Pahavara levitamine elron.ee veebilehel

Kujutis on illustreeriv.

Kujutis on illustreeriv.

Pühapäeva pealelõunast esmaspäeva õhtuni jagati Elroni peamiselt veebilehelt www.elron.ee Astrum exploitkitiga “kingitusi” (pahavara). Kes kasutas pahavara jaoks sobilikku tarkvarakomplekti lehe külastamisel, osutus kvalifitseeruvaks ja sai sealt suunamise IP-le 46.105.233.200 porti 6219. Järgnes suure tõenäosusega nakatumine. Nakatavast tegelasest endast saab lugeda SIIT.

Tavakasutaja, kes külastas sel ajavahemikul Elroni veebilehte, võiks oma arvuti turvatarkvaraga täiendavalt üle kontrollida.

Pahavara levitamiseks kasutati neid haavatavusi:

  • Adobe Flash (CVE-2014-0515, CVE-2013-0634)
  • MS Silverlight (CVE-2013-0074, CVE-2013-3896)
  • Adobe PDF (CVE-2010-0188)
  • IE <= 9 (CVE-2013-2551)
  • IE 10 & Flash >= 13.0.0.214 (CVE-2014-0322)
  • Java (CVE-2012-0507, CVE-2013-2460, CVE-2013-2465)

Tuvastussoovitus süsteemiadministraatoritele: kui Sinu võrgus on arvuti, mis pöördus IP-aadressi 46.105.233.200 porti 6219,  tee sellele tööjaamale täiendav kontroll. Antud juhul ei ole võimalik kindlalt öelda, mis pahavara täpselt arvutisse sokutatakse.

Näpunäiteid veebilehe pidajatele, kuidas  sarnast juhtumit tulevikus vältida:

  • hoia lahus veebilehe admin osa veebilehest endast
  • haldamine peab toimuma krüpteeritud kanalite kaudu
  • haldusliidele ligipääs peab olema võimalik ainult asjakohastele IPdele ning keelatud teistele
  • varunda regulaarselt andmeid!