Kyberturvallisuuskeskuksen tietoon tulee viikoittain lukuisia suomalaisia murrettuja sivustoja ja blogeja, jotka käyttävät päivittämättömiä tai puutteellisesti suojattuja julkaisujärjestelmiä, kuten WordPress, Joomla tai Drupal. Murretuille sivustoille on ujutettu haittakoodia, joiden avulla sivuilla vierailija ohjataan latamaan haittaohjelmia.

Murrettuja Wordpress-, Joomla- tai Drupal-alustoja käyttäville sivuille on lisätty esimerkiksi iframeja tai skriptejä, jotka voivat uudelleenohjata käyttäjän haittaohjelmien levittämiseen käytetylle exploit kit -sivulle. Uudelleenohjaus voi tapahtua myös haitallisten mainosten avulla.

Tyypillisesti exploit kit tutkii sivulle päätyvän uhrin käyttöjärjestelmän, selaimen sekä yleisesti käytössä olevat selainliitännäiset ja tarkistaa niiden versionumerot. Sivustolla kävijälle tarjotaan haavoittuvaa ohjelmistoversiota hyödyntävä haitallinen sovellus. Tällä tavoin levitetään tyypillisesti kiristys- tai pankkihaittaohjelmia, virtuaalivaluuttaa louhivia ohjelmia, roskapostittajia tai tietoja varastavia haittaohjelmia.

Sivustoille on usein murtauduttu käyttämällä tunnettuja haavoittuvuuksia tai arvaamalla heikko ylläpitäjän salasana. Joissain tapauksissa salasanoja sisältävä julkaisujärjestelmän asetustiedosto on ollut saatavilla avoimesti myös muille kuin ylläpitäjälle.

Ohjeita sivustojen ylläpitäjille

Sivuston ylläpitäjä voi omilla toimillaan vaikuttaa siihen, hyödynnetäänkö hänen sivustoaan haittaohjelmien levittämiseen tai muihin rikollisiin tarkoitusperiin.

• Kovenna käyttämäsi julkaisujärjestelmä poistamalla ylimääräiset liitännäiset ja tarkistamalla tiedostojen lukuoikeudet, ettei esimerkiksi ylläpitotunnuksia sisältäviä tiedostoja voi lukea avoimesti. Julkaisujärjestelmien omia kovennusohjeita voi etsiä ohjelmistojen omilta kotisivuilta tai hakukoneella esimerkiksi "Drupal hardening".
• Seuraa käyttämäsi julkaisujärjestelmän omia tiedotuksia päivityksistä sekä uutisia haavoittuvuuksista. Asenna päivitykset välittömästi. Sisällönhallintajärjestelmän automaattiset päivitykset kannattaa kytkeä päälle, jos mahdollista.
• Käytä vahvoja salasanoja. Tarkista, että järjestelmän salasanat tallennetaan turvallisesti tiivistettynä ja suolattuna.
• Yleisohjeita julkaisujärjestelmän valintaan ja ylläpidon tietoturvaan on Viestintäviraston ohjeessa Ohje 1/2011 Verkkopalvelun ohjelmistoalustan valinta ja palvelun turvallinen ylläpito

Ohjeita käyttäjille

Lisätietoja

• Ohje 1/2011 Verkkopalvelun ohjelmistoalustan valinta ja palvelun turvallinen ylläpito
• [Teema] Exploit kit - tehokas haittaohjelmien levittäjä (julkaistu 6.3.2015)
• Tietoturva nyt! CryptoPHP-haittaohjelma leviää luvattomasti muokattujen Drupal-, Joomla- ja WordPress-lisäosien avulla (julkaistu 25.11.2014)
• Haavoittuvuudet, joista peruskäyttäjänkin tulisi tietää (julkaistu 15.5.2014)
• Hardening WordPress
• Security Checklist/Joomla! Setup
• Drupal: Securing your site

Ciscon Virtual Security Appliance -tuotteiden haavoittuvuus mahdollistaa luvattoman kirjautumisen laitteeseen root-käyttöoikeuksilla ja laitteiden välisen tietoliikenteen purkamisen tai väärentämisen.

Ciscon Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) ja Cisco Content Security Management Virtual Appliance (SMAv) sisältävät oletusarvoiset SSH-avaimet, jotka ovat samat kaikissa asennuksissa. Näin ollen hyökkääjä voi saada haltuunsa SSH-avainparin yksityisen avaimen ja käyttää sitä laitteisiin kirjautumiseen. Haavoittuvuuden hyödyntäminen vaatii yksityisen avaimen lisäksi sen, että hyökkääjällä on pääsy laitteiden hallintaliittymään.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Verkon aktiivilaitteet

Hyökkäystapa

• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Cisco Web Security Virtual Appliance (WSAv) kaikki versiot
• Cisco Email Security Virtual Appliance (ESAv) kaikki versiot
• Cisco Content Security Management Virtual Appliance (SMAv) kaikki versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitys valmistajan ohjeiden mukaisesti (pdf).

Lisätietoa:

• CVE-2015-4217
• Ciscon tiedote: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150625-ironport
• Ciscon Release Notes ja päivitysohje: http://www.cisco.com/c/dam/en/us/td/docs/security/content_security/virtual_appliances/Release_Notes_for_Content_Security_SSH_Vulnerability_Patch_Jun2015.pdf

Päivityshistoria

26.06.2015 klo 12:58

Ilmaisia päivityksiä tai tietoturvapäivityksiä ei enää julkaista, tekninen- ja sovellustuki lakkaavat. Vanhentunut palvelin saattaa vaarantaa myös siihen liitetyt muut laitteet, palvelut ja käyttäjät.

Microsoft lopettaa tuen heinäkuun 14. päivän jälkeen Windows Server 2003 -käyttöjärjestelmälle. Käytännössä ilmaisia päivityksiä tai tietoturvapäivityksiä ei enää julkaista ja tekninen- sekä sovellustuki lakkaavat. Windows Server 2003 -käyttöjärjestelmä on jo korvattu Windows Server 2008/R2 ja Windows Server 2012/R2 -tuotteilla, ja vanhojen järjestelmien päivittäminen tai alasajo on suositeltavaa. Tämä on tärkeää erityisesti kriittisissä ympäristöissä, tai kohteissa joissa vaaditaan vaatimustenmukaisuutta (compliance).

Käytettävyyden ja kustannusten kannalta on hyvä huomioida että käyttöjärjestelmän tuen loppuminen vaikuttaa usein myös palvelimella ajettavien sovellusten tukeen, päivitysmahdollisuuksiin ja turvallisuuteen. Tästä syystä on hyvä kartoittaa ympäristöt, sovellusten yhteensopivuudet ja riippuvuudet pidemmällä aikavälillä.

Jos järjestelmää aiotaan päivittää uuteen versioon, suositus on tehdä se Windows 2012 Server - tai Windows 2012 R2 -versioon, koska Windows 2008 Server -käyttöjärjestelmän laajempi tuki on loppunut tammikuussa 2015.

Jos Windows Server 2003 -järjestelmien käyttöä on tarve jatkaa, on hyvä huomioida, että vanhentunut palvelin saattaa vaarantaa myös siihen liitetyt muut laitteet, palvelut ja käyttäjät. Tästä syystä vanhentuneet järjestelmät tulisi rajata pois Internetistä. Myös sisäverkoissa yhteydet tulisi rajata molempiin suuntiin minimiin. Vanhentuneet palvelimet on hyvä irrottaa domainista ja/tai riisua näiden domain-roolit pois. Eristäminen on hyvä tehdä myös palvelinten käyttöoikeuksien tasolla. Ajantasaisten virustentorjuntaohjelmistojen ja IDS/IPS-järjestelmien käyttö suojaustason lisäämiseksi on suotavaa.

Lisätietoja:

https://www.microsoft.com/fi-fi/server-cloud/products/windows-server-2003/

http://download.microsoft.com/download/D/8/D/D8D30224-9CE4-444F-AC06-7BAFCEADBC59/Windows_Server_2003_Why_You_Should_Get_Current_IDC_Whitepaper.pdf

https://support.microsoft.com/en-us/lifecycle/search/default.aspx?alpha

Kannattaa lisäksi katsoa Windows XP -tuotetuen päättymistä käsittelevä katsaus (7.3.2014).

Myös vuoden 2014 vuosikatsauksessa käsitellään Windows XP -tuotetuen päättymistä.

Päivityshistoria

26.06.2015 klo 09:43