Kaukana ovat päivät, kun tietoturvarikollisuus perustui siihen, että valittiin mielenkiintoinen yritys, johon haluttiin iskeä ja sen jälkeen alettiin etsiä keinoa.

Nykyisin etsitään aktiivisesti verkkolaitteiden ja tietojärjestelmien haavoittuvuuksia eli avoimia ovia mihin tahansa yritykseen. Avoin ovi voi löytyä wlan-tukiasemasta, palvelimelta, sähköpostijärjestelmästä tai palomuurista.

Bingo! Haavoittuvuus löytyi. Tieto haavoittuvuudesta julkaistaan verkossa ja tietoturvarikolliset ympäri maailman tarttuvat tilaisuuteen. Automatiikan avulla rikolliset etsivät julkisesta verkosta kaikki ne laitteet ja järjestelmät, joita haavoittuvuus koskee. Kun haavoittuvat laitteet tai järjestelmät on löydetty, rikollisen mahdollisuudet ovat, jos ei nyt rajattomat, niin ainakin monipuoliset. Lukitaanko järjestelmiä, julkaistaanko tietoa verkkoon vai käytetäänkö laitteita palvelunestohyökkäyksiin?

Myös Kyberturvallisuuskeskus on varoittanut toimintatavasta: kun haavoittuvuus tulee julki, haavoittuvia laitteita ja järjestelmiä aletaan heti etsiä aktiivisesti rikollisten toimesta (1).

Esimerkkien kautta eteenpäin – kohteena Citrixin ADC ja  Microsoftin Exchange

Ongelman vakavuudesta kertoo parhaiten kaksi esimerkkiä: Citrixin ADC-järjestelmän haavoittuvuus 2019 ja Microsoftin Exchange-haavoittuvuus 2021.

Tapauksia yhdistää useampikin tekijä:

  • Haavoittuvuutta alettiin hyödyntää nopeasti haavoittuvuuden julkistamisen jälkeen.
  • Haavoittuvuus mahdollisti ohjelmakoodin ajamisen yrityksen järjestelmässä ja hyökkäyksen jatkamisen syvemmälle yrityksen verkkoon.
  • Hyväksikäyttö tehtiin automaattisin työkaluin.

Olivatko esimerkkijärjestelmien käyttäjät täysin turvattomia? Eivät tietenkään.

Kun tieto haavoittuvuudesta tulee julki, järjestelmien tekijät pyrkivät korjaamaan haavoittuvuuden ja julkaisemaan päivityksen mahdollisimman nopeasti. Näin toimivat myös Citrix ja Microsoft. Tästä muodostuu kuitenkin monen yrityksen tietoturvan Akilleen kantapää: päivitysten asentamisen pitää tapahtua heti.

Aikaa päivitysten kanssa jahkailuun on tasan ei yhtään

Tapausesimerkit kertovat parhaiten, minkä verran aikaa on hukattavaksi.

  • 17.12.2019 Citrixin ADC:ssa julkaisiin haavoittuvuus (2). Korjaava päivitys julkaistiin karkeasti viikkoa myöhemmin.
  • 10.1.2020 julkaistiin julkinen hyväksikäyttö.
  • 11.1.2020 oli nähtävissä laajamittaista järjestelmien hyväksikäyttöä (3).

2019 reagointiaikaa oli noin kaksi viikkoa, välissä juhlapyhät.

Microsoftin Exchange-haavoittuvuus 3.3.2021 eteni huomattavasti dramaattisemmin.

  • 2.3.2021 Exchange-haavoittuvuus julkaistiin.
  • 3.3.2021 Kybertuvallisuuskeskus antoi kriittisen varoituksen (4).
  • 4.3.–5.3.2021 Hyökkäyksien määrä kasvoi.
  • 6.3.2021 Merkkejä laajamittaisista murroista (5) kymmeniin tuhansiin haavoittuviin järjestelmiin.

Reagointiaikaa hälytyksestä laajamittaiseen hyväksikäyttöön oli enää muutamia päiviä.

Yhteistä näille tapauksille on myös se, että päivityksen tekeminen hyväksikäytön jälkeen ei enää välttämättä puhdistanut järjestelmää, vaan jätti oven avoimeksi hyökkääjälle murtautua eteenpäin.

Mitä pitäisi siis tehdä?

Ottaa käyttöön samat työkalut kuin rikollisilla: automatiikka ja haavoittuvuuksien etsiminen. Aiemmassa blogitekstissä kerronkin, että automaattiset päivitykset pelastavat monelta harmilta. Haavoittuvuuskartoitukset taas antavat kattavan kuvan verkon haavoittuvuuksista.

Molemmat esimerkkitapaukset kertovat karua kieltään myös siitä, ettei palomuuri suojannut järjestelmiä. Kun palomuurin ohittaa, se ei ota enää kantaa sen takana tapahtuviin asioihin. Tällöin ainoa tapa havaita hyökkäyksiä on käyttäytymiseen perustuva havainnointi, joka onkin jo ihan eri blogitekstin paikka.

Heräsikö kysymyksiä?

Me olemme täällä varmistamassa, että te saatte tehdä työnne rauhassa. Tapaamme sanoa myös, että meidän kanssamme asioidessa toimitusjohtajanne saa nukkua yönsä rauhassa. Varaa siis Wiisas vartti ja käydään läpi, miten voimme olla avuksi.

Lähteet:
(1) https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/publication/Tietoturvan-vuosi-2020__WEB_aukeamat.pdf
(2) https://support.citrix.com/article/CTX267027
(3) https://www.fireeye.com/blog/products-and-services/2020/01/rough-patch-promise-it-will-be-200-ok.html
(4) https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_7/21
(5) https://www.msspalert.com/cybersecurity-news/microsoft-exchange-hafnium-attack-timeline/

Tuomas Karhula

Kaipaatko lisätietoa aiheesta? Ota yhteyttä!

Tietoturva-syöte