Marraskuu

13.11.2007

Remote File Inclusion -haavoittuvuuksien hyväksikäyttöyrityksiä raportoitu

CERT-FI on vastaanottanut raportteja www-palvelimiin kohdistuneista Remote File Inclusion -hyväksikäyttöyrityksistä. Onnistuineita hyväksikäyttöjä ei ole raportoitu.

Remote File Inclusion -hyökkäyksissä pyritään hyväksikäyttämään www-sovelluksien syötteen tarkastukseen liittyviä haavoittuvuuksia ja suorittamaan kohteena olevalla palvelimella hyökkääjän omia komentoskriptejä. Hyökkäysyrityksiä tekevät usein toiset kaapatut palvelimet ja ne kohdistuvat satunnaisesti valittuihin www-palvelimiin. Www-palveluiden ylläpitäjiä kehotetaan tarkastamaan palveluidensa lokit ja sovellusten konfiguraatio tapausten varalta. Www-palvelinten lokeja on suositeltavaa tutkia muutenkin ajoittain, jotta ylläpitäjällä pysyisi riittävän tarkka kuva hänen palveluunsa kohdistuvista ja liikkeellä olevista hyväksikäyttöyrityksistä.

13.11.2007

Uusia hyökkäystapoja käytetty suomalaisia palvelimia kohtaan

Viime viikkoina suomalaisissa verkoissa on havaittu aikaisemmin harvoin esiintyneitä iframe- ja HTTP-uudelleenohjaus -pohjaisia hyökkäyksiä.

iframe on HTML-sisältöelementti, jonka avulla osa tietyn verkkosivun sisällöstä voidaan palvella toiselta palvelimelta. Kyseisen tekniikan avulla voidaan tehdä koostesivuja useiden palvelujen sisällöistä. Tällöin verkkosivun sisällön eheys riippuu kuitenkin kaikkien sisältöä tarjoavien palvelimien tietoturvasta. iframe-pohjaiset hyökkäykset perustuvat joko vihamielisten iframe-elementtien lisäämiseen murretulle verkkosivustolle, tai olemassa olevien iframe-elementtien muuttamiseen vihamielisiksi. Tekniikkaa on käytetty useissa maailmanlaajuisissa hyökkäyskampanjoissa.

HTTP-uudelleenohjauksia käytetään ohjaamaan selain uudelle sivulle esimerkiksi sivuston uudelleen nimeämisen tai siirron yhteydessä. Viime viikkoina tätä tekniikkaa on käytetty tietomurtojen yhteydessä siten, että sivusto uudelleenohjaa hakukoneen kautta tulevat kyselyt hyökkääjän haluamalle sivustolle. Tällöin sivuston ylläpidon on hankalampaa huomata tietomurto ajoissa. Tätä click-through cloacking:iksi tekniikkaa on tiettävästi käytetty ainakin vuoden ajan.

13.11.2007

Oracle-haavoittuvuuteen olemassa julkinen hyväksikäyttömenetelmä

Viime viikolla julkaistuun ja tällä hetkellä ilman korjausta olevaan Oracle-haavoittuvuuteen on olemassa julkinen hyväksikäytömenetelmä.

Kyseinen haavoittuvuus saattaa antaa haavoittuvaa Oracle-tietokantasovellusta käyttävälle palvelimelle kirjautuneelle käyttäjälle mahdollisuuden suorittaa palvelimella omaa ohjelmakoodiaan. CERT-FI seuraa tilannetta, ja mikäli haavoittuvuude laajaa hyväksikäyttöä esiintyy, tullaan asiasta julkaisemaan varoitus.

09.11.2007

RBN-ryhmittymä vaihtamassa verkko-osoitteitaan

Nimet RBN tai Russian Business Network yhdistetään tietoturvapiireissä ryhmittymään, joka on ylläpitänyt huomattavaa joukkoa Internet-verkkoon haitallisesti vaikuttavia palveluita. RBN-organisaatioon liittyvät verkkoavaruudet näyttivät terminoituvan Pietarin alueelle. RBN-verkot on yleisesti tunnettu haittaohjelmien levityspalvelimien, phishing-hyökkäyksissä käytettyjen verkkopalveluiden käyttäjätunnusten keruupalvelimien ja useiden botnet-verkkojen komentopalvelimien alustana. CERT-FI on seurannut RBN-ilmiötä tiiviisti keväästä 2006 alkaen.

Tämän viikon tiistaina 6.11. noin kello 23.06 Suomen aikaa RBN:n käyttämät verkkoavaruudet katosivat verkosta. Verkkoavaruudet katosivat hetkellisesti jo viikkoa aikaisemmin, mutta nyt muutos vaikuttaa pysyvämmältä.

Eilen illalla havaittiin ensimmäiset merkit mahdollisesta uudesta RBN-ryhmittymän verkkosijainnista. Osoiteavaruudet viittavat Aasiaan, mutta WHOIS-tietojen paikkansapitävyydestä tässä yhteydessä ei voi olla mitenkään varma.

Suomessa on organisaatioita, jotka ovat suodattaneet omasta Internet-liittymästään RBN-verkkoavaruuksiin kohdistuvan liikenteen. Suodattimet on nyt syytä päivittää ja seurata tilannetta tiiviisti mahdollisten uusien verkkomuutosten varalta.

Lähtökohtaisesti kyseisiin osoiteavaruuksiin kohdistuvaa liikennettä voidaan pitää haitallisena erittäin suurella todennäköisyydellä.