Näillä 30 haavoittuvuudella kriittiseen infraan hyökätään

Juha-Matti Laurio

Toukokuu 5, 2015 at 02:30

Joukko tietoturvaviranomaisia on julkaissut listan yleisimmistä haavoittuvuuksista, joita käytetään hyökkäyksissä kriittiseen infrastruktuuriin kuuluvia organisaatioita vastaan.

Listan on julkaissut varoituksen muodossa Yhdysvaltain CERT-viranomainen US-CERT, ks. Top 30 Targeted High Risk Vulnerabilities. Kooste perustuu Kanadan Canadian Cyber Incident Response Centre -keskuksen eli CCIRC:n tekemään analyysiin ja se on laadittu yhteistyössä brittiläisten, uusiseelantilaisten ja kanadalaisten kumppanien sekä australiaisen Australian Cyber Security Centre -keskuksen kanssa.

Haavoittuvuuksia on kaikkiaan 30 kappaletta ja ne kuuluuvat seuraavien ohjelmistovalmistajien tuotteisiin: Microsoft, Adobe, Oracle ja OpenSSL. Mukaan on otettu ainoastaan korkean riskitason (High Risk) haavoittuvuuksia.

Puhtaista Windows-haavoittuvuuksista listalle on päässyt OLE-toiminnallisuudessa ollut haavoittuvuus (Microsoftin bulletiini MS14-060, CVE-tunnus CVE-2014-4114). Tietoturvauutisia seuraavat saattavat muistaa että kyseessä oli nollapäivähaavoittuvuus ja sitä käytettiin Sandworm-hyökkäyksissä kuukausia ja myös SCADA-järjestelmiä oli kohteena. Eri-ikäisten Internet Explorerin ja Microsoft Office -paketin haavoittuvuuksien osuus listalla on suuri ja juuri nämä ohjelmistot ovat otollisia kohteita päästä kriittisen infraan kuuluvan kohteen sisäverkkoon.

Adoben tuotteista löydettyjä haavoittuvuuksia listaan sisältyy viiden vuoden takaiseen Adobe Reader -tietoturvapäivitykseen (tietoturvabulletiini APSB10-02) saakka. Samana vuonna korjattua Adobe Reader 9- ja 8-versioita koskevaa haavoittuvuutta (CVE-2010-2883) oli hyväksikäytetty jo ennen päivityksen julkaisua. Vaikka listalla on Flashin haavoittuvuus viime lokakuulta ovat muut Flash-haavoittuvuudet yli neljä vuotta sitten korjattuja.

Oraclen tuotteista mukana ovat kesäkuun päivityspaketteihin vuosilta 2013 ja 2012 sisältyvät JRE- ja Java Development Kit -haavoittuvuudet ja JRE:n (Java Runtime Environment) haavoittuvuudet. Näistä perustyöasemasta usein löytyvää Javaa koskeva haavoittuvuus CVE-tunnuksella CVE-2013-2465 on vakavuusluokitukseltaan CVSS-asteikolla korkein mahdollinen, 10,0.

OpenSSL-kirjaston Heartbleed-haavoittuvuuden päätyminen listalle ei ole yllätys sen huomattavan levinneisyyden takia. Tämä katsaus kuitenkin todistaa, että Heartbleediä on käytetty kriittiseen infrastruktuuriin kohdistetuissa hyökkäyksissä otokseen kuuluvissa maissa.

Myös sisäverkon päivityksiin huomiota

Heartbleedin (CVE-2014-0160) löytyminen listalta kertoo karua kieltään siitä, että maailman johtavien valtioidenkin kriittiseen infraan kuuluu kohteita, joita ei viime vuoden huhtikuun Heartbleed-julkistuksen jälkeen ole vieläkään päivitetty.

Tutkittujen hyökkäyksien otos antaa ymmärtää että hyökkäyksissä haavoittuvuuksia on käytetty niputettuna. Hyökkääjän päästessä ulkoverkon rajalta organisaation sisäverkkoon ovat sisäverkot päivittämättömät tietokantapalvelimet ja loppukäyttäjien työasemat mahdollistaneet esimerkiksi haittaohjelman istuttamisen organisaation tietoverkkoon.

Hihat ylös ja toimeksi

Varoitus esittää suojautumiskeinoksi seuraavia neljää toimenpidettä:

1. Käytä whitelisting-käytäntöjä estääksesi vihamielisten ja hyväksymättömien ohjelmien ajamisen organisaatiossasi
2. Päivitä ohjelmistot uusimpiin versioihin – esimerkiksi Java, Flash, PDF-lukijat, selaimet ja Office-ohjelmistot
3. Päivitä käyttöjärjestelmää koskevat haavoittuvuudet
4. Rajoita käyttöjärjestelmän ja sovellusten ylläpito-oikeuksia käyttäjien työtehtäviin perustuen

Kohtiin 2 ja 3 panostamalla voidaan hyökkäyspinta-alaa merkittävästi pienentää. Nollapäivähaavoittuvuuksien takia listalle on hyvä lisätä Microsoft-ympäristössä vielä EMET-ohjelmiston kaltainen ratkaisu.

Kuten varoitus kyseisten 30 haavoittuvuuden päivittämisestä toteaa:

Executives should ensure their organization’s information security professionals have patched the following software vulnerabilities.

Johdon tulee varmistaa että haavoittuvuudet on IT-henkilöstön toimesta todellakin korjattu. Haavoittuvuuksienhallintapalvelu on tässä oiva työkalu.