CCleaner on ohus: kontrollige parem oma arvutit

Populaarse failipuhasti CCleaner tegijad Piriform kinnitasid esmaspäeval 18. jaanuaril 2017, et häkkeritel õnnestus ettevõtte arvutivõrku edukalt rünnata.

Häkkerid ohustasid rünnakus CCleaneri kahte versiooni, mida on kasutanud kuni 3% ettevõtte kasutajaskonnast.

Mõjutatud versioonid on CCleaner 5.33.6162 ja CCleaner Cloud 1.07.3191. Piriformi sõnul seati ohtu vaid rakenduste 32-bitised versioonid ja neid levitati ettevõtte enda taristut kasutades.

ccleaner-safe

Ettevõte palub kasutajatel värskendada oma programmi versiooni uusima saadaoleva versioonini, kui seda pole veel tehtud. CCleaneri uusim versioon on selle kirjutamise ajal versioon 5.34.

  • CCleaner 5.33.6162 ilmus 15. augustil 2017 ja ajakohastatud ohustamata versioon vabastati 12. septembril 2017.
  • CCleaner Cloud 1.07.3191 ilmus 24. augustil 2017 ja programmi kompromiteerimata versioon 15. septembril 2017.

Cisco Talose rühma turbeuurijad paljastas üksikasjad eduka tarneahela rünnaku kohta. Talos Group teavitas olukorrast Piriformi emaettevõtjat Avast.

Talos Group 'tuvastas konkreetse käivitatava' ettevõtte uue ekspluateerimise tuvastusriista testimisel, mis tuli CCleaner 5.33 installeerijalt, mille omakorda edastasid õigustatud CCleaneri allalaadimisserverid.

Allalaaditav käivitatav fail allkirjastati kehtiva Piriformi allkirjaga. Installer sisaldas „pahatahtlikku koormat, mis sisaldas domeeni genereerimise algoritmi”, samuti „kõvakodeeritud käskude ja juhtimise” funktsioone.

Talose teadlased jõudsid järeldusele, et pahatahtlik kasulik koormus jaotati versiooni 5.33 vabastamiseks 15. augustil 2017 ja versiooni 5.34 väljaandmiseks 12. septembril 2017.

Teadlaste arvates on tõenäoline, et „väline ründaja ohustas osa Piriformi arendus- või ehituskeskkonnast” ja kasutas juurdepääsu pahavara lisamiseks CCleaneri versiooni. Teine võimalus, mida teadlased peavad, on see, et siseringi sisuks oli pahatahtlik kood.

CCleaneri kasutajad, kes soovivad veenduda, et ohustatud versiooni pole endiselt nende süsteemis, võiksid seda skannida Virustotal või skannige see ClamAV-iga, kuna see on ainus viirusetõrjetarkvara, mis praegu ohu tuvastab.

Võite alla laadida tasuta ClamAV sellelt veebisaidilt.

Pahatahtlik koormus loob registrivõtme HKLM SOFTWARE Piriform Agomo: ja kasutas seda mitmesuguse teabe salvestamiseks.

Piriform välja antud avaldus 18. septembril 2017. Selle avalduse kohaselt võidakse mittetundlikke andmeid edastada Ameerika Ühendriikide serverisse.

Kompromiss võib põhjustada mittetundlike andmete (arvuti nimi, IP-aadress, installitud tarkvara loend, aktiivse tarkvara loend, võrguadapterite loetelu) edastamise kolmanda osapoole arvutiserverisse USA-s. Meil pole mingeid märke selle kohta, et serverile oleks saadetud mingeid muid andmeid.

Paul Yung, ettevõtte toodete VP avaldatud tehniline hinnang rünnakule ka ettevõtte ajaveebi vastu.

Ainus soovitus, mis Piriformil on, on värskendada kõige uuemale versioonile.

Sõnade sulgemine

CCleaneri ja CCleaneri pilve kompromiteeritud versioone levitati ligi kuu. Kuna sellel on üle 20 miljoni allalaadimise kuus ja värskendused, on see arv arvuteid, mida see mõjutab.