Samba tarkvaras leiti kaugsissemurdmist võimaldav turvaviga

Linux Samba

Autor: CERT-EE

Sel nädalal avalikustati Samba failiserveri kriitiline turvaviga, mis ohustab paljusid asutusi ja organisatsioone. Viga kannab registreerimisnumbrit CVE-2017-7494 ning on 7 aastat vana, mõjutades kõiki Samba failiserveri versioone alates versioonist 3.5.0.

Samba on Linuxi serveri juurde kuuluv programm võrguketaste väljajagamiseks. Ka Eestis kasutatakse Linuxit ja Sambat väga sageli võrguketaste väljajagamiseks Windowsi tööjaamadele. Muuhulgas võib Samba olla kasutuses võrguketaste väljajagamiseks tehnoloogilistele seadmetele, tööpinkidele, meditsiiniseadmetele jne.

Turvaviga CVE-2017-7494 võimaldab mõne mitte ülearu keerulise tingimuse olemasolul tungida kaugelt serverisse ning käivitada selles programme (näiteks programme, mis otsivad serveris järgmisi turvavigu või hakkavad serverit kasutama sillapeana sissemurdmiseks järgmistesse arvutitesse, BitCoini arvutamiseks vms). Kriitilist haavatavust saab ära kasutada vaid ühe koodirea sisestamisega.

Hetkeseisuga on turvavea lappimiseks väljastatud paik, Linuxi administraatorid peaksid selle võimalikult kiiresti paigaldama.

Kes ja miks on haavatavad?

Samba server osutub rünnatavaks, kui Sinu arvutivõrgu installatsioonis esinevad järgmised iseärasused:

    • On teada mingi konto andmed, mille puhul on lubatud võrgukettale kirjutamine – siis saab ründaja sinna üles laadida ründeprogrammi.
    • Katalooginimed on näha või teada, teisisõnu, tegu on kergesti äraarvatavate serveriteekondadega (server paths), näiteks \\FILESERVER\TMP.
    • Lisaks, juhul kui failide ja printerite jagamise port 445 on nähtav ja ligipääsetav ka Internetist, on rünne võimalik kogu maailmast, mitte üksnes sisevõrgust.

Ründe käigus ründaja:

  • arvab ära või saab teada serveri nime ja võrguketta nime (kerge),
  • hangib suvalise kasutajatunnuse ning ühendub mõne võrgukettaga, kuhu tal on kirjutusõigus, seejärel laadib sinna üles ründeprogrammi,
  • käivitab ühe rea koodi, mis – oops! –  võtabki kogu serveri üle. See on eriti ohtlik, kuivõrd platvormist olenevalt võib ründaja kohe saada juurkasutaja (administraatori) õigused.

Kaitsemeetmed

Kõige esmane kaitsemeede on ikka ja alati sama: paigalda värsked uuendused! Praegusel juhul tuleb paigaldada Samba versioonid 4.6.4, 4.5.10 või 4.4.14.

Lisaks tuleb muuta Samba konfiguratsiooni. Lisa sinna parameeter:

nt pipe support = no

NB! Ülalmainitud parameetri muutmine võib mõjutada Windowsi klientide suutlikkust võrguketaste kasutamisel.

Kindlasti kontrolli internetist, kas Sinu kodune kettaserver (nt Synology) vajab samuti uuendamist.

Synology DiskStation DS213 plus

Allikad

Kas tahad nutta?

Autor: CERT-EE

Reede õhtul hakkasid üle maailma laekuma teated laiaulatuslikest korporatiivsetest lunavaraga nakatumistest.

Ühendkuningriigi Terviseamet (NHS – National Health Service) on ametlikult kinnitanud 16 haigla nakatumisest lunavaraga, mille tõttu on oluliselt häiritud haiglate töö. Samuti on pihta saanud Hispaania suurim sideoperaator Telefonica ning Venemaa sideoperaator Megafon. Lisaks on lunavaraga nakatunud Hispaania elektriettevõte Iberdrola ja Hispaania Gas Natural ning autotootjad Renault ja Nissan on nakatumise tõttu peatanud töö mitmes tehases.

Üle maailma levib nutvaajava kiiruse ja efektiivsusega oma nime õigustav lunavara WannaCry (tõlge: TahadNutta), mille esimesi versioone oli näha juba veebruaris. Esialgse info põhjal ei ole veel võimalik öelda, kuidas eri organisatsioonides nakatumine toimus, kuid kahtlustatakse (sihitud) õngitsuskirjade kampaaniat.

Lunavarajuhtumid ei ole viimasel ajal enam midagi ebatavalist. Antud juhtumi teeb eriliseks asjaolu, et 24 tunni jooksul on nakatunud väga palju arvuteid ning nakatumine levib massiliselt masinates ettevõtete sees. Eri andmetel on 24 tunni jooksul nakatunud üle 148 700 arvuti. Kaspersky Labi andmetel on kõige rohkem nakatumisi Venemaal, muuhulgas on kinnitatud, et nakatunud on enam kui tuhat Venemaa siseministeeriumi arvutit. Nakatumiste arvult järgnevad Ukraina, India ja Taiwan, kuid jäävad Venemaast kaugele maha.

Kaspersky telemeetria andmed geograafilistest sihtmärkidest rünnaku esimestel tundidel.
Allikas: https://cdn.securelist.com/files/2017/05/wannacry_04.png

Praeguseks on tuvastatud kolm erinevat BitCoini rahakotti, mille kohaselt on lunavara autorid teeninud juba ligi 22 000 $.

WannaCry koodist on leitud viiteid domeenile, mis toimib antud lunavara puhul kui nn “killswitch” ehk suur väljalülitamise nupp. WannaCry kontrollib, kas domeen vastab ning positiivse vastuse korral lihtsalt “pakib pillid kotti” ega krüpteeri faile. Infoturbe ekspert, kes koodist vihje leidis, registreeris domeeni kohe enda nimele ja peatas sellega praeguseks lunavara ülikiire edasise leviku. Tema “seiklustest” saab lugeda inglise keeles

Natuke teistmoodi lunavara ehk Equation Group ja MS17-010

Tähelepanu väärib antud juhtumi puhul lunavara organisatsioonisisene levimine. Lunavara levib ilma kasutaja sekkumiseta, kasutades MS17-010 haavatavust, mille Microsoft paikas kaks kuud tagasi.

WannaCry lunavara kasutab ära grupeeringu Equation loodud eksploiti Eternalblue. Equation gruppi on varasemalt seostatud NSAga.

Koodi lekitas grupp Shadow Brokers neli nädalat pärast seda, kui Microsoft väljastas turvapaiga.

Sellise massilise nakatumise on võimalikuks teinud haavatavuse iseloom ning organisatsioonide suutmatus uuendusi piisava kiirusega kõikidesse tööjaamadesse paigaldada.

Kõnealuse MS17-010 haavatavuse kohta väljastas CERT-EE teate juba 15. märtsil.
Haavatavuse näol on tegemist koodi kaugkäivitusega, mis mõjutab kõiki Windowsi versioone, kasutades SMB-protokolli versiooni v1. SMB-protokoll on võrguprotokoll, mida kasutatakse võrguressursside jagamiseks (sealhulgas failide jagamine ja printimine).

Kuid veelgi märkimisväärsem on asjaolu, et SMB-protokoll v1 on tänapäeva mõistes iidvana, ligikaudu 30 aastat. Viimane Windowsi versioon, mis vajab SMB-protokolli v1 tuge, oli Windows XP – operatsioonisüsteem, mille tootjapoolne tugi lõpetati teadupärast 8. aprillil 2014. Siiski võivad seda operatsioonisüsteemi konkreetset versiooni vajada mõned multifunktsionaalsed printerid ning samasugune pärandtarkvara (ing. k. legacy software) nagu Windows XP.

Microsoft on juba pikka aega öelnud, et SMB-protokolli 1. versiooni kasutamine on ülimalt ebaturvaline ning tuleks koheselt lõpetada: Stop using SMBv1.

Ehk siis kogu juhtumi saab taandada infoturbe põhilisetele alustaladele: uuenda ja varunda!

Ma sain pihta. Mis nüüd?

Kui Sa seda seni teinud ei ole, siis nüüd on tegelikult ka viimane aeg varundama hakata!

Veel ei ole tööriista WannaCry poolt krüpteeritud failide dekrüpteerimiseks, samuti ei ole teada, millal ja kas üldse selline tööriist üldse valmib.

CERT-EE on koostanud ka lunavarajuhtumite ennetamise ja lahendamise lühijuhendi.

Kaitsemeetmed

Lisalugemist

Milline on meie küberturvalisuse terviseseisund?

Kadri Kaska, RIA küberturvalisuse teenistuse juhtivanalüütik

Riigi Infosüsteemi Ameti küberturvalisuse aastakokkuvõte analüüsib Eesti küberruumi tervist ja rünnatavust 2016. aastal ning hindab eesseisvaid väljakutseid.

RIA küberturvalisuse teenistus teeb küberruumis toimuvast regulaarselt kokkuvõtteid, mis annavad võimaluse vaadata hetkeolukorda laiemas perspektiivis. Mis aasta jooksul juhtus? Mis ja kes meid ohustab? Mis on kujunevad suundumused ja missugused toimijate käitumismustrid? Kui kaitstud või haavatav on meie harjumuspärane digitaalne eluviis? Äsja valminud ülevaade aastast 2016 annab vastused just nendele küsimustele.

Rekordaasta 2016

Eestis registreeritud küberturbejuhtumite arv lõi mullu taas rekordi. CERT-EE – RIA infoturbeintsidentide käsitlemise osakond ehk Eesti küberturvalisuse eesliin – käsitles kokku 9135 juhtumit. Põhjused registreeritud juhtumite taga on väga erinevad – seadmeriketest ja inimlikest eksimustest pahatahtliku tegevuseni. Kaugeltki iga juhtumi taga pole küberrünne ning paljud ründekatsed ka peatatakse. Ligikaudu neljandik (2248) kõigist registreeritud juhtumitest oli mullu selliseid, mis mõjutasid kasutajat otseselt, tuues kaasa infosüsteemi tõrke, andmekao või teabelekke, ehk erialakeeli mõjutasid teabe või süsteemi käideldavust, terviklust või konfidentsiaalsust.

Mullused sagedaimad küberüberturbejuhtumid olid seotud kõikvõimalikku pahavara levitavate e-kirjade ja veebidomeenidega. Väga levinud olid ka nn õngitsemisründed ehk andmepüük, kus väga erinevatel ettekäänetel püüti inimestelt saada kätte salasõnu, krediitkaardiandmeid, aga ka juurdepääsu ametialasele tundlikule teabele. Need on kõik küberründed, mille edukus sõltub ennekõike kasutajate teadlikkusest ja käitumisest ehk sellest, kas kasutaja mõtleb, enne kui kahtlase e-kirjaga saabunud failile klõpsab, ja hoidub oma andmeid kergekäeliselt välja jagamast.

Lunavara, mis RIA eelmises küberturvalisuse aastakokkuvõttes palju kõneainet andis, levis üliaktiivselt mullu kevadel. Aasta lõpuks levik stabiliseerus, aga lunavara pole kadunud kuhugi ja ründeid tuleb ette igal kuul. Ohtlik suundumus on lunavara spetsialiseerumine valdkondadele, mis on aegkriitilistest andmetest enim sõltuvad ja kus küberturvalisust pole traditsiooniliselt oluliseks peetud – eriti paistab siin silma tervishoid. Eesti pole kuidagi erandlik, sama suundumus on ka teistes arenenud riikides, kus just tervishoiuteenuste osutajad satuvad väljapressimise ohvriks.

Umbes iga kolmekümnes ehk 348 mullust küberintsidenti puudutasid otseselt mõne Eestile olulise teenuse toimimist. Elutähtsatest teenustest olid mõjutatud näiteks telekommunikatsioon, elektrivarustus ja pangateenused ning sisejulgeoleku infosüsteemide töö. Selliste kõrge reageerimisprioriteediga küberintsidentide puhul oli valdavalt tegu seadmeriketest tingitud teenusekatkestustega, mille mõju jäi lühiajaliseks. Ühtki sedavõrd tõsist kübersündmust, mis oleks seadnud ohtu kellegi elu või tervise, möödunud aastal ei registreeritud.

Vastaseks nii riigid kui kurjategijad

Eesti inimeste ja riigi jaoks on olulisemateks küberohtudeks endiselt küberkuritegevus ning vaenulike välisriikide mõjutustegevus küberruumi kaudu, kinnitab aastaülevaade. Küberkuritegevus on üleilmne „tööstusharu“ ning kurjategijatele kõlbab sihtmärgiks iga internetiga ühendatud seadme kasutaja.

Hooletult kasutajalt saab raha välja petta või kasutada tema turvamata seadet hüppelauana teiste ründamiseks. Halvemal juhul võib arvutikasutaja teadmatus või hooletus kombineerituna teenuse või asutuse turvanõrkustega luua võimaluse ka mõne elutähtsa teenuse või demokraatliku riigikorralduse ründamiseks. Et kumbki viimane stsenaarium pole enam fiktsioon, kinnitavad mullu oktoobris USA domeeninimeteenuse pakkuja vastu suunatud ülisuured teenusetõkestusründed ja Vene eriteenistuste sissemurdmine USA parteide meiliserverisse, mis andis sobivat ainest propagandakampaaniaks, et mõjutada kandidaatide väljavaateid presidendivalimisi võita.

Tihti pole lihtne vahet teha, kas ründaja on kurjategija või vaenulik välisriik. Eesti suhtes vaenulike eriteenistuste koostöö küberaktivistide ja küberkurjategijatega pole uudis ning sellisest „avaliku ja erasektori koostööst“ saavad kasu mõlemad. See muudab Eesti jaoks olukorra järjest keerukamaks, kuna selgeid vastuseid peaaegu ei ole: enam ei saa kindel olla, kas Eesti elutähtsa infosüsteemi vastu justkui rahalise kasu eesmärgil suunatud rünnak pole tegelikult kurjategijatelt tellitud mingi hoopis muu kriteeriumi alusel.

Olenemata ründe päritolust on selge võrkude kaitsjate töö: esmane ülesanne on oma teenused ja andmed turvata, rünne võimalikult kiiresti avastada ja sellele vastu astuda.

Arvestades eelmise aasta suundumusi, on selge, et küberohtude tõrjumine pole võimalik ilma kasutajate mõistliku käitumiseta. Eesti küberturvalisus sõltub meist kõigist. Tõhus küberkaitse saab olla ainult totaalkaitse – sellesse peab panustama igaüks.
Kuidas digikeskkonnas oma turvalisust parandada? Lihtne soovitus: tee üks samm rohkem kui seni. Kui su senine universaalparool, mida kõigis keskkondades kasutad, on 12345, vaheta see raskemini äraarvatava vastu. Kui juba kasutad tugevat parooli, lülita sisse kaheastmeline autentimine (nt Gmailis, Facebookis).

Mõtle läbi, kui olulised on sulle andmed, mida arvutis või võrgus hoiad, või su ettevõtte pakutava teenuse kättesaadavus kliendile interneti kaudu. Mis on su plaan B, kui ettevõte saab lunavaranakkuse ja failid lukustuvad? Kas sa tead, kellele su ärikriitiline teave või veebilehe hingeelu internetis valla on? Kuidas ettevõte mõne olulise seadme rikke korral toime tuleb? Tee varukoopiaid ja uuenda viirustõrjet. Uuenda oma nutiseadme tarkvara niipea, kui uus versioon saadaval – sageli keskenduvad sellised süsteemiuuendused just võimalike turvariskide maandamisele. Küsi internetiteenuse osutajalt, kuidas su andmed ja ühendus kaitstud on. Mõtle järele, kas on ikka vaja, et külmkapp, pulsikell või kasvõi lapse hambahari internetiga ühenduses oleks ja andmeid edastaks.

Sissevaate kõrval aasta jooksul küberruumis aset leidnud sündmustesse pakub RIA küberturvalisuse aastaraamat hulga soovitusi levinud ohtudega toimetulekuks.