tammikuu 17, 2017 |

Uusia haavoittuvuuksia verkkotallennusjärjestelmän laiteohjelmistossa – käyttäjät altistuvat suurille vahingoille

F-Securen tutkijat ovat löytäneet QNAP Systemsin NAS-verkkotallennusjärjestelmästä kolme haavoittuvuutta, joita hyödyntämällä hyökkääjät voivat ottaa tallennuslaitteet hallintaansa ja varastaa tietoja sekä salasanoja. Haavoittuvuuksia voi olla miljoonissa käytössä olevissa laitteissa. Löydös jatkaa huolestuttavaa trendiä: turvattomat laitteet altistavat käyttäjät verkkouhkille. F-Securen tutkijat löysivät viat tutkiessaan QNAPin TVS-663 NAS-laitetta. Tarkastelussa selvisi, että hyökkääjät voivat käyttää laitteen laiteohjelmiston (firmware) päivityksessä […]

F-Securen tutkijat ovat löytäneet QNAP Systemsin NAS-verkkotallennusjärjestelmästä kolme haavoittuvuutta, joita hyödyntämällä hyökkääjät voivat ottaa tallennuslaitteet hallintaansa ja varastaa tietoja sekä salasanoja. Haavoittuvuuksia voi olla miljoonissa käytössä olevissa laitteissa. Löydös jatkaa huolestuttavaa trendiä: turvattomat laitteet altistavat käyttäjät verkkouhkille.

F-Securen tutkijat löysivät viat tutkiessaan QNAPin TVS-663 NAS-laitetta. Tarkastelussa selvisi, että hyökkääjät voivat käyttää laitteen laiteohjelmiston (firmware) päivityksessä olevaa haavoittuvuutta ja saada laitteen hallintaoikeudet. Näin hyökkääjät saavat samat käyttöoikeudet kuin oikeat pääkäyttäjät, jolloin he voivat asentaa haittaohjelmia, hakea dataa, varastaa salasanoja ja jopa suorittaa komentoja.

F-Securen vanhempi kyberturvallisuuskonsultti Harry Sintonen toteutti proof of concept -hyökkäyksen vahvistaakseen, että kyseisiä haavoittuvuuksia voidaan hyödyntää.

”Monet näistä haavoittuvuuksista eivät ole vakavia yksinään, mutta kun ne yhdistetään, uhkasta voi tulla valtava. Menestyksekkäät hakkerit ymmärtävät, että pienistäkin tietoturvaerehdyksistä voi sopivalla tiedolla ja taidolla tulla suuria mahdollisuuksia”, Sintonen sanoo.

Sintosen proof-of-concept alkaa, kun laite lähettää QNAPille salaamattomia pyyntöjä laiteohjelmiston päivittämiseksi. Salauksen puuttumisen ansiosta mahdolliset hyökkääjät voivat siepata ja muokata vastausta pyyntöön. Sintonen hyödynsi tätä heikkoutta lähettämällä laitteelle laiteohjelmiston valepäivityksen, jonka laite yrittää asentaa automaattisesti. Vaikka valepäivitys ei itse asiassa asennu, se vaarantaa koko järjestelmän tietoturvan.

Sintosen mukaan datan varastaminen tai muokkaaminen on pientä verrattuna hyökkääjän kykyyn hyödyntää haavoittuvuuksia samalla tavalla kuin hän teki omassa hyökkäyksessään.

”Laitteelle tarvitsee vain kertoa, että sen laiteohjelmistosta on saatavilla uusi versio. Koska päivityspyyntöä ei ole salattu, se ei ole edes kovin vaikeaa. Sen jälkeen hyökkääjä voi käytännössä tehdä mitä haluaa.”

Vaikka Sintosen tutkimus koski vain QNAPin TVS-663-laitetta, hän epäilee, että samaa laiteohjelmistoa käyttävissä malleissa on samoja ongelmia.

“Löysimme 1,4 miljoonaa laitetta tutkimalla tällä hetkellä käytössä olevia laiteohjelmistoversioita. Koska monet eivät koskaan päivitä laiteohjelmistojaan, oikea luku voi olla vielä huomattavasti suurempi, ehkä miljoonia”, Sintonen sanoo.

 

Neuvoja laitteiden käyttäjille

F-Secure ilmoitti QNAPille ongelmista helmikuussa 2016. F-Securen tutkijat eivät ole tähän mennessä saaneet tietoonsa, että QNAPilta olisi saatavissa korjauksia ongelmaan. Siksi laitteista ei voida poistaa haavoittuvuuksia pysyvästi.

F-Securen kyberturvallisuusasiantuntija Janne Kauhasen mukaan tilanteessa on hyväkin puoli.

”Tällaiset ongelmat ovat valitettavasti hyvinkin yleisiä internetiin yhdistetyissä laitteissa, eli ostamme kaikki jatkuvasti tuotteita, joissa näitä turvallisuusongelmia esiintyy. Tässä tapauksessa hyökkääjien on ensin kuitenkin päästävä päivityspalvelimen ja käyttäjän väliin. Tämä ylimääräinen vaihe saa monet heikkotaitoiset, eteensä tulevia tilanteita hyödyntävät hyökkääjät luopumaan ajatuksesta”, Kauhanen sanoo.

”Mutta olemme nähneet tapauksia, joissa motivoituneet hyökkääjät ovat käyttäneet hyväksi vastaavia turvallisuusongelmia tiedustelutarkoituksissa valmistellessaan kalastelukampanjaa tai kätkeäkseen läsnäolonsa verkoissa. He voivat siis silti tehdä pahoja tuhoja.”

Laitteiden käyttäjät voivat pysyvää korjausta odotellessaan suojautua itse. Kaikkien QNAPin TVS-663-laitetta tai muita samaa laiteohjelmistoa (QTS-laiteohjelmisto 4.2 tai uudempi versio) hyödyntävää laitetta käyttävien kannattaa ottaa automaattinen päivitysten tarkastaminen pois päältä. Päivityksiä voi hakea turvallisista lähteistä manuaalisesti.

Valmistaja ja viranomaiset ovat saaneet tiedon näistä haavoittuvuuksista jo aiemmin.

 

F-Secure lyhyesti
F-Secure on eurooppalainen kyberturvallisuusyhtiö, jolla on kymmenien vuosien kokemus yritysten ja kuluttajien suojaamisesta tartuntoja aiheuttavia kiristysohjelmia ja kehittyneitä kyberhyökkäyksiä vastaan. F-Securen laaja palvelukokonaisuus ja palkitut tuotteet käyttävät patentoituja tietoturvainnovaatioita ja sofistikoitunutta uhkatietoa suojatakseen tuhansia yrityksiä ja miljoonia kuluttaja-asiakkaita. F-Securen tuotteita myy maailmanlaajuisesti yli 200 operaattoria ja tuhannet jälleenmyyjät.

Vuonna 1988 perustettu F-Secure on listattu NASDAQ OMX Helsinki Ltd:ssä.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

 

Mediayhteydenotot:
Petra Ranta
PR Manager, Nordics
+358 40 648 4675
petra.ranta@f-secure.com

Uusimmat tapahtumat
Lehdistöarkistot
Valitse vuosi

Uusimmat lehdistötiedotteet

huhtikuu 6, 2018

Tänä vuonna kuluttajat voivat murskata kiristysohjelmat

F-Securen SAFE -ohjelmiston uudet ominaisuudet kiristysohjelmien torjumiseen julkistetaan juuri, kun kuluttajat saavat mahdollisuuden tuhota miljarditappiot aiheuttaneen uhan. Kuluttajilla on viimein mahdollisuus päästä miljardeja dollareita ryövänneiden kiristysohjelmarikollisjengien niskan päälle. F-Securen SAFE -ohjelmisto PC–tietokoneille on suojannut käyttäjiä kiristysohjelmilta tehokkaasti DeepGuard-teknologialla. Nyt teknologiaa on parannettu entisestään, jotta se voi auttaa ihmisiä murskaamaan kiristysohjelmien uhan. Kiristysohjelmat ovat ottaneet jo […]

maaliskuu 19, 2018

F-Securen uusi kumppanivetoinen palvelu auttaa pysäyttämään kyberhyökkäykset globaalisti

F-Securen kanavakumppaneilla on nyt merkittäviä uusia palvelumahdollisuuksia suojata asiakkaitaan kohdistetuilta ja tiedostottomilta hyökkäyksiltä huippuluokan automatisoidulla päätelaitteiden hälytysjärjestelmällä. Helsinki, 19.3.2018 – Joka puolilla maailmaa yrityksiin kohdistuu kohdistettuja ja tiedostottomia hyökkäyksiä ( fileless attacks). Näihin uhkiin vastaamiseksi tarvitaan uudenlaisia palveluja. Kyberturva-asiantuntija F-Secure vastaa tarpeeseen uudella täysin automatisoidulla päätelaitteiden hälytysjärjestelmällä (EDR), jota yhtiö tarjoaa palveluna kasvavan kanavakumppaniverkostonsa kautta. […]

maaliskuu 16, 2018

F-Securen ilmailun kyberturvapalvelut lähtivät lentoon

F-Securen palvelu yhdistää ilmailun ja kyberturvallisuuden asiantuntemuksen suojatakseen lentoyhtiöiden tärkeintä omaisuutta. Helsinki, 16.3.2018: Ilmailualalla luottamus on kaikki kaikessa. Pienikin kyberhyökkäys esimerkiksi lentokoneen matkustamon viihdejärjestelmässä saattaa heikentää lentoyhtiön tai jopa koko ilmailualan luotettavuutta. Siksi kyberturvallisuusyhtiö F-Secure on lanseerannut Aviation Cyber Security Services -tuotteen, joka on suunniteltu auttamaan lentoyhtiöitä ja muita ilmailualan organisaatioita suojelemaan lentokoneita, infrastruktuuria, dataa […]

helmikuu 22, 2018

Poikkeavien tapahtumien tunnistaminen ja sähköpostihyökkäykset aiheuttavat yhä päänsärkyä yrityksille

Sähköposti on heikoin lenkki yritysten turvallisuusjärjestelmässä F-Securen uuden Incident Response -raportin mukaan. Yritysten on vaikeaa havaita turvallisuuteen liittyviä poikkeamia nopeasti ja tarkasti.   Helsinki, 22.2.2018: Yli kolmasosa kaikista tietoturvaan liittyvistä poikkeavista tapahtumista alkaa sähköpostissa tulevalla tietojenkalastelulla tai liitteisiin piilotetulla haittaohjelmalla. F-Secure kertoo yritysten uhkanäkymästä tänään julkaisemassaan uudessa Incident Response -raportissa. Se kokoaa havaintoja F-Securen tutkimista […]

%d bloggers like this: