Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Verkon reunalaitteiden riskit ovat merkittävä uhka organisaatioille

Tietoturva Nyt!

Julkaistu

Reunalaitteiden näkyminen ja avoimuus internetiin avaa paljon hyökkäyspintaa pahantahtoisille toimijoille. Haavoittuvuudet sekä virheet konfiguraatiossa ovat kirjautumistunnusten vuotamisen ohella merkittävimmät murrolle altistavat tekijät.

Julkaisimme vuoden 2024 alussa verkon reunalaitteista Tietoturva nyt! -artikkelin , jossa kiinnitimme huomiota verkon reunalaitteiden tietoturvariskeihin. Aihe on edelleen ajankohtainen, sillä kuluneen tammikuun aikana sekä Ivanti, Fortinet että SonicWall ovat tiedottaneet tuotteidensa vakavista haavoittuvuuksista.

Osa haavoittuvuuksista on ollut hyökkääjien käytössä jo ennen kuin tuotteiden omistajat ovat saaneet tiedon haavoittuvuuksista. Kaikkia haavoittuvuuksia on hyväksikäytetty aktiivisesti, ja Kyberturvallisuuskeskuksella on tiedossa useita kymmeniä Ivanti- ja Fortinet-laitteisiin liittyviä tietomurtoja. Olemme tutkineet useita tapauksia ja avustaneet murron uhreiksi joutuneita organisaatioita.

Kahden haavoittuvuuden hyväksikäyttö voitiin kokonaan estää rajoittamalla hallintakäyttöliittymän näkyvyyttä julkisista verkoista. Vuosittain tietoomme tuleekin merkittäviä tapauksia, joissa virheellinen konfiguraatio johtaa murtoon: esimerkiksi auki unohtuneet vanhat tai tilapäiset ylläpitotunnukset paljastuvat tai hyökkääjä arvaa ne ja pääsee sisään.

Tee nämä asiat nyt, jotta olet paremmin suojassa

  1. Poista verkon reunalaitteiden hallintapaneelit ja muut käyttöliittymät näkyvistä internetistä.
  2. Pidä laitteet aina päivitettyinä ja valvo niiden toimintaa.
  3. Muista monivaiheinen tunnistautuminen myös VPN-kirjautumisessa.

Mitä ovat reunalaitteet?

Verkon reunalaitteilla tarkoitetaan henkilön tai organisaation oman verkon ja julkisen internetin välissä toimivia liikennettä välittäviä laitteita, kuten VPN-yhdyskäytäviä, palomuurilaitteita ja reitittimiä.

Reunalaitteet toimivat portinvartijoina sisään tulevalle ja ulosmenevälle verkkoliikenteelle, mikä tekee niistä erittäin kriittisiä. Monissa organisaatioissa on edelleen käytössä yksinkertainen jako suojattuun "sisäverkkoon" ja internetin "ulkoverkkoon". Niiden välisen pisteen murtamalla hyökkääjä saa suoran pääsyn sisäverkon laitteisiin ja palveluihin, minkä jälkeen hyökkääjä voi tehdä sisäverkossa mitä haluaa. 

Merkittävänä riskiryhmänä reunalaitteissa ovat VPN- ja etenkin ns. SSLVPN-yhdyskäytävät, joiden nimenomainen tehtävä on päästää käyttäjät, esimerkiksi etätyöläiset, sisään ulkoverkosta. Kriittisen luonteensa ja verrattain suuren hyökkäyspintansa vuoksi ne ovat hyökkääjien suosikkeja.

Merkittäviä tapauksia viime vuosilta

Neljä viidestä Kyberturvallisuuskeskuksen tänä vuonna julkaisemasta haavatiedotteesta on koskenut VPN-reunalaitteita (Ivanti, Fortinet ja SonicWall). Vuonna 2024 haavatiedotteita laadittiin yhteensä 25, joista yhdeksän osuu reunalaitteisiin tai etäkäyttöyhteyksiin.

Kyberturvallisuuskeskusta työllistäneitä VPN-yhdyskäytävän tai reunalaitteen haavoittuvuuden kautta tapahtuneita murtoja viime vuosina:

  • 2025 alussa Ivanti ja Fortinet
  • 2024 alussa Ivanti, keväällä Palo Alto ja Cisco ASA
  • 2023 Fortinet ja Cisco ASA
  • 2021 Pulse Connect Secure (nyk. Ivanti)
  • lisäksi 2024 parikymmentä ilmoitusta Suomessa olevista vaarantuneista SSH-palvelimista.

Kriittiset laitteet vaativat kriittisen kohtelun

  • Varmista, että verkon reunalaitteista ei näy internetiin kuin ehdottomasti tarvittavat palvelut.
  • Laitteiden hallintakäyttöliittymät ja muut hallintarajapinnat on poistettava käytettävistä suoraan julkisesta verkosta ja pääsy niihin on järjestettävä muulla tavalla.
  • Reunalaitteiden kaikissa käyttäjätunnuksissa, niin käyttäjien kuin ylläpitäjien, on syytä olla käytössä monivaiheinen tunnistautuminen.
  • Tunnista kaikkein kriittisimmät ja riskipitoisimmat laitteet ja kiinnitä niiden hallintamalleihin ja -prosesseihin erityistä huomiota tietoturvakäytäntöjä suunniteltaessa.

Kriittisimpien laitteiden toimintaa tulee valvoa erikseen, sillä monet vakavat haavoittuvuudet ovat olleet hyökkääjien tiedossa ennen niiden tuloa julki yleisölle. Epätavallinen toiminta on siis tärkeää tunnistaa myös ilman nimettyä ulkoista uhkaa. Reunalaitteista löytyy hyvin todennäköisesti haavoittuvuuksia myös tulevaisuudessa.

Varmista, että poikkeamat tutkitaan, ja että on mitä tutkia

Jos jotain outoa alkaa omassa verkossa tapahtua, lokit, joista tapahtumia voi selvittää, ovat kullanarvoisia. Murrot voivat tapahtua kuukausia, joskus jopa vuosia ennen kuin ne havaitaan, minkä vuoksi muutaman viikon säilytysaika on lokeille tuskin koskaan riittävä. Näemme jatkuvasti tapauksia, joiden selvittäminen on vaikeaa tai mahdotonta, sillä hyökkääjän toiminnan jäljet ovat hävinneet lokien poistumisen myötä.

Murron tapahduttua poikkeaman kunnollinen tutkiminen ja sen juurisyyn selvittäminen ovat ensiarvoisen tärkeitä. Joissakin tapauksissa kiristyshaittaohjelmahyökkäyksestä selvinnyt organisaatio on joutunut vähän ajan kuluttua uudelleen samanlaisen hyökkäyksen uhriksi. Syynä on ollut se, että vain murron välittömät jäljet siivottiin, mutta hyökkääjien käyttämää haavoittuvuutta tai muuta reittiä sisään ei tukittu.

Haavoittuvuudet, väärin näkyvät hallintapaneelit ja muut ongelmat koskevat myös tavallisia kotiverkkoja

Vaikka tässä artikkelissa on edellä keskitytty erityisesti organisaatioihin ja niiden vaatimiin ratkaisuihin, samat perusasiat koskevat myös kodeissa olevia verkkoja. Niiden osalta reunalaitteita voivat olla muun muassa reitittimet, modeemit, tukiasemat ja esineiden internetin (IoT) laitteet.

Kotiverkkojen tapauksissa yksinkertainen jako suojattuun "sisäverkkoon" ja vihamieliseen "ulkoverkkoon" tarkoittaa, että kotiverkon väärät kytkennät, väärät asetukset tai jopa kokonaan vääränlaiset laitteet voivat helposti paljastaa liikaa kotiverkon laitteista tai niiden sisällöstä ja johtaa tietomurtoon tai -vuotoon.

Laitteiden oikeaan kytkemiseen ja asentamiseen on siis syytä perehtyä ja nähdä hieman vaivaa. Mitä enemmän kotiverkossa on laitteita, sitä tärkeämpää verkon turvallisuus on. Jos asennat verkkoosi esimerkiksi kotiautomaatiota, esineiden internetin laitteita tai NAS-verkkotallennuslaitteita, varmistu verkkosi suojauksesta epämiellyttävien yllätysten, kuten tiedostojen häviämisen, valvontakamerakuvan vuotamisen tai talotekniikan ongelmien välttämiseksi.

Muita tähän ryhmään kuuluvia laitteita ovat esimerkiksi älylukot, kotiautomaatio-ohjaimet, älyvalaistus ja -pistorasiat, etäohjattavat termostaatit, lämmityslaitteet ja muut LVI-järjestelmät, älykodinkoneet sekä etäohjattavat latauslaitteet.

Vaikka kokisit että verkossasi ei ole mitään arvokasta, suojaaminen kannattaa, sillä huonosti suojatut laitteet toimivat pesäpaikkoina verkkorikollisille ja aiheuttavat haittaa muille verkon käyttäjille.

Näin tarkistat kotiverkkosi näkyvyyden internettiin (Kyberturvallisuuskeskuksen viikkokatsaus - 44/2024)
Kotiverkon ja reitittimen tietoturva

Lue lisää

Riskialttiit verkon reunalaitteet aktiivisten murtoyritysten kohteena
Mainitsimme viikkokatsauksessa 2025/03 hallintakäyttöliittymistä ja Fortinet-laitteiden haavoittuvuuksista
Haavoittuvuustiedote 1/2025: SonicWall julkaisi päivityksiä palomuureissa havaittuihin kriittisiin haavoittuvuuksiin
Haavoittuvuustiedote 2/2025: Ivanti Connect Secure -haavoittuvuuden hyväksikäyttöä havaittu
Haavoittuvuustiedote 3/2025: Fortinetin FortiOS ja FortiProxy -tuotteissa kriittinen haavoittuvuus
Haavoittuvuustiedote 5/2025: Sonicwall SMA1000 laitteiden hallintakäyttöliittymässä kriittinen haavoittuvuus