Mozilla on julkaissut Firefox-selaimesta ja Thunderbird-sähköpostiohjelmistosta uudet versiot.

Mozillan julkaisemat päivitykset Firefox-selaimelle ja Thunderbird-sähköpostiohjelmistolle korjaavat 9 haavoittuvuutta, joista 4 on luokiteltu kriittiseksi. Vakavimpien haavoittuvuuksien avulla voi olla mm. mahdollista suorittaa haitallista ohjelmakoodia kohdejärjestelmässä.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Mozilla Firefox versiota 34 vanhemmat versiot
• Mozilla Firefox ESR versiota 31.3 vanhemmat versiot
• Mozilla Thunderbird versiota 31.3 vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmistot korjattuihin ohjelmistoversioihin.

Lisätietoa:

• https://www.mozilla.org/en-US/security/advisories/
• https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/
• https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/
• CVE-2014-1587
• CVE-2014-1588
• CVE-2014-1589
• CVE-2014-1590
• CVE-2014-1591
• CVE-2014-1592
• CVE-2014-1593
• CVE-2014-1594
• CVE-2014-1595

Hollantilainen Fox-IT on selvittänyt CryptoPHP:ksi ristimänsä haittaohjelmakampanjan toimintaa. Haittaohjelma leviää luvattomasti muunneltujen Drupal-, Joomla- ja WordPress-teemojen ja -liitännäisten avulla.

Luvattomasti muokatut liitännäiset kulkevat nimellä "nulled scripts", ja niistä on poistettu lisensointiin ja käyttöoikeuksiin liittyvät tarkastukset. Liitännäiset ovat olleet ladattavissa verkkosivustoilta, joilla tällä tavoin luvattomasti muokattuja lisäosia on ollut yleisesti tarjolla. Toiminta on käytännössä ohjelmistopiratismia, joten uhreiksi ovat joutuneet piraattiversioita liitännäisistä sivustoilleen asentaneet ylläpitäjät.

Fox-IT:n selvityksissä havaittiin, että muokattuihin liittännäisiin oli lisätty haittakoodia, joka korvasi liitännäistä käyttävän sivuston vastauksia omillaan silloin, kun kyselyitä teki esim. hakukoneen indeksointirobotti. Kyselyihin annettiin vastaukseksi hyökkääjien palveluiden osoitteita, jolloin niiden merkittävyys hakukoneen tilastoissa kasvoi. Vastaavasti CryptoPHP:llä saastutettuja lisäosia käyttävät sivustot menettivät hakukone- ja kävijäliikennettä. CryptoPHP sisältää myös itsepäivitystoiminnallisuuden, joten sen avulla voi olla mahdollista ajaa sivustoa ylläpitävällä palvelimella muutakin haitallista ohjelmakoodia.

Fox-IT arvioi, että ainakin tuhat verkkosivustoa on onnistuttu saastuttamaan CryptoPHP:llä. Osa näistä sivustoista sijaitsee Suomessa. Kyberturvallisuuskeskus välittää tietoonsa tulleista saastuneista sivuista tiedon ylläpitäjille Autoreporter-järjestelmän avulla.

CryptoPHP-takaovelta voi suojautua käyttämällä ainoastaan luotetuista lähteistä ladattuja liitännäisiä.

Lisätietoja:

https://threatpost.com/attackers-using-compromised-web-plug-ins-in-cryptophp-blackhat-seo-campaign/109505

https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf

WordPress-sisällönhallintajärjestelmästä on löytynyt kriittinen haavoittuvuus. Haavoittuvuus koskee kaikkia toistaiseksi julkaistuja WordPress 3 -versioita. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa mielivaltaisia komentoja ylläpitäjän oikeuksin ja tätä kautta esimerkiksi vaihtaa ylläpitäjän salasanaa. Haavoittuvuuden hyväksikäyttö ei vaadi kirjautumista, ja sen mahdollistava kommentointiominaisuus on oletuksena käytössä WordPress-ohjelmiston perusasennuksessa.

Haavoittuvuus liittyy WordPress-asennuksen sivujen sekä viestien kommentointimahdollisuuteen, johon sopivalla tavalla muokattua JavaScript-ohjelmakoodia syöttämällä voi hyökkääjä saada kohdepalvelimen haltuunsa.

Haavoittuvuuden hyväksikäyttö vaatii sen, että sivustolle syötetty kommentti luetaan ylläpitäjän tunnuksella. Tällöin kommentin sisällä oleva ohjelmakoodi suoritetaan, ja tämän kautta hyökkääjä voi saada kohdejärjestelmän haltuunsa. Ohjelmakoodin suorittaminen ei näy järjestelmän ylläpitäjälle mitenkään. Kommenttien tarkastaminen etukäteen on yleinen käyttötapa WordPress-sivustoilla, jolloin kommentit tulevat julkisiksi vasta siinä vaiheessa kun sivuston ylläpitäjä on ne hyväksynyt (englanniksi "moderation").

Haavoittuvuuden mahdollistava ohjelmointivirhe on WordPress-asennuksen tiedostossa wp-includes/formatting.php. Ohjelmointivirheen johdosta ohjelmisto tulkitsee kommenttikenttään syötetyt hakasulku- ja kulmamerkit virheellisesti, mikä johtaa sopivalla tavalla käytettynä halutun tekstin suorittamisen HTML-koodina.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Palvelunestohyökkäys
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys
• Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

WordPress 3.0 - 3.9.2

Ratkaisu- ja rajoitusmahdollisuudet:

Suositeltu ratkaisukeino on päivittää haavoittuva ohjelmisto valmistajan ohjeen mukaisesti versioon 4.0.1

Mikäli WordPressin automaattinen taustapäivitysmekanismi on käytössä päivittää se automaattisesti versiot 3.9.2, 3.8.4 ja 3.7.4 ohjelmistoversioihin 3.9.3, 3.8.5 ja 3.7.5 haavoittuvuuden korjaamiseksi. Valmistaja suosittelee asennusten päivittämistä kuitenkin versioon 4.0.1, koska vanhemmat versiot eivät ole tuettuja.

Jos päivittäminen ei ole mahdollista, hyväksikäyttömahdollisuutta voi rajoittaa poistamalla käyttäjiltä mahdollisuus lisätä sivuille kommentteja.

Lisätietoa:

• https://wordpress.org/news/2014/11/wordpress-4-0-1/
• http://klikki.fi/adv/wordpress.html