Tietoturvauutiset ja blogipostaukset

[escalibur]

Taitaa olla perus alustan raivausta ja "julkisten" tietojen indeksointia. Muistaakseni tästä oli vastaava case joskus aiemminkin.

Luultavasti tästä aiheutuu jonkinlainen kalasteluviestien hyökkäysaalto.

 

[user9999]

Muutamia linkkejä (DAILY NCSC-FI NEWS FOLLOWUP 2022-10-28):

Upcoming ‘critical’ OpenSSL update prompts feverish speculation

Is it the new Heartbleed or just a bleeding distraction?

portswigger.net

InfoSec Handlers Diary Blog - SANS Internet Storm Center

Upcoming Critical OpenSSL Vulnerability: What will be Affected?, Author: Johannes Ullrich

isc.sans.edu

Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.

OpenSSL-2022/software/README.md at main · NCSC-NL/OpenSSL-2022

Operational information regarding CVE-2022-3602 and CVE-2022-3786, two vulnerabilities in OpenSSL 3 - NCSC-NL/OpenSSL-2022

github.com

Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.

 

[user9999]

Päivittyvä lista OpenSSL 3.0.0 - 3.0.6 haavoittuvista laitteista.

OpenSSL-2022/software/README.md at main · NCSC-NL/OpenSSL-2022

Operational information regarding CVE-2022-3602 and CVE-2022-3786, two vulnerabilities in OpenSSL 3 - NCSC-NL/OpenSSL-2022

github.com

Tänään julkaistaan klo. 15-19 Suomen aikaa korjaus 3.0.7. Saa nähdä milloin päivitys on saatavilla esim. Ubuntu 22.04 LTS versioon.

OpenSSL CVE-2022-3786 ja CVE-2022-3602

Vulnerabilities

If you think you have found a security bug in OpenSSL, please report it to us. Show issues fixed only in OpenSSL 3.3, 3.2, 3.1, 3.0, 1.1.1, 1.1.0, 1.0.2, 1.0.1, 1.0.0, 0.9.8, 0.9.7, 0.9.6 Note: All OpenSSL versions before 1.1.1 are out of support and no longer receiving updates. Extended support...

www.openssl.org

CVE-2022-3786 and CVE-2022-3602: X.509 Email address buffer overflows

Today we published an advisory about CVE-2022-3786 (“X.509 Email Address Variable Length Buffer Overflow”) and CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”). Please read the advisory for specific details about these CVEs and how they might impact you. This blog post will address...

www.openssl.org

Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa | Kyberturvallisuuskeskus

Tietojen salaamiseen ja salattuun välittämiseen käytetyn OpenSSL-kirjaston versiosta 3.0 on löydetty kaksi vakavaa haavoittuvuutta. Uusin versio 3.0.7 on syytä päivittää mahdollisimman pian. Haavoittuvuudet eivät koske vanhempia 1.1.1 tai sitä edeltäneitä versioita.

www.kyberturvallisuuskeskus.fi

 

[Infy]

Eipä se ollutkaan niin iso reikä mitä maalailtiin.

"Actually exploiting this will be really really hard even for very competent exploit writers, and will require a large number of relatively unlikely scenarios to all align for the exploit writer for it to pan out"

OpenSSL downgrades horror bug after week of speculation

Relax, there's more chance of Babbage coming back to life to hack your system than this flaw being exploited

www.theregister.com

 

[Humanoid]

Tämä ei varmaan tullut kellekään yllätyksenä, mutta TikTokilla on varsin vapaa pääsy myös eurooppalaisten dataan:

TikTok Tells European Users Its Staff in China Get Access To Their Data - Slashdot

TikTok is spelling out to its European users of the platform that their data can be accessed by employees outside the continent, including in China, amid political and regulatory concerns about Chinese access to user information on the site. From a report: The Chinese-owned social video app is...

yro.slashdot.org

The Chinese-owned social video app is updating its privacy policy to confirm that staff in countries, including China, are allowed to access user data to ensure their experience of the platform is "consistent, enjoyable and safe." The other countries where European user data could be accessed by TikTok staff include Brazil, Canada and Israel as well as the US and Singapore, where European user data is stored currently. [...] Data could be used to conduct checks on aspects of the platform, including the performance of its algorithms, which recommend content to users, and detect vexatious automated accounts. TikTok has previously acknowledged that some user data is accessed by employees of the company's parent, ByteDance, in China.

 

[runboy93]

Tämä ei varmaan tullut kellekään yllätyksenä, mutta TikTokilla on varsin vapaa pääsy myös eurooppalaisten dataan:

TikTok Tells European Users Its Staff in China Get Access To Their Data - Slashdot

TikTok is spelling out to its European users of the platform that their data can be accessed by employees outside the continent, including in China, amid political and regulatory concerns about Chinese access to user information on the site. From a report: The Chinese-owned social video app is...

yro.slashdot.org

Voipi olla vain että EU sanoo tähän lopulta oman sanansa, GDPR ja tiedonsäilyvyys EU:n sisällä ja sillain, tai jos on rahaa kuin roskaa niin kuukausittain voi tiktok maksaa GDPR mätkyt.

 

[Humanoid]

Voipi olla vain että EU sanoo tähän lopulta oman sanansa, GDPR ja tiedonsäilyvyys EU:n sisällä ja sillain, tai jos on rahaa kuin roskaa niin kuukausittain voi tiktok maksaa GDPR mätkyt.

Varmasti sanookin. Eri asia kiinnostaako TikTokia. Ainahan he voivat vain sanoa, että homma ok, mutta taustalla se jatkuu kuten ennenkin.

 

[JiiPee]

Varmasti sanookin. Eri asia kiinnostaako TikTokia. Ainahan he voivat vain sanoa, että homma ok, mutta taustalla se jatkuu kuten ennenkin.

Sitten null reititys toktikin palvelimille euroopan laajuisesti niin homma loppuu siihen.

 

[Pakana]

Sitten null reititys toktikin palvelimille euroopan laajuisesti niin homma loppuu siihen.

Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.

 

[ojisama]

Käytännössä ei.

Aluksi riittää että tiktok vaan vakuuttaa ettei enää tehdä niin. Jos selviä todisteita datan virtaamidesta kiinaan pystytään keräämään luokkaa vuoden ajan tuon jälkeenkin, byrokratian rattaat lähtee pyörimään.

Siellä on ensin virallisia kirjeitä, vuoden oikeudessa väännön jälkeen jotain uhkasakkoja, ja uhkasakon lankeamisen jälkeen sitä koitetaan periä, jonka jälkeen oikeusruljannssi taas alusta jolla se tiktok oikeasti koitetaan piilottaa.

Käytännössähän sitä ei voida estää, mutta sinne tiktokiin pääseminen voidaan tehdä peruskäyttäjälle hankalaksi, joka tietysti tässä tapauksessa riittää.

Käytännössä tietysti koko tiktok voi olla käytännössä kuollut 5 vuoden aikana.

No kyllä noita näemmä maaliin asti saadaan ('vastikään' Instagram):

Record fine for Instagram following EDPB intervention | European Data Protection Board

edpb.europa.eu

Instagram fined ~$403M in EU over children's privacy

A fat fine -- of €405 million -- is headed Instagram's way after European Union privacy regulators came to a decision on a long-running complaint related

techcrunch.com

TikTokinkin tutkinta on käynnissä, vaikka siinä toki vielä kestää

Ireland probes TikTok's handling of kids' data and transfers to China | TechCrunch

Ireland's Data Protection Commission (DPC) has yet another Big Tech GDPR probe to add to its pile: The regulator said yesterday it has opened two

techcrunch.com

 

[escalibur]

Jos joku teistä käyttää uutta tai uudehkoa Lenovon konetta, kannattaa varmistaa että siinä on uusin BIOS/UEFI käytössä.

Lenovo Notebook BIOS Vulnerabilities - Lenovo Support US

support.lenovo.com

 

[root]

Tarina sattumalta löytyneestä Googlen Pixel puhelinten lukitusruudun ohituksesta (lock screen bypass). Löytäjä sai monen kuukauden jälkeen $70k palkkion.

Accidental $70k Google Pixel Lock Screen Bypass

David Schütz's bug bounty writeups

bugs.xdavidhu.me

Ikävänä yksityiskohtana: joku muu oli aiemmin raportoinut saman bugin, mutta Google ei ollut ryhtynyt toimenpiteisiin.

 

[Desgorr]

Googlelta on tullut hyvä dokumenttisarja tietoturvasta ja siitä miten Google turvaa omia palveluitaan. Jokainen jakso liittyy yhteen Googlella työskentelevään tiimiin ja samoin noissa käydään isompia keissejä läpi. Vahvat suosittelut.

 

[TenderBeef]

Security Incident December 2022 Update - LastPass

We are working diligently to understand the scope of the incident and identify what specific information has been accessed.

blog.lastpass.com

We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture.

 

[teppomies]

Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.

100 - apvi - Android Partner Vulnerability Initiative - Monorail

bugs.chromium.org

Edit: Jos tuosta bugisivulta nyt oikein ymmärtää, on tämä vissiin ollut jo joitakin kuukausia sisäisesti tiedossa ja nyt vasta julkaistu, eli ehkä on korjattukkin jo nykyisistä android versioista, jos vaan päivitykset on ihmisillä ajantasalla.

 

[pulatunnus]

Ilmeisesti Androidin certejä vuotanu ja niitä käytetty malwaren allekirjoittamiseen. Jos nyt oikein ymmärsin niin vuotaneilla certeillä allekirjotetut ohjelmat voivat ajaa itseään käyttöjärjestelmän oikeuksin.

Tämähän kuullostaa ihan siltä millä devaajat voisi tehdä oikeita älypuhelin sovelluksia.


Edit, io-tech oli tehnyt asiasta uutisen jossa kerrottu seikkaperäisemmin mistä kyse

Googlen palveluksessa työskentelevä insinööri Łukasz Siewierski on havainnut joidenkin OEM-valmistajien käyttämien Android-alustan allekirjoitusvarmenteiden vuotaneen vääriin käsiin. Vuoto on mahdollistanut haittaohjelmien allekirjoittamisen OEM-valmistajien varmententeilla, mikä on tehnyt haitallisten sovellusten tunnistamisesta haastavaa. Koska kyseessä on koko Android-alustan allekirjoitusvarmenne, voidaan samalla varmenteella allekirjoitetulle haittaohjelmalle myöntää koko järjestelmätason käyttöoikeudet. Alla on lueteltu vuodetuilla varmenteilla allekirjoitettuja haittaohjelmia mutta periaatteessa vuoto mahdollistaa myös OEM-valmistajien omien sovellusten saastuttamisen. Allekirjoituksen jälkeen sovellus vaikuttaa turvalliselta ja asentuu päivityksenä edellisen version päälle, minkä jälkeen käyttäjän on liki mahdotonta havaita saastunutta sovellusta.

• com.russian.signato.renewis
• com.sledsdffsjkh.Search
• com.android.power
• com.management.propaganda
• com.sec.android.musicplayer
• com.houla.quicken
• com.attd.da
• com.arlo.fappx
• com.metasploit.stage
• com.vantage.ectronic.cornmuni

Toistaiseksi vuodettuja varmenteita on havaittu muun muassa Samsungilta, LG:ltä ja MediaTekiltä. Google on ollut valmistajiin jo yhteydessä ja pyytänyt heitä uusimaan kyseiset varmenteet. APKMirrorin tietokannan perusteella esimerkiksi Samsung on kuitenkin jatkanut vuodettujen varmenteiden käyttämistä viime päiviin asti. Lisäksi Google kehottaa valmistajia harkitsemaan jatkossa tarkemmin, kuinka usein koko Android-alustan allekirjoitusvarmenteita käytetään yksittäisten sovellusten kohdalla.

Googlen mukaan Play Kaupasta ladatut sovellukset ovat turvallisia mutta OEM-valmistajien tai muiden osapuolten kauppapaikoista ladatut sovellukset saattavat olla saastuneita, sillä varmenteen perusteella sovellukseen ei voida enää luottaa. Esimerkiksi APKMirrror luokittelee sovelluksen turvalliseksi käytetyn allekirjoitusvarmenteen perusteella. Jatkossa käyttäjän tuleekin pitää kaikkia vuodetuilla varmenteilla allekirjoitettuja sovelluksia potentiaalisesti saastuneina.

Spoileri: Kuvakaappaus APKMirrorista

Lähteet:

• Major Android security leak left Samsung and other devices vulnerable to dangerous malware apps
• Samsung, LG, Mediatek certificates compromised to sign Android malware

No hyvis ilmeisesti joutuu ne certit kaivaan hämäriltä kujilta.

 

[user9999]

Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

Applelta toivottu parannus tietoturvaan: iCloud-pilvipalvelussa saa pian laajemmin käyttöön päästä päähän -salauksen – kohuttu ”lapsipornoskannaus” kuopattiin samalla

Apple on tänään julkistanut tietoturvaa parantavia uudistuksia palveluihinsa ja ohjelmistoihinsa. Tärkein uudistuksista on valinnainen iCloud-pilvipa

mobiili.fi

Apple advances user security with powerful new data protections

iMessage Contact Key Verification, Security Keys, and Advanced Data Protection for iCloud provide users important new tools to protect data.

www.apple.com

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)

iCloud data security overview

iCloud uses strong security methods, employs strict policies to protect your information, and leads the industry in using privacy-preserving security technologies like end-to-end encryption for your data.

support.apple.com

 

[Euphemos]

Linux kernelissä pientä viilattavaa, osa CVE-2022-4378:

oss-security - CVE-2022-4378: Linux kernel stack-based buffer overflow

 

[ztec]

Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa? Chromeen tuli login manageri, jolla kirjautuminen on helppoa ja turvallista:

Introducing passkeys in Chrome

We announced in October that passkey support was available in Chrome Canary. Today, we are pleased to announce that passkey support is now ...

blog.chromium.org

Sekä keskustelu aiheesta, joka on pyörinyt jo kolmisen vuotta. Mutta tämän verran se vaati aikaa, että saatiin tuotua suoraan selaimeen nuo ominaisuudet laajasti tuettuna:

FIDO2, WebAuthn, Passwordless ja Passkeys

Tetasin tässä päivänä eräänä uusia FIDO2 tokeneita, sekä SoloKeyssiltä, että eWBM:ltä ja nuo parantavat kyllä käyttäjätunnusten hallintaa ja tietoturvaa merkittävästi. Kirjautuminen palveluihin helpottuu olennaisesti ja tietoturva paranee. Jos suinkin mahdollista unohdan vanhentuneet tekniikat...

bbs.io-tech.fi

Ja vielä Iltasanomissakin:
Chrome-selain aloitti salasanojen hylkäämisen: Tämä tulee tilalle

 

[escalibur]

Niin monta kertaa kun tässäkin keskustelussa on jauhettu salasanoista, niin nyt ne on vihdoinkin historiaa?

Mahdollisesti joskus vielä monen monen vuoden päästä. Tämän idea ja kehityssuunta ovat oikeita, mutta niin kauan kuin tuotannossa olevat järjestelmät ja ohjelmistot eivät tue tätä, salasanoista ei olla pääsemässä eroon. Niin ärsyttäviä kuun ne ovatkin.

Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.

 

[Agent_007]

Microsoftin passwordless-kirjautuminenkaan ei vaikuta aiheutaneen kovinkaan suurta buumia yritysten keskuudessa. Toivotaan parasta ja sitä rataa.

Microsoftin ongelma on se, että tietoturvalla koetetaan tehdä rahaa. esim. Azure Active Directory Premium P1 / P2 maksavat molemmat, ja ovat vaatimus MFA:lle. Ymmärrän kyllä, että tuotesegmenttejä pitää olla, mutta itse en koskaan rahastaisi asiakkaita tietoturvalla, vaan muilla ominaisuuksilla.

 

[Pakana]

Tietoturva on aika iso osa it teollisuutta ja sen rahantekoa.

 

[escalibur]

Tietoturva on aika iso osa it teollisuutta ja sen rahantekoa.

Juurikin näin. Lisäksi tuotekehitys ja asioiden pyörittäminen uskottavalla tavalla, ei vaan ole ilmaista vaikka miten kääntelisi ja ajattelisi. Ymmärrän että paremmalla tietoturvalla kaikki voittaa pitkässä juoksussa, mutta kultaisen keskitien löytäminen vasta tehtävä onkin.

 

[TenderBeef]

SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research

See how the vulnerabilities were used to develop an undetectable, next-generation wiper with the potential to impact hundreds of millions of endpoints.

www.safebreach.com

I uncovered multiple zero-day vulnerabilities that I was able to use to turn endpoint detection and response (EDR) and antivirus (AV) tools into next-generation wipers with the potential to impact hundreds of millions of endpoints all around the world.

This wiper runs with the permissions of an unprivileged user yet has the ability to wipe almost any file on a system, including system files, and make a computer completely unbootable. It does all that without implementing code that touches the target files, making it fully undetectable.

 

[=JP=]

SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research

See how the vulnerabilities were used to develop an undetectable, next-generation wiper with the potential to impact hundreds of millions of endpoints.

www.safebreach.com

Tähän olisi kannattanut loppuun laittaa vielä, että tuo on korjattu jo ainakin kolmen valmistajan osalta...

Three of the vendors also released new versions of their software or patches to address this vulnerability:

• Microsoft Malware Protection Engine: 1.1.19700.2
• TrendMicro Apex One: Hotfix 23573 & Patch_b11136
• Avast & AVG Antivirus: 22.10

 

[user9999]

Fortinet laitteissa kriittinen haavoittuvuus.

Kriittinen haavoittuvuus Fortinetin FortiOS-ohjelmistossa | Kyberturvallisuuskeskus

Fortinet julkaisi päivityspaketit FortiOS-ohjelmistoon, joka korjaa kriittiseksi luokitellun haavoittuvuuden.

www.kyberturvallisuuskeskus.fi

 

[Agent_007]

Microsoftin sertifikaateilla on jälleen allekirjoiteltu haittaohjelmia

Microsoft digital certificates have once again been abused to sign malware

Code-signing is supposed to make people safer. In this case, it made them less so.

arstechnica.com

 

[Humanoid]

LastPassin "zero knowledge" on jotain ihan muuta:

Parhaat ohjelmat salasanojen säilytykseen

Tollasta tilannetta ei koskaan saisi syntyä, että ollaan yhden laitteen varassa jonkun kirjautumisen suhteen. Eli aina pitää olla B-suunnitelma. Onneksi 2FA:n tapauksessa sivustot lähes aina "pakottavat" ottamaan recovery codet talteen. Tiedä sitten ottavatko kaikki... Ei saisi joo, mutta...

bbs.io-tech.fi

 

[Humanoid]

TikTok on seurannut toimittajien sijaintia:

EXCLUSIVE: TikTok Spied On Forbes Journalists

ByteDance confirmed it used TikTok to monitor journalists’ physical location using their IP addresses, as first reported by Forbes in October.

www.forbes.com

An internal investigation by ByteDance, the parent company of video-sharing platform TikTok, found that employees tracked multiple journalists covering the company, improperly gaining access to their IP addresses and user data in an attempt to identify whether they had been in the same locales as ByteDance employees.

 

[user9999]

Apple parantaa iCloud palvelujensa tietoturvaa. Lähinnä lisää end-to-end salausta iCloudin eri juttuihin.

Applelta toivottu parannus tietoturvaan: iCloud-pilvipalvelussa saa pian laajemmin käyttöön päästä päähän -salauksen – kohuttu ”lapsipornoskannaus” kuopattiin samalla

Apple on tänään julkistanut tietoturvaa parantavia uudistuksia palveluihinsa ja ohjelmistoihinsa. Tärkein uudistuksista on valinnainen iCloud-pilvipa

mobiili.fi

Apple advances user security with powerful new data protections

iMessage Contact Key Verification, Security Keys, and Advanced Data Protection for iCloud provide users important new tools to protect data.

www.apple.com

iCloud already protects 14 sensitive data categories using end-to-end encryption by default, including passwords in iCloud Keychain and Health data. For users who enable Advanced Data Protection, the total number of data categories protected using end-to-end encryption rises to 23, including iCloud Backup, Notes, and Photos. The only major iCloud data categories that are not covered are iCloud Mail, Contacts, and Calendar because of the need to interoperate with the global email, contacts, and calendar systems.

Edit: Päivitetty iCloudin suojaus artikkeli (Standard ja Advanced data protection)

iCloud data security overview

iCloud uses strong security methods, employs strict policies to protect your information, and leads the industry in using privacy-preserving security technologies like end-to-end encryption for your data.

support.apple.com

Tuossa jäi vähemmälle huomiolle tuo, että pystyy estämään selaimella pääsyn iCloud.com datoihin. Advanced Data Protection ei toimi vielä Suomessa, mutta tuo iCloud.com esto toimii.

Manage web access to your iCloud data – Apple Support (UK)

Starting with iOS 16.2, iPadOS 16.2 and macOS 13.1, you can choose to turn off web access to your iCloud data.

support.apple.com

Kirjautuminen onnistuu selaimella iCloud.com osoitteeseen Face tai Touch ID käyttäen, mutta datoihin ei pääse kiinni ellei luotetulla laitteella sitä salli.

Spoileri

Harvoin tullut käytettyä tuota iCloud.com selaimella eli esto meni itsellä päälle.

 

[user9999]

Netgearin reitittimissä korjattu haavoittuvuus.

Käytössä Netgearin reititin? Päivitä heti – paha haavoittuvuus korjattu

Netgearin reitittimet on nyt hyvä päivittää viipymättä. Laitevalmistaja kertoo korjatuista haavoittuvuuksista. Netgear on paikannut vakavan haavoit

mobiili.fi

Security Advisory for Pre-Authentication Buffer Overflow on Some Routers, PSV-2019-0208

Associated CVE IDs: None First published: 12/28/2022 NETGEAR has released fixes for a pre-authentication buffer overflow security vulnerability on the following product models: RAX40 fixed in firmware version 1.0.2.60 RAX35 fixed in firmware version 1.0.2.60 R6400v2 fixed in firmware version...

kb.netgear.com

 

[Pakana]

Netgearin reitittimissä korjattu haavoittuvuus.

Käytössä Netgearin reititin? Päivitä heti – paha haavoittuvuus korjattu

Netgearin reitittimet on nyt hyvä päivittää viipymättä. Laitevalmistaja kertoo korjatuista haavoittuvuuksista. Netgear on paikannut vakavan haavoit

mobiili.fi

Security Advisory for Pre-Authentication Buffer Overflow on Some Routers, PSV-2019-0208

Associated CVE IDs: None First published: 12/28/2022 NETGEAR has released fixes for a pre-authentication buffer overflow security vulnerability on the following product models: RAX40 fixed in firmware version 1.0.2.60 RAX35 fixed in firmware version 1.0.2.60 R6400v2 fixed in firmware version...

kb.netgear.com

Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?

 

[user9999]

Oliko tämä nyt se haavoittuvuus joka edellytti että on kirjautunut roottina sisään että sitä pystyi hyödyntämään?

En tarkemmin tutkinut.

Netgear warns users to patch recently fixed WiFi router bug

Netgear has fixed a high-severity vulnerability affecting multiple WiFi router models and advised customers to update their devices to the latest available firmware as soon as possible.

www.bleepingcomputer.com

Tuossa on maininta
Attackers can exploit this flaw in low-complexity attacks without requiring permissions or user interaction.

 

[Humanoid]

Ja vuorostaan Nortonin salasanamanageri murron kohteena:

https://ago.vermont.gov/wp-content/uploads/2023/01/2023-01-09-NortonLifeLock-Gen-Digital-Data-Breach-Notice-to-Consumers.pdf

Our own systems were not compromised. However, we strongly believe that an unauthorized third party knows and has utilized your username and password for your account. This username and password combination may potentially also be known to others.

In accessing your account with your username and password, the unauthorized third party may have viewed your first name, last name, phone number, and mailing address. Our records indicate that you utilize our Norton Password Manager feature and, we cannot rule out that the unauthorized third party also obtained details stored there especially if your Password Manager key is identical or very similar to your Norton account password. If your data has been accessed, the unauthorized third party could make this data available to other unauthorized parties or use the password and email combination to try to access your other online accounts.

 

[Rollerix]

Ja vuorostaan Nortonin salasanamanageri murron kohteena:

https://ago.vermont.gov/wp-content/uploads/2023/01/2023-01-09-NortonLifeLock-Gen-Digital-Data-Breach-Notice-to-Consumers.pdf

Niin tai jos luit tuon tiedotteen, salasanamanageria ei ole murrettu, vaan joidenkin käyttäjien Norton-tunnukset ja salasanat ovat joutuneet jakoon jossain muualla. Ilmeisesti vain asianosaiset ovat tuon tiedotteen saaneet.

 

[Humanoid]

Niin tai jos luit tuon tiedotteen, salasanamanageria ei ole murrettu, vaan joidenkin käyttäjien Norton-tunnukset ja salasanat ovat joutuneet jakoon jossain muualla. Ilmeisesti vain asianosaiset ovat tuon tiedotteen saaneet.

Luin. Mutta mitä kautta nämä tunnukset vuotivat? Jonkin toisen Nortonin ohjelman, vai mitä kautta kolmannella osapuolella oli pääsy tunnuksiin? Liikaa epäselviä asioita. Myös LastPass jatkaa edelleen radiohiljaisuutta.

 

[Rollerix]

[

Luin. Mutta mitä kautta nämä tunnukset vuotivat? Jonkin toisen Nortonin ohjelman, vai mitä kautta kolmannella osapuolella oli pääsy tunnuksiin? Liikaa epäselviä asioita. Myös LastPass jatkaa edelleen radiohiljaisuutta.

Voi olla joku phishingjuttu tai vaikka selaimessa haitallinen lisäke tai mitä vaan. En usko että Nortonilla olisi syytä valehdella siitä ettei heidän järjestelmiinsä ole päästy. Valheella on lyhyet jäljet ja tuolla alalla rankat seuraukset.

 

[Humanoid]

[
Voi olla joku phishingjuttu tai vaikka selaimessa haitallinen lisäke tai mitä vaan. En usko että Nortonilla olisi syytä valehdella siitä ettei heidän järjestelmiinsä ole päästy. Valheella on lyhyet jäljet ja tuolla alalla rankat seuraukset.

Lähinnä toivoisin aivoimempaa selitystä ja yksityiskohtia. Nyt ei ole edes varmaa onko vuoto tapahtunut jonkin toisen Nortonin tuotteen kautta.

 

[root]

Lähinnä toivoisin aivoimempaa selitystä ja yksityiskohtia. Nyt ei ole edes varmaa onko vuoto tapahtunut jonkin toisen Nortonin tuotteen kautta.

Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.

Gen’s family of brands offers products and services to approximately 500 million users. We have secured 925,000 inactive and active accounts that may have been targeted by credential-stuffing attacks.

 

[Rollerix]

Sama ajatus tuli täällä, onko kuitenkin jostain Nortonin palvelusta onnistuttu nuuskimaan tunnuksia. Toisaalta, vaikea sanoa mitä "our customers" aina tarkoittaa. Bleeping Computer kirjoittaa että omistaja olisi Gen Digital, aiemmin SymantecCorporation ja NortonLifeLock. Noista jälkimmäinen on kai aiemmin ostanut Avastin ja Aviran. Linkissä on päivitys, jonka mukaan aika iso määrä tilejä hyökkäyksen kohteena.

Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.

Toki olisi hyvä jos nämä tiedotteet löytyisivät myös Nortonin omasta sivustosta. En ainakaan heti löytänyt.

NortonLifeLock warns that hackers breached Password Manager accounts

Gen Digital, formerly Symantec Corporation and NortonLifeLock, is sending data breach notifications to customers, informing them that hackers have successfully breached Norton Password Manager accounts in credential-stuffing attacks.

www.bleepingcomputer.com

 

[root]

Norton on näköjään itse sanonut, että kyseessä on credential stuffing -hyökkäys. Eli tuossahan ei Nortonin tunnukset ja salasanat ole vuotaneet minnekään, vaan hyökkääjä on saanut jostain haltuunsa tunnus/salasana-pareja ja on niitä tunkemalla yrittänyt päästä Nortonin palveluun sisälle. Parit voivat olla peräisin mistä hyvänsä muun saitin tietomurrosta, sillä moni käyttäjä käyttää samaa tunnusta ja salasanaa monessa saitissa, joten osa toimii sitten myös Nortonin sivustossa.

Tässä tapauksessa saattaisi jollain todennäköisyydellä odottaa credential stuffing hyökkäystä myös muihin palveluihin. Vastaavasti jos tiedot ovat alun perin peräisin jostain Gen Digitalin/Nortonin muusta palvelusta, olisi järkevää yrittää hyökätä juuri Nortonin palveluita vastaan. Ja lisäksi hyökkäyksessä kokeilluista tunnuksista varsin huomattava osa olisi joko entisiä tai aktiivisia Nortonin asiakkaiden tunnuksia. Tämän selvittämiseksi lisätieto olisi mukavaa. Ja siksi Bleeping Computerkin on yrittänyt saada vastausta kuinka moneen Norton käyttäjään hyökkäys kohdistui.

Tosin koska muuta julkista tiedotetta ei ilmeisesti ole laadittu, tuo sinun skenaariosi saattaa olla todennäköisempi. On myös mahdollista että Nortonilla on arvaus mistä palvelusta tiedot ovat peräisin ja he ovat taustalla ottaneet kyseiseen firmaan yhteyttä. Silloin julkinen tiedotus tietenkin jätettäisiin kyseisen firman tehtäväksi.

 

[Humanoid]

Tietosuojavaltuutetun päätöksen mukaan Google Analytics ei saa aivan puhtaita papereita:

Ensimmäinen päätös Suomessa: Google Analytics on laiton, kirjastot vuotivat tietoja Yhdysvaltoihin

Helmet-kirjastot rikkoi lakia käyttäessään Google Analyticsia kirjastojen sivuilla.

fin.afterdawn.com

Helmet-kirjastoilla ei ole ollut lainmukaista henkilötietojen käsittelyperustetta Helmet.fi -sivustolla seurantateknologioiden kautta kerättyjen henkilötietojen jatkokäsittelylle, vaan ne ovat käsitelleet näitä henkilötietoja esimerkiksi verkkosivujen kehittämistarkoituksessa ilman lainmukaista käsittelyperustetta (rikotut artiklat: 5(1)(a), 6(1) ja 25(1)).

 

[kaakau<"'\\/>]

Analyticsit ja muut turhakkeet hosts-tiedostoon johtamaan ei mihinkään.

 

[Infy]

Googlen vakoiluskriptit löytyy melkein kaikkialta. Jos on käytössä Firefox, niin ETP strict asentoon, jos Edge niin Tracking protection strictiin. Jos muu selain niin uBlock Origin käyttöön.

 

[escalibur]

Jos teillä on TP-Linkin reitittimiä käytössä, kannttaa varmistaa että firmikset ovat ajan tasalla.

Impact
The two different vulnerabilities have unrelated impacts. The first vulnerability is a heap-based buffer overflow that can cause a crash or allow for arbitrary remote code execution. The second vulnerability is an information disclosure issue where the function used by the httpd process may allow an attacker to guess each byte of a username and password deterministically.

Critical Security Vulnerabilities Discovered in Netcomm and TP-Link Routers

New vulnerabilities have been found in Netcomm and TP-Link routers that could potentially lead to remote code execution attacks

thehackernews.com

CERT/CC Vulnerability Note VU#572615

Vulnerabilities in TP-Link routers, WR710N-V1-151022 and Archer C5 V2

kb.cert.org

 

[Agent_007]

Ovat kyllä aika iäkkäitä laitteita, "TP-Link router WR710N-V1-151022 running firmware published 2015-10-22 and Archer-C5-V2-160201 running firmware published 2016-02-01"

 

[Hyrava]

Näköjään taas löytynyt jostain SWM Base -kiinakamerasta reikä. Myyty muunmuassa Prismoissa.

Suomessa myyty 1 300 vaarallisen takaportin sisältänyttä nettikameraa – myynnissä myös Prismoissa

Laite on nyt vedetty pois Prismoista, mutta sitä on vielä myynnissä pienemmissä kaupoissa.

www.is.fi

 

[Desgorr]

Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

Tietoturva | Aktian asiakkaat pääsivät näkemään muiden henkilötietoja, kun he kirjautuivat Kelan ja verottajan palveluihin

Aktia-pankin viestintäjohtajan mukaan tietoturvaongelma johtui ohjelmistopäivityksestä, ja vika on nyt korjattu.

www.hs.fi

 

[Hyrava]

Aktialla on ollut tänään hieman pahempi tietoturvaongelma pankkitunnistautumisen kanssa. Eli tunnistautuminen on nähtävästi mennyt läpi vääränä henkilönä.

"Pankkitunnistautumisessa suuri ongelma, väärien ihmisten vero- ja Kela-tietoja näkyvissä
Aktia-pankilla on ollut vakava häiriö pankkitunnistautumisessa, jota käytetään muun muassa Suomi.fi-tunnistuksessa."

Tietoturva | Aktian asiakkaat pääsivät näkemään muiden henkilötietoja, kun he kirjautuivat Kelan ja verottajan palveluihin

Aktia-pankin viestintäjohtajan mukaan tietoturvaongelma johtui ohjelmistopäivityksestä, ja vika on nyt korjattu.

www.hs.fi

Itseäni tuossa tapauksessa ihmetytti kun jossain uutisessa kerrottiin että kun yritti uudestaan niin tulikin eri henkilön tiedot näkyviin. Sen vielä jotenkin ymmärtäisin että aina tulisi saman väärän ihmisen tiedot mutta että joka kerta randomilla jonkun eri henkilön.

 

[Infy]

Uusimmissa iOS päivityksissä korjausta kriittiseen reikään Safarissa. Pelkkä pahantahtoisella web-sivulla vierailu voi altistaa hyökkäykselle. Aukkoa käytetään jo aktiivisesti iOS 15 ja sitä vanhenmilla versioilla ja Apple on poikkeuksellisesti julkaissut korjauksen jopa iki-vanhalle iOS 12:sta About the security content of iOS 12.5.7