Mis on Stack Clash?

Autor: CERT-EE

Stack Clash on mitmete operatsioonisüsteemide mäluhalduse haavatavus, mis mõjutab Linuxi, OpenBSD, NetBSD, FreeBSD ja Solarise i386 ja amd64 operatsioonisüsteeme. Konkreetset haavatavust on võimalik ära kasutada mälu rikkumiseks ning omavoliliseks koodi käivitamiseks. Pärast haavatuse ilmsikstulekut arendas Qualys seitse erinevat eksploiti ning seitse kontseptsiooni tõestust. Seejärel arendati koos tarnijatega vastavad turvapaigad. Turvapaigad on kättesaadavad alates 19. juunist ning tuletame meelde, et väljatöötatud turvapaikade kohene paigaldamine on rangelt soovituslik.

Suuremõõtmeline kollisioon. Allikas: http://cdn.desktopwallpaper4.me/

Pinu kollisioon

Iga arvutil jooksev programm kasutab spetsiaalselt mäluregiooni, mida nimetatakse pinuks (stack). Mäluregioon on eriline, kuna see kasvab automaatselt, kui programmil ilmneb vajadus rohkema pinu-mälu järele. Kuid kui mäluregioon kasvab liiga kiiresti ning jõuab teisele mäluregioonile liiga lähedale, võib programm pinu teise mäluregiooniga segamini ajada, mis omakorda lubab kurjategijal seda segadust ära kasutada ning pinu teiste mäluregiooniga üle kirjutada (või siis risti vastupidi toimida). Just selle järgi on haavatavus ka oma nime saanud. Esimene samm selle haavatavuse ärakasutamisel on pinu kollisioon teise mäluregiooniga, millest tulenevalt ka nimi.

Uus haavatavus?

Ühene vastus on – Ei! Esimest korda kasutati pinu kollisiooni ära 2005. aastal ning järgmine kord alles 2010. aastal. Pärast 2010. aasta haavatavust arendas Linux sarnaste ärakasutamiste vastu kaitsemeetodi – niinimetatud pinu kaitseleht. Praeguseks teame aga, et pinu kollisioonid on laiaulatuslikud ning hoolimata pinu kaitselehest siiski ärakasutatavad.

Üks või mitu haavatavust?

Peamine Stack Clashi haavatavus on CVE-2017-1000364 ning see demonstreerib, et mõne kilobaidi suurune pinu kaitseleht on ebapiisav. Teemat lähemalt uurides tuvastati rohkem haavatavusi. Mõned neist on sekundaarsed ning avalduvad vaid pärast Stack Clashi haavatavuse ärakasutamist, näiteks CVE-2017-1000365, kuid on ka eraldi ärakasutatavaid haavatavusi nagu näiteks CVE-2017-1000367.

Kas Stack Clash mõjutab ka mind?

Juhul, kui Sa oled i386 või amd64 arhitektuuriga Linuxi, OpenBSD, NetBSD, FreeBSD või Solarise kasutaja, on vastus – Jah! Teised operatsioonisüsteemid võivad samuti haavatavad olla, kuid neid ei ole konkreetse haavatavuse osas hetkel lähemalt uuritud.

Stack Clashi ohud?

Konkreetse uurimise käigus tuvastati ainult lokaalne privileegide eskaleerimine – ründaja, kellel on mõjutatud süsteemile ükskõik milline ligipääs, saab Stack Clash haavatavust kasutades omandada root-kasutaja õiguse. Praeguseks ei ole tuvastatud, et haavatavus lubaks kaugligipääsu. Siiski ei saa selle olemasolu välistada.

Mida mina teha saan?

Uuendada, uuendada, uuendada! 19. juunil väljastati turvapaigad, mille iga kasutaja omale ise paigaldada saab. Juhul kui kasutaja ei saa või ei taha oma süsteemi taaskäivitada, saab ta oma lokaalsele kasutajale teha RLIMIT_STACK ja RLIMIT_AS välistele teenustele mõistlikult väikese väärtusega. Selle tegevuse käigus tuleb siiski meeldes pidada, et etteantud väärtused ei pruugi olla piisavalt madalad kõikidele rünnetele vastupidamiseks. Näiteks osadel juhtudel kasutab Sudo pinu kollisiooni haavatavus vaid 137 MB kuhimälu (heap-memory) ning peaagu mitte üldsegi pinumälu. Samuti võib juhtuda, et seatud väärtused on liiga madalad ning tegelikud rakendused lakkavad töötamast.

Lisainfot leiab linkidelt:

Tunne oma tumedamat poolt!

Autor: Anto Veldre, RIA analüütik

Portaal Helpnetsecurity avaldas hiljuti artikli, mis annab ülevaate e-kirjade ohtlikust sisust.

Algset, firma Proofpoint uurimust on võimalik lugeda kõigil ametiisikutel, kes selle lugemiseks Proofpointile oma isikuandmed loovutada raatsivad. Lisatud on kommentaarid Eesti olukorra kohta, mida algmaterjalis ei sisaldu.

Faktid ja mõned numbrid

Kui välismaa statistika kohaselt saadavad kurjamid lunavara meilitsi laiali tavaliselt teisipäevast neljapäevani, siis Eesti puhul seda öelda ei saa: meil on kõik nädalapäevad võrdsed. Mujal maailmas on ka täheldatud, et pangatroojalaste saabumise lemmikpäev on neljapäev (põhjus ilmne: et reedel tehtud ülekande jälitamine nädalavahetuse tõttu keerukaks muuta) ning klahvinuhke ja tagauksi püütakse paigaldada esmaspäeviti (et töönädalast ikka maksimumi võtta). Eestis selliseid kindlaid mustreid välja ei joonistu.

Muide, küberkurjategijad rõhuvad pigem inimeste kui tarkvaraaukude ärakasutamisele.

Kaval trikk on luua endale mitu meili-aliast ja suunata need kokku ühte postkasti. Siis paistab virtsalevituskampaania kohe silma.

2015. aastaga võrreldes kasvas küberkuriteoliikidest 2016. aastal kõige rohkem niinimetatud tegevjuhi või CEO pettus (ametliku nimetusega Business Email Compromise ehk BEC). BEC seisneb näiliselt tegevjuhi nime alt (vahel isegi “tema” meililt) kirjade saatmises (tavaliselt) ettevõtte finantsjuhile, et uurida, kas on võimalik teha kiiresti makse pangakontole X või kas see juba on tehtud. Ülemaailmselt on ettevõtted selle küberkuriteo liigi kaudu kandnud juba üle 5 miljardi dollari kahju.

Artiklist ilmnes, et pahatahtlike lehtede avamise klikkidest ligikaudu pooled tehakse isiklikes seadmetes või seadmetes, mis pole liidetud asutuse monitooringusüsteemiga. Selgus ka üllatuslik asjaolu, et 42% pahavaraga nakatumistest toimub nutiseadmetes (selle poolest erineb Eesti väga palju muust maailmast) ning pahatahtliku lehe kaudu nakatumistest 8% toimub vananenud tarkvara (nagu näiteks Windows XP operatsioonisüsteemi) kasutamise tõttu. (Seega pooled infolekke ja nakatumiseni viivatest klikkidest tehakse nii, et asutuse või firma IT-spetsialistid neist ülevaadet ei oma.)

90% kuriklikkidest viisid kasutaja tegelikult õngitsuslehtedele, mis on üldjuhul üles seatud kasutajalt kontoandmete (kasutajanimi ja parool) välja meelitamiseks. Kui kasutajal pole aktiveeritud kahetasemelist autentimist, mis võõrast kohast sisselogimise korral koodi küsib ning selleta kasutajat kontole ligi ei lase, siis on pahalased oma eesmärgi suurepäraselt täitnud.

Muide, rahavargusteni viinud e-kirjadest suisa 99% vajasid ründamiseks inimese enda tehtud klikki.

Vaata alati veebiaadressi – PayPal pole haridusasutus (.edu).

Kurjal klikkimine leiab 90% juhtudel aset esimese 24h jooksul pärast levituskampaania algust (see on ka tavapärane aeg, mis kulub majutusteenusepakkujal pärast lehekülje raporteerimist ohtliku veebilehe eemaldamiseks internetist). Kusjuures 25% ohtlikul materjalil klikkimisi pannakse toime suisa esimese 10 minuti jooksul ja 50% esimese tunni jooksul pärast e-kirja laekumist postkasti. Kõige rohkem ohtlikke klikke sooritatakse tööajal: kell 8–15.

2016. aasta jooksul kasvas tehnilise toe petuskeemide (nn HelpDeskide järeleaimamise) arv 150%. Kui mujal maailmas helistasid kurjamid inimestele Microsoftist, Apple’ist ning isegi Linuxi! kasutajatoest, siis Eesti kasutajad said enim e-kirju tavaliselt IT-toelt. “IT-Tugi” oli märganud pahatahtlikku tegevust või kontolimiidi ületamist ja ähvardas konto sulgeda, kui kohe ei sisestata andmeid lehele X, mis taastaks konto tavapärase tegevuse. Lisaks said Eesti inimesed 2016. aastal e-kirju Telia ja Zone’i nimel. Ka mõned petukõned jõudsid siiski Eestisse: CERTi teavitati “Microsofti” tehnilise toe kõnedest, kus kasutajaid süüdistati viiruse jagamises (või teavitati neid sellest) ning nõuti ligipääsu arvutile, et pahatahtlik tegevus lõpetada. (Vaata meenutuseks katket sarjast “IT-planeet” – “Ma helistan teile Facebookist“.)

Teinegi postkastipilt – petukampaaniad paistavad kätte selgelt, nagu ka põhilised altvedamisnipid.

Küberkurjategijad on kursis inimpsühholoogia, käitumisharjumuste ja ärimaailmaga: nad teavad üsna täpselt, millises vahemikus on töötajatel pausid või rohkem aega isiklikuks internetikasutuseks. Ja ka seda, et raamatupidajate vererõhk tõuseb järsult nähes postkastis kirja “unpaid invoice” või tegevjuhi palvet teha kiiresti pangaülekanne, mis tal endal kiire graafiku tõttu ununes. Samuti on teada tõde, et pärast nädalavahetust on postkastid tavaliselt rohkem täis kui teistel päevadel. Ja kuna postkastiga soovitakse kiiresti n-ö ühele poole jõuda, kiputakse just esmaspäeviti saadud kirjade puhul vähem tähelepanelik olema.

Pea meeles!

CERT-EE tuletab meelde, et parim kaitse on uuendatud tarkvara ning e-kirjas sisalduva teabe ja linkide ülekontrollimine! Kui sa ei ole lehe või faili ohutuses veendunud, kontrolli seda enne Cuckoos, mis on CERT-EE avalik keskkond failide analüüsimiseks. Lingi saab Cockoosse lisada (copy-paste) ja oma arvutisse salvestatud kahtlase faili sinna üles laadida.

Muusikasõpradele pakume kuulamiseks RIA bändi hoiatust “Ära vajuta!”:

Crash Override ehk krahhiv sürjutamine

Foto: ML Banner, allikas: http://www.mlbanner.com

Autor: CERT-EE

Turvaettevõttega Dragos võttis juuni alguses ühendust Slovakkia antiviiruse tootja ESET, kes teavitas neid tööstuslike juhtimissüsteemide jaoks kirjutatud pahavara leidmisest. Dragose meeskond leidis tänu laekunud teavitusele pahavara näidiseid, tuvastas uued funktsionaalsused ning võimalikud käivitusstsenaariumid. Lisaks leidis Dragos ka kinnituse, et tegemist on sama pahavaraga, mida kasutati 2016. aasta detsembris Kiievis kõrgepinge alajaama juhtimissüsteemi ründamiseks põhjustades ulatusliku elektrikatkestuse.

“CrashOverride” või siis maakeeli “krahhiv sürjutamine”, on teadaolevalt esimene pahavararaamistik, mis on disainitud spetsiaalselt elektrivõrkude ründamiseks. Oluliseimad koostisosad on tagauks, mis tagab ligipääsu nakatunud süsteemile, laadimismoodul, mis sõltuvalt sihtmärgist valib sobiva lasti ning individuaalsed lastimoodulid.

CrashOverride käivitamise ja sõltuvuse ülevaade. Allikas: https://arstechnica.com

Mis teeb Crash Override nii kõrgetasemeliseks, on selle võime kasutada elektrivõrkude spetsiifilisi andmeside protokolle, mida kasutavad elektrivõrgu juhtimissüsteemid alajaamadega suheldes. Sellest tulenevalt on pahavara veelgi märkimisväärsem, et pahavara omab eraldiseisvaid mooduleid kõikidele tänasel päeval globaalselt levinud elektrivõrgu juhtimisprotokollidele. Pahavara kasutati Ukrainas juhtimissüsteemi matkimiseks, mis edastas alajaama lülititele korraldusi liinide sisse ja välja lülitamiseks. Lisaks elektrikatkestustele võib kõrge koormusega elektriliinide korduv lülitamine füüsiliselt kahjustada alajaamade lülitusseadmeid, põhjustades märkimisväärset varalist kahju võrguettevõttele.

Olulist:

  • Pahavara identifitseerib ennast ise mitmetes kohtades “krahhina” (crash), mille tõttu on pahavara raamistik ka oma nime saanud.
  • CrashOverride on esimene pahavararaamistik, mis on disainitud ja kasutusse võetud elektrivõrkude ründamiseks.
  • CrashOverride on teadaolevalt neljas tööstuskontrollsüsteemide vastu suunatud pahavara (esimesed kolm olid Stuxnet, BlackEnergy ja Havex) ning teine, mis on disainitud ja loodud füüsiliste protsesside halvamiseks (esimene oli Stuxnet).
  • CrashOverride ei ole unikaalne ühelegi konkreetsele seadmetootjale või konfiguratsioonile ning selle asemel kasutab ta kahju tekitamiseks ära teadmisi elektrivõrgu juhtimissüsteemide toimimise põhimõtetest ja võrgukommunikatsioonist, olles seega kasutatav nii Euroopas kui ka osades Lähis-Ida ja Aasia riikides.
  • CrashOverride on laiendatav ning mõningase vaevaga, nagu näiteks DNP3 protokollimooduli lisamisega, on see kohaldatav ka Põhja-Ameerika elektrivõrkudele.
  • CrashOverride’i saaks samaaegselt käivitada ka mitmetes asupaikades, kuid tänu kohapealsete ümberlülituste võimekusele elektrivõrgus ei oleks see stsenaarium kataklüsmiline ning sellele järgneks mõnetunnine, halvimal juhul mõnepäevane katkestus, mitte mõne-nädalane või pikem.
  • CrashOverride’i raamistik ei ole loodud spionaaži eesmärgil ning pahavara ainsaks eesmärgiks on elektrivõrgu teenuse katkemiseni viivate rünnete tekitamine.
  • CrashOverride oleks laiendatav teiste tööstusharudeni lisaprotokollimooduleid kasutades, kuid ründajad ei ole ilmutanud põhjalikke taustateadmisi teistest füüsilistest tööstusprotsessidest ning antud oletus on praegusel hetkel hüpoteetiline.
  • Dragos on tuvastanud, et CrashOverride’i taga on grupeering nimega Electrum ning Dragose hinnangu alusel on Electrumil otsesed seosed Sandwormi meeskonnaga.

Kaitsesoovitused

Lisaks tavapärastele esmastele kaitsemeetmetele on rangelt soovituslik võtta kasutusele alltoodud kaitsemeetmed:

  • Elektriettevõtete turvameeskondadel peab olema selge arusaam, kus ja kuidas kasutatakse IEC104 ja IEC61850 protokolle. Erilist tähelepanu tuleb pöörata antud protokollide andmemahtude suurenemisele võrreldes tavaolukorraga. Lisaks tuleb süsteemidest otsida antud protokollide võrguliiklust, mis ei kuulu teadaolevatele seadmetele.
  • Ära unusta OPC protkolli! CrashOverride’i käivitumise puhul on täheldada ka OPC protokolliga seadmete skaneerimist, mis tekitab tavapärasest rohkem võrguliiklust.
  • Seadmete konfiguratsiooni- ja projektifailide tagavarakoopiad peaksid olema varundatud offline andmekandjatele ning eelnevalt testitud. See aitab maandada pahavara jälgede kustutamise funktsionaalsusest tulenevat kahju.
  • Valmistage eelnevalt ette intsidendi lahendamise plaan ning võimalusel viige läbi harjutus, kaasates vajalikud huvigrupid, kaasa arvatud tehnilise-, tootmise-, infotehnoloogia- ja turvapersonali. Stsenaarium peaks hõlmama alajaamade töö katkemist ning käsitsi teostatavate toimingute tegemist SCADA keskkonna taastamiseks ning sündmuse analüüsiks vajalike tõestusmaterjalide kogumist.
  • Otsige oma võrkudest YARA reeglite ja teiste kompromiteerumise indikaatorite abil.

Lisalugemist: