkalastelulta suojautuminen edellyttää varovaisuutta

Palveluntarjoajan viesteiltä vaikuttavissa yhteydenotoissa on varmistettava, että viestissä oleva linkki johtaa palveluntarjoajan omille sivuille. On suositeltavampaa kirjanmerkitä palveluntarjoajan sivu ja käyttää tätä sivustolle siirtymiseen viesteissä olevien linkkien sijaan, mikäli tämä on mahdollista. Myös odottamattomat viestit palveluntarjoajalta pitää tarkistaa huolellisesti ennen niissä kehotettuihin toimenpiteisiin ryhtymistä.

Havaituista tietojenkalastelusivustoista voi ilmoittaa Viestintäviraston Kyberturvallisuuskeskukselle sähköpostitse osoitteeseen cert@ficora.fi.

• Osuuspankin tietoturvatiedote 18.3.2015