Olulisemad turvanõrkused 2023. aasta 47. nädalal

  • Avalikustati  Windows Defenderi kriitilise turvavea kontseptsiooni tõendus

Turvaveale tähisega CVE-2023-36025 avalikustati kontseptsiooni tõendus (PoC). Kuigi antud haavatavusele on olemas parandus, võib PoCi avalikuks tulek suurendada rünnete hulka, mis üritavad seda turvanõrkust ära kasutada.

Turvaviga CVE-2023-36025 on operatsioonisüsteemides Windows 10, Windows 11, Windows Server 2008 ning viimase uuemates versioonides. Haavatavus võimaldab mööda minna Windows Defender SmartScreeni kontrollidest ja käivitada ohvri seadmes pahatahtlikku koodi. Selleks, et viga kuritarvitada, tuleb ründajal meelitada kasutaja avama pahaloomulist linki. Linki võib ründaja jagada õngitsuskirjade või kompromiteeritud veebilehtede kaudu (DR).

Küberturvalisusega tegeleva ettevõtte Proofpointi sõnul kasutab nimetatud haavatavust rünnete läbiviimisel näiteks TA544-nimeline küberrühmitus (DR).

  • Citrix kutsub kasutajaid rakendama lisameetmeid Citrix Bleedi turvanõrkuse vastu

Citrix tuletas administraatoritele meelde, et nad peavad lisaks NetScaleri seadmete tarkvara uuendamisele kasutusele võtma lisameetmeid, et kaitsta end turvanõrkuse CVE-2023-4966 vastu. Ettevõtte sõnul tuleb kustutada varasemad kasutajate sessioonid, samuti lõpetada kõik aktiivsed kasutajate sessioonid. See samm on väga oluline, sest rünnete käigus on varastatud kasutajate autentimise andmeid, mis võimaldavad kurjategijatel saada ligipääsu kompromiteeritud seadmetele ka pärast  seda, kui turvauuendused on rakendatud (BC).

Citrix parandas vea oktoobri alguses, kuid Mandianti sõnul on seda nullpäeva turvanõrkusena aktiivselt kuritarvitatud alates 2023. aasta augusti lõpust. Teadurite sõnul on üle 10 000 võrgus oleva Citrixi seadme turvanõrkusele haavatavad (BC).

Mitmed küberrühmitused kasutavad Citrix Bleedi turvanõrkust ära rünnete läbiviimisel. Eelmisel nädalal tegi CISA koos teiste asutustega ühisavalduse, milles kirjutatakse, et Lockbiti-nimeline lunavararühmitus kasutab rünnete läbiviimisel just Citrix Bleedi turvanõrkust. Muu hulgas rünnati sel viisil ka lennundusettevõtet Boeing, kellelt õnnestus varastada 43GB mahus andmeid   (HN, CISA).

  • Neli aastat vana Netflixi turvavea kohta avaldati täpsemat infot

Viga mõjutas Netflixi loodud DIAL-protokolli ja see parandati juba 2019. aastal. Nüüd on avaldatud ka täpsem tehniline kirjeldus haavatavuse kohta. Teadurite sõnul ootasid nad aastaid enne tehnilise analüüsi avalikustamist, et kõik tehnikatootjad jõuaksid oma riist- ja tarkvara uuendada ning need oleks rünnete eest kaitstud.

Turvaviga, mida on nimetatud ka „DIALStranger“, võimaldas kurjategijatel kaaperdada videovoogu ja näidata kasutajale suvalist videopilti. Haavatavus mõjutas kõiki telereid, videokonsoole ja muid võrgus olevaid seadmeid, mis toetasid DIAL-protokolli. Protokolli eesmärgiks oli lihtsustada videote vaatamist samas võrgus olevates erinevates seadmetes.

Haavatavust kuritarvitades on võimalik näiteks levitada propagandat või näidata kasutajate seadmetes tasulisi reklaame tulu teenimise eesmärgil.

Viimase nelja aasta jooksul on Netflix teinud parandusi DIAL-protokollis ja samuti on paljud seadmete tootjad võtnud kasutusele turvanõrkust leevendavad meetmed, seega tänaseks on haavatavuse potentsiaalne mõju suhteliselt väike (SC).

  • Mirai pahavaral põhineva robotvõrgustikuga liidetakse nullpäeva turvanõrkustega ruutereid ja videosalvestusseadmeid

Uus pahavarakampaania kasutab Mirai pahavaral baseeruva robotvõrgustikuga uute seadmete liitmiseks kahte nullpäeva turvaauku, mille abil on võimalik koodi kaugkäivitada. Ründekampaania käigus on sihitud ruutereid ja videosalvestusseadmeid (NVR), millel on administraatorikonto jaoks jäetud vaikimisi kasutajamandaadid (Akamai).

Eduka ründe korral võetakse seade üle ja paigaldatakse sinna Mirai pahavara variant. Robotvõrgustik kannab koodnimetust InfectedSlurs ja see kasutab Mirai pahavara varianti nimetusega JenX, mis tuli päevavalgele esimest korda 2018. aasta jaanuaris. Konkreetset robotvõrgustiku kasutatakse ulatuslike DDoS-rünnakute teostamiseks. Rünnakute toimepanijaid pole veel kindlaks tehtud (Akamai).

  • Teadlastel õnnestus Windows Hello autentimissüsteemist mööda pääseda

Teadlased avastasid haavatavused populaarsete sülearvutite Windows Hello jaoks kasutatavates sõrmejäljeandurites, mis võimaldavad sõrmejälgede autentimisest mööda minna sellistes seadmetes nagu Dell Inspiron 15, Lenovo ThinkPad T14s ja Microsoft Surface Pro X (SW).

Uuringu viisid läbi Blackwing Intelligence ja Microsofti Ofensive Research and Security Engineering (MORSE). Uurimus oli suunatud Match-on-Chip sõrmejäljeanduritele, millel on oma mikroprotsessor ja mälu, mistõttu on vaja rünnata kiipi, et autentimisest mööda minna (SW).

Rünnak nõuab füüsilist juurdepääsu sihitud seadmele. Delli ja Lenovo sülearvutite puhul õnnestus teadlastel autentimisest mööda pääseda kasutajate sõrmejälgedega seotud kehtivate ID-de loendamisega ja ründaja sõrmejälgede registreerimisega seadusliku kasutaja ID-d võltsides. Surface’i sülearvuti puhul sisestati sülearvutisse USB seade, mille abil näidati arvutile, justkui oleks legitiimne kasutaja sisse loginud (SW).

Täpsemalt saab uurimusega tutvuda siin.

  • Kriitiline turvanõrkus ownCloudi failijagamisrakenduses paljastab administraatorite paroolid

Avatud lähtekoodiga failide sünkroonimise ja jagamise lahendusel ownCloud on kolm kriitilise raskusastmega turvaauku, millest üks võib paljastada administraatori parooli ja meiliserveri mandaadid (BP).

Esimest viga, mida jälgitakse kui CVE-2023-49103, on hinnatud maksimaalse kriitilisuse skooriga 10.0/10.0 ja seda saab ära kasutada mandaatide ning konfiguratsiooniteabe varastamiseks. Viga on seotud grafapi versioonidega 0.2.0 kuni 0.3.0. Soovitatav parandus on kustutada fail „owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, keelata Dockeri konteinerites funktsioon „phpinfo” ja muuta ownCloudi administraatori parool, meiliserveri ja andmebaasi mandaadid ning Object-Store/S3 juurdepääsuvõtmed (BP).

Teine haavatavus, mille kriitilisuse skooriks on märgitud 9,8/10.0, mõjutab ownCloudi põhiteegi versioone 10.6.0–10.13.0. Viga võimaldab ründajatel pääseda juurde, muuta või kustutada mis tahes faili ilma autentimiseta, kui kasutaja kasutajanimi on teada ja ta pole konfigureerinud allkirjastamisvõtit (vaikesäte) (BP).

Kolmanda vea kriitilisuse skoor on veidi madalam kui kahel eelmisel (9.0/10.0). Ründajal on võimalik selle vea abil saata tundlikku teavet tema kontrollitavale veebisaidile. Selle parandamiseks tuleb haavatava ownCloudi valideerimisprotsessi tugevdada. Näiteks on võimalik kasutajatel välja lülitada säte nimega “Allow Subdomains”, kuni veale on parandus avalikustatud (BP).

Konkreetsed haavatavused võivad halvendada märkimisväärselt ownCloudi keskkonna turvalisust ja terviklikkust ning võivad viia andmeleketeni (BP).

Failijagamisplatvormide turvaauke kuritarvitatakse pidevalt ning eriti populaarsed on need lunavararühmituste seas. Seetõttu on ownCloudi administraatoritel ülioluline rakendada kohe soovitatud parandused ja teha teegi värskendused niipea kui võimalik, et turvariske maandada (BP).

Olulisemad turvanõrkused 2023. aasta 46. nädalal

  • Microsoft paikas oma toodetes 58 viga

Microsoft parandas 58 haavatavust. Nende hulgas oli viis nullpäeva turvanõrkust, millest kolme on rünnetes ära kasutatud.

Ettevõtte sõnul on rünnete läbiviimisel kuritarvitatud haavatavusi tähistega CVE-2023-36036, CVE-2023-36033 ja CVE-2023-36025.

Parandatud vigadest võimaldavad koodi kaugkäivitada 14 ja üks neist on hinnatud kriitilise mõjuga nõrkuseks. Lisaks paigati ka 20 turvaviga Microsoft Edge’i veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

Soovitame uuendused rakendada esimesel võimalusel.

  • WordPressi pistikprogrammi haavatavuse tõttu on ohus enam kui 600 000 veebilehte

Turvanõrkus (CVE-2023-6063) mõjutab pistikprogrammi WP Fastest Cache ja selle kaudu on autentimata ründajal võimalik lugeda veebilehe andmebaasi sisu. Viga on hinnatud CVSS skooriga 8.6/10.

WP Fastest Cache on WordPressi plugin, mida kasutatakse lehtede laadimise kiirendamiseks, külastajakogemuse parandamiseks ja lehekülje esiletõstmiseks Google’i otsingus. Pistikprogrammi kasutab enam kui miljon veebilehte, kuid neist 600 000 kasutavad haavatavusega versiooni.

WPScan on öelnud, et nad avaldavad turvavea kontseptsiooni tõenduse 27. novembril ja kasutajatel on soovitatav enne seda tarkvara uuendada. WordPressi leheküljed ja seal olevad turvanõrkused on tihti ründajate sihtmärkideks.

Turvanõrkus mõjutab pistikprogrammi kõiki versioone kuni 1.2.2. Kõik kasutajad peaks uuendama tarkvara versioonile 1.2.2, kus viga on parandatud (BC).

  • Adobe paikas kriitilised turvavead oma tarkvarades

Adobe paikas kokku 72 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat, Reader, ColdFusion, inDesign, inCopy ja Audition. Parandatud turvanõrkuste hulgas oli 17 Adobe Acrobat ja Reader viga, mille kaudu saab paikamata süsteemides käivitada pahatahtlikku koodi.

Kuna tegemist on väga laialdaselt kasutusel olevate PDF-i lugeritega, siis soovitab tootja uuendada tarkvara nii pea kui võimalik. Adobe’i sõnul ei ole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Täpsem nimekiri parandatud turvavigadest ja mõjutatud tarkvaradest on lisatud linkidel (SW, Adobe).

  • Kiibitootjad paikasid haavatavusi

Kiibitootjad Intel ja AMD avaldasid eelmisel nädalal turvauuendused, milles teavitati oma kliente enam kui 130 haavatavuse parandamisest.

Intel paikas kokku 105 haavatavust. Nende hulgas oli Google’i teadurite avastatud haavatavus tähisega CVE-2023-23583, mille kaudu on võimalik ohvri seade ja teised samas võrgus olevad seadmed kokku jooksutada.  Haavatavus võib kaasa tuua ka teabe avalikustamise või õigustega manipuleerimise. Lisaks teavitati kliente ka Data Center Manager (DCM) tarkvaras olevast turvaveast, mida tähistatakse CVE-2023-31273 ja mis on hinnatud kõrgeima CVSS skooriga 10/10.

AMD parandas oma toodetes 27 turvaviga. Nende hulgas oli turvaviga tähisega CVE-2023-20592, mis ohustab virtuaalmasinaid ja võimaldab ründajal krüpteeritud masinasse sisse murda ning saada kõrgemad õigused. Lisaks paigati haavatavusi komponentides Secure Processor (ASP) ja System Management Unit (SMU) (SW).

Olulisemad turvanõrkused 2023. aasta 45. nädalal

  • Androidi operatsioonisüsteemil parandati 37 turvanõrkust

Google avalikustas Androidi operatsioonisüsteemile 2023. aasta novembri turvavärskendused, mis parandavad kokku 37 haavatavust (SW).

Turvavärskenduste esimene osa, mida pakuti alates 1. novembrist, parandab 15 turvaauku Androidi raamistiku ja süsteemi komponentides (SW).

Kõige tõsisem neist viieteistkümnest turvanõrkusest on süsteemikomponendi kriitiline turvaviga (CVE-2023-40113), mille abil on ründajal võimalik potentsiaalselt kätte saada tundlikku teavet ilma kõrgendatud õigusteta. Ülejäänud 14 turvanõrkuse abil on võimalik põhjustada mõjutatud seadme töös häireid või suurendada süsteemis õiguseid (SW).

Teine osa turvavärskendustest on saadaval alates 5. novembrist ja parandab kokku 22 Armi, MediaTeki ja Qualcommi komponentide turvanõrkust (SW).

Seadmetel, millel on 5. novembri turvavärskendused rakendatud, on olemas parandused kõigi novembris avaldatud turvanõrkuste jaoks (SW).

RIA soovitab uuendused rakendada esimesel võimalusel.

  • QNAP parandas kaks kriitilist turvanõrkust

QNAP Systems on välja andnud turvavärskendused, et kõrvaldada kaks kriitilist haavatavust, mis mõjutavad ettevõtte toodetud salvestusseadmeid (QNAP).

Esimene viga, mida tähistatakse kui CVE-2023-23368, mõjutab QTS-i, QuTS-i herot ja QuTScloudi ning võib luua ründajatele võimaluse mõjutatud süsteemides pahaloomulisi käske sisestada (QNAP).

Teine viga, mida tähistatakse kui CVE-2023-23369, mõjutab QTS-i, multimeediakonsooli ja meedia voogesituse lisandmoodulit ning võib ründajatel samuti võimaldada pahaloomulisi käske sisestada (QNAP).

Mõjutatud tooteversioonid ja versioonid, kus turvavead on parandatud, on loetletud QNAPi ametlikus ülevaates (QNAP). Mõjutatud seadmetel tuleks turvavärskendused kohe rakendada, eriti seetõttu, et QNAPi seadmeid on ajalooliselt lunavararünnakute käigus sihitud.

  • Nullpäeva turvanõrkust kasutati Clopi lunavara paigaldamiseks

Pahalased kasutasid ära SysAidi IT-tugitarkvara nullpäeva haavatavust, et saada ettevõtte serveritele juurdepääs ja krüpteerida need Clopi lunavaraga. SysAid on IT-teenuste halduse (ITSM) lahendus, mis pakub tööriistakomplekti erinevate IT-teenuste haldamiseks organisatsiooni sees.

Haavatavus, mida tähistatakse kui CVE-2023-47246, võimaldab pahaloomulist koodi vabalt käivitada. Haavatavus avastati 2. novembril pärast seda, kui häkkerid kasutasid seda SysAidi serveritesse sissemurdmiseks. Clopi lunavara puhul on sageli kasutatud tarkvarade nullpäeva haavatavusi, et serveritesse tungida ja antud lunavaraga süsteemid krüpteerida.

SysAid on kutsunud enda tarkvara kasutajaid uuendama tarkva vähemalt versioonile 23.3.36 ning süsteemilogid üle vaatama (SysAid). Täpsemad juhised selleks leiate siit.

  • Looney Tunables nimelist turvanõrkust kasutatakse pilvekeskkondades majutatud süsteemide ründamiseks

Haavatavust Looney Tunables kuritarvitatakse, et rünnata pilvekeskkondades majutatud süsteeme. Turvanõrkus, mida tähistatakse ka kui CVE-2023-4911, mõjutab suuremaid Linuxi distributsioone, sealhulgas Debian, Gentoo, Red Hat ja Ubuntu. See võimaldab ründajal käivitada kõrgendatud õigustega suvalist koodi (SW).

Ründeid on seostatud Kinsingi rühmitusega, mis on tuntud oma Linuxi pahavara juurutamise poolest konteinerkeskkondades. Rühmituse lõppeesmärk on olnud krüptovaluuta kaevandamistarkvara kohaletoimetamine kompromiteeritud süsteemidesse. Nüüd on täheldatud, et rühmitus üritab ära kasutada Looney Tunablesi osana “uuest eksperimentaalsest kampaaniast”, mille eesmärk on üle võtta pilvekeskkondades majutatud süsteeme (Aquasec).

Täpsemalt saab rünnakukampaania kohta lugeda siit.

  • Isiklikule Google’i kontole salvestatud töökonto kasutajatunnused põhjustasid Okta küberintsidendi

Identiteedi- ja autentimishalduse pakkuja Okta on avalikustanud, et ettevõtte tugisüsteemi hiljutine kompromiteerimine mõjutas 134 tema 18 400 kliendist. Rikkumine viidi läbi kompromiteeritud teenusekonto kaudu, millel oli õigus vaadata ja värskendada klienditoega seotud juhtumeid (Okta).

Teenusekonto kasutajanimi ja parool olid salvestatud töötaja isiklikule Google’i kontole. Ründaja sai tänu üle võetud teenusekontole volitamata juurdepääsu 134 Okta kliendiga seotud failidele. Ettevõte on võtnud kasutusele mitmeid meetmeid, et tulevikus sarnaseid intsidente ära hoida, sealhulgas eemaldanud kompromiteeritud teenusekonto, blokeerinud isiklike Google’i kontode kasutamise Okta hallatavates seadmetes ning juurutanud oma klienditoe süsteemis täiendavad tuvastamisreegleid (HNS).