Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Tietoturva Nyt!

Tällä viikolla kertaamme Microsoft 365 -tilien tietomurtoaallon tilannetta, sekä kerromme tietomurtojen aallosta haavoittuvissa Ciscon verkkolaitteissa. Lisäksi muistutamme, että Tietoturva 2023 -seminaarin sekä Ketjutonttu-kampanjan tuloskatsauswebinaarin tallenteet ja aineistot ovat saatavilla verkkosivuillamme.

TLP:CLEAR

Tällä viikolla katsauksessa käsiteltäviä asioita

  • Satoja murrettuja sähköpostitilejä
  • Tietoturva 2023 -seminaarissa katsottiin tietoturvan tulevaisuuteen
  • Ketjutonttu-kampanjan loppuraportti ja tuloskatsauswebinaarin tallenne julkaistu
  • Tietomurtojen aalto haavoittuvissa Ciscon verkkolaitteissa
  • Haavoittuvuudet

Satoja murrettuja sähköpostitilejä

Suomalaisia organisaatioita uhannut laaja tietojenkalasteluaalto on tuottanut satoja uhreja. Kyberturvallisuuskeskus julkaisi kalasteluaallosta vakavan varoituksen 20.10.2023.

Organisaatioiden sähköpostitilejä kaapannut tietojenkalastelukampanja on käyttänyt hyväkseen kaapattujen tilien yhteystietolistoja ja levittänyt kalasteluviestejä organisaatiosta toiseen. Viesteihin on käytetty kaapatuilta tileiltä varastettuja sähköposteja, joita sopivasti muokkaamalla on laadittu uskottavia huijauksia. Muokattuihin posteihin on liitetty linkki kalastelusivulle tai tiedostonjakopalveluun, josta jaetussa liitetiedostossa on ollut linkki kalastelusivulle. Uskottavuutta on pyritty lisäämään myös sekä väärentämällä viestejä turvapostiviestien näköisiksi tai käyttämällä oikeaa organisaation muutenkin käyttämää turvapostipalvelua.

Kyberturvallisuuskeskus julkaisi vakavan varoituksen 20.10.2023

Kyberturvallisuuskeskus on saanut kalastelukampanjasta lukuisia ilmoituksia. Havaintojen perusteella keskus on ollut yhteydessä kymmeniin organisaatioihin ja tietomurtojen etenemisketjuja on kartoitettu. Kiitos kaikille ilmoittajille! Ilmoitukset tuottavat arvokasta tilannekuvaa, jonka avulla voidaan oppia tunnistamaan ja torjumaan haitallista liikennettä.

Tietojenkalastelukampanja on tuottanut suuren määrän uhreja siitäkin syystä, että samalla kun väärennetty kirjautumissivu kalastelee salasanan, se kalastelee myös kaksivaiheisen tunnistautumisen koodin.

Kaikkia organisaatiota, jotka ovat havainneet kalasteluliikennettä, kehotetaan tarkistamaan, onko sähköpostiin tehty hiljattain uusia ohjaussääntöjä. Kaikki murretut sähköpostitilit eivät välttämättä paljastu murretuiksi heti, joten murretuksi tiedettyjen lisäksi on syytä tarkistaa organisaation kaikki tilit, katkaista avoimet istunnot, vaihtaa salasanat ja tarkistaa, onko tileihin liitetty uusia MFA-laitteita.

Miksi julkaisemme varoituksia?

  • Varoituksia julkaistaan merkittävistä tietoturvapoikkeamista ja ne on tarkoitettu kaikille aiheesta kiinnostuneille.
  • Kyberturvallisuuskeskus julkaisee keskimäärin 1-5 varoitusta vuodessa.
  • Keltainen varoitus julkaistaan vakavasta vaarasta, josta on tarpeen tiedottaa laajalti.
  • Varoitus on voimassa toistaiseksi. Tiedotamme uudestaan, kun varoitus poistetaan.

Tietoturva 2023 -seminaarissa katsottiin tietoturvan tulevaisuuteen

Tietoturva 2023 -seminaari pidettiin torstaina 12.10.2023 Helsingissä ja verkossa. Seminaarin teemana oli tänä vuonna kyberturvallisuuden ja -uhkien tulevaisuus. Erityisesti tekoäly ja toimitusketjut nousivat puheeksi monessa eri puheenvuorossa.

Seminaarin yhteenveto ja kooste esityksistä on nyt julkaistu Traficomin sivuilla  

Julkaisimme lisäksi Tietoturva Nyt! -artikkelin (Ulkoinen linkki), jossa kertaamme seminaarin keskeistä antia. Artikkelista voi käydä kertaamassa, miten toimitusketjut turvataan, miten tekoälyä voi käyttää turvallisesti ja tehokkaasti, ja mikä on yhteistyön merkitys kyberturvallisuudelle.

Ketjutonttu-kampanjan loppuraportti ja tuloskatsauswebinaarin tallenne julkaistu

Ketjutonttu oli Huoltovarmuuskeskuksen rahoittama ja Badrap Oy:n toimittama Kyberturvallisuuskeskuksen kampanja. Ketjutontun tarkoituksena oli auttaa suomalaisia yrityksiä ja niiden toimittajia tunnistamaan keskinäisriippuvuuksia sekä hallitsemaan toimitusketjuihin liittyviä kyberriskejä. Kampanjaan osallistuvien organisaatioiden toimittajat saivat maksuttoman, avoimiin tietolähteisiin perustuvan tietoturvan tarkastuksen. Tämän lisäksi toimittajat saivat apua korjausten tekemiseen.

Ketjutonttu-kampanjan tuloskatsauswebinaari pidettiin 5.10.2023. 
Tilaisuuden tallenne sekä kampanjan loppuraportti on nyt julkaistu verkkosivuillamme .

Tietomurtojen aalto haavoittuvissa Ciscon verkkolaitteissa

Kriittinen haavoittuvuus Cisco IOS XE -ohjelmistossa on mahdollistanut kansainvälisen tietomurtojen aallon. Haavoittuvuutta on mahdollista hyödyntää, jos haavoittuvan laitteen käyttöliittymä (Web GUI) on avoin julkiseen Internetiin. Ciscon Talos-tiimin mukaan murretuilla laitteilla tunnistettiin takaovena toimiva haittaohjelma sekä ylimääräisiä käyttäjiä. Tapaukseen ei ole liitetty tunnettua kyberuhkatoimijaa, mutta Taloksen mukaan laitteissa havaittujen haittaohjelmien taustalla on sama toimija.

Verkkoon näkyviä laitteita murrettiin nopeasti

Maanantaina 16. lokakuuta Ciscon Talos-ryhmä kertoi käynnissä olevasta tietomurtokampanjasta, jossa hyödynnetään nollapäivähaavoittuvuutta CVE-2023-20198 Cisco IOS XE -ohjelmiston web-käyttöliittymäkomponentissa. Lisäksi 20.10. komponentissa tunnistettiin haavoittuvuus CVE-2023-20273, jota on myös hyödynnetty kampanjassa. Ciscon IOS XE on käyttöjärjestelmä, jota käytetään monissa Ciscon verkkolaitteissa, kuten reitittimissä, kytkimissä ja tukiasemissa.

Kansainvälisesti on tunnistettu kymmeniä tuhansia haavoittuvuudelle alttiita laitteita, joista moniin oli asennettu takaovena toimiva haittaohjelma. Ciscon haavoittuvuutta korjaavia päivityksiä alettiin julkaista 22.10. alkaen. Haavoittuvuuden hyödyntämistä voi rajoittaa sallimalla Cisco IOS XE web-käyttöliittymäkomponenttiin pääsyn vain luotetuista verkoista tai poistamalla sen näkyvyyden julkiseen Internetiin.

Haavoittuvuutta hyödyntämällä hyökkääjä voi luoda kohdelaitteeseen käyttäjätilin, jolla on täydet järjestelmänvalvojan oikeudet. Tämä mahdollistaa hyökkääjälle laitejärjestelmän täydellisen haltuunoton. Tämän jälkeen kohteisiin voidaan asentaa takaovena toimiva haittaohjelma.

Kyberturvallisuuskeskus muistuttaa verkkolaitteiden suojaamisesta

Kyberturvallisuuskeskus julkaisi Cisco IOS XE -haavoittuvuuksista haavatiedotteen ja varoitti Suomessa sijaitsevien haavoittuvien laitteiden omistajia tilanteesta. Suomessa havaittujen Cisco IOS XE -ohjelmiston sisältämien laitteiden lukumäärä tippui alustavasta noin 40 laitteesta alle 20 laitteeseen. Osa havaituista laitteista on sisältänyt takaovena toimivan haittaohjelman.

Verkkolaitteiden ylläpitäjien tulee ottaa huomioon tarpeettomasti julkiseen Internetiin näkyvät palvelut ja suojata laitteet myös jatkossa erilaisten verkkohyökkäysten estämiseksi.

Lue lisää:

Haavoittuvuudet

CVE: CVE-2023-34048
CVSS: 9.8
Mikä: Kriittinen haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen etäyhteyden avulla
Tuote: WMware vCenter Server
Korjaus: Korjausta ei ole vielä saatavilla

Tutustu Viikkokatsaukseen

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 20.10.-26.10.2023). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.