Olulisemad turvanõrkused 2024. aasta 40. nädalal

Ründajad kasutavad ära kriitilist koodi käivitamise viga Zimbra e-posti serverites

Zimbra Collaborationi tarkvara erinevates versioonides esinev turvaviga CVE-2024-45519 (CVSS skoor 10/10) võimaldab käivitada pahaloomulisi käsklusi haavatavas süsteemis ja alates 28.08.2024 on see aktiivsete rünnakute all.

Zimbra tarkvara on laialdaselt kasutuses nii riiklikes asutustes kui ka erafirmades ja on seetõttu varasemalt olnud ründajate sihtmärgiks.

Viga on paigatud järgmistes Zimbra versioonides: 8.8.15 (Patch 46), 9.0.0 (Patch 41), 10.0.9 ja 10.1.1. Soovitame uuendada tarkvara uusimale versioonile (HNS, BC, HN).

CISA hoiatab, et Ivanti Endpoint Manageri turvanõrkus on aktiivsete rünnakute all

USA Cybersecurity and Infrastructure Security Agency (CISA) hoiatab, et Ivanti Endpoint Manageri (EMT) turvanõrkus CVE-2024-29824 (CVSS skoor 9.6/10), millest kirjutasime 24. nädala blogipostituses, on nüüd aktiivsete rünnakute all.

Soovitame uuendada tarkvara esimesel võimalusel (THN, BC).

DrayTek paikas hulga turvavigu, mis mõjutasid 700 000 ruuterit

DrayTek parandas 14 turvaviga Vigori seeria 24 erineval ruuterimudelil. Osad turvavigadest on kriitilised ja tootja on andnud välja turvauuendused ka tööea (end of life) lõpus olevatele mudelitele.

DrayTek Vigori seeria ruuteri kasutamisel soovitame kontrollida, kas turvanõrkused puudutavad ka sinu seadet ja vajadusel uuendada tarkvara uusimale versioonile. (BC).

Apple’i iOS 18.0.1 paikas kaks turvaviga

Turvavigade kaudu on võimalik saada ligipääs kasutaja paroolidele ja salvestatud helilõikudele (audio snippets). Apple avaldas nii uue iOSi kui ka iPadOSi versiooni 18.0.1, kus nimetatud vead on parandatud.

Üks turvanõrkustest võimaldas salvestada helilõikusid ka mõni hetk enne mikrofoni indikaatori aktiveerimist. Teine turvanõrkus seisnes loogikaveas, mille tõttu VoiceOveri kuvaluger (screen reader) võis kõvasti ette lugeda ka kasutaja salvestatud paroole.

Soovitame kõigil Apple’i iOSi kasutajatel uuendada tarkvara esimesel võimalusel (SW).

WordPressi pistikprogrammi  turvanõrkuse tõttu on ohus üle 5 miljoni veebilehe

WordPressi pistikprogrammi Litespeed Cache turvanõrkus CVE-2024-47374 (CVSS skoor 7.1) võimaldab autentimata ründajal lisada koodisüstina veebilehele ründekoodi. Turvanõrkuse põhjuseks on ebapiisav sisendi puhastamine veebilehe genereerimise käigus.

Litespeed Cache’iteemal oleme kirjutanud ka 34. ja 36. nädala blogipostitustes ja soovitame antud pistikprogrammi kasutajatel eriti hoolsalt jälgida, et turvauuendused oleksid alati esimesel võimalusel paigaldatud.

Turvanõrkus on paigatud tarkvara versioonis 6.5.1 ja soovitame kõigil kasutajatel uuendada pistikprogramm kõige uuemale versioonile (SA, ISM).

Kriitiline turvaauk sisuhaldussüsteemis (CMS) Drupal

Avastatud on kriitiline turvaauk Drupali populaare sisuhaldussüsteemi (CMS) mitmikautentimist võimaldavas moodulis, mis laseb ründajal siseneda süsteemi vaid kasutajanime ja parooliga, hoolimata seadistatud mitmikautentimisest. Infot turvaaugu ärakasutamise kohta ei ole avaldatud.

Drupal soovitab esimesel võimalusel uuendada mitmikautentimise mooduli tarkvara uusimale versioonile (DP).

Common UNIX Printing Systemi (CUPS) kriitilised turvavead

Septembri viimasel nädalal tuli avalikuks neli turvanõrkust avatud lähtekoodiga Common UNIX Printing Systemi (CUPS) printimissüsteemis. Seda printimissüsteemi kasutatakse Linuxi ja UNIXi operatsioonisüsteemides nii kohalike kui ka võrguprinteritega printimiseks. Kuna hetkel ei ole veel turvavigadele parandust, siis soovitatakse ajutise lahendusena teenus (cups-browsed) peatada. Shodani päringu alusel oli 26. septembril enam kui 75 000 internetile avatud seadet, mis kasutavad CUPSi teenust (RedHat, Tenable, NCSC-IE).

Kuidas vältida pettuseid veebilehel Booking.com?

Oleme viimasel ajal saanud teate kahest juhtumist, kus majutusteenust vahendava platvormi kaudu proovitakse inimesi petta. Mõlemad intsidendid toimusid populaarses keskkonnas Booking.com, mida on aastate jooksul kasutatud enam kui 4,5 miljardi broneeringu tegemiseks üle maailma. Portaali on omaks võtnud ka Eesti reisihuvilised.  

Mis täpsemalt juhtus?

Esimene lugu

Heausklik inimene broneeris majutuse veebisaidil Booking.com. Esmalt ta luges teiste külastajate hinnanguid ja vaatas majutusasutuse fotosid ning maksumust – pakkumine tundus suurepärane. Keskkonnas oli hotellist mitukümmend fotot ja samuti oli paarkümmend kasutajat jätnud positiivse tagasiside. Kuigi tasumine peaks toimuma Booking.com’i kaudu, edastas majutusteenuse pakkuja kliendile eraldi pangakonto, millele klient raha üle kandis. Pärast seda, kui klient oli makse sooritanud, kadus omanik nagu tina tuhka ja majutuskoht oli portaalist maha võetud.

Teine lugu

Tudeng soovis ööbida Riias ja läks sobivat majutuskohta otsima Booking.com portaali. Valikul oli määravaks teguriks hind, mistõttu majutuskoha arvustusi ta ei lugenud. Peale broneeringu kinnitamist ei tulnud omanikult mingit tagasisidet ega juhiseid korterisse jõudmiseks. Kui klient oli sihtkohta jõudmas, helistas ta omanikule ja sai teada, et korteris on „veeavarii“ ning seal pole võimalik ööbida. Klient küsis võimaliku kompensatsiooni kohta, mille peale lubas omanik Booking.com’is broneeringu tühistada, vastasel juhul oleks pidanud klient ööbimise eest tasuma. Samal õhtul võeti kliendi kontolt raha ikkagi maha, sest omanik polnud broneeringut tühistanud ja märkis portaalis, et klient majutuskohta ei ilmunud. Majutusteenuse pakkuja kustutas ka ühise vestluse Booking.com keskkonnas, et poleks võimalik juhtunut hiljem tõestada. Seda ebameeldivat juhtumit oleks saanud ära hoida, lugedes majutuse kohta jäetud varasemate klientide arvustusi ja pöörates tähelepanu väga madalale hinnangule.

RIA soovitused

  • Veendu, et oled ametlikul Booking.com lehel. Selleks kontrolli kindlasti veebilehe aadressi (URLi). Google’is tuleb esimese vastena tihtipeale makstud reklaam ja ka kurjategijad kasutavad seda võimalust õngitsuslehtede reklaamimiseks. Google’is võib tunduda kõik legitiimne, kuid tegelikult viib link kurjamite loodud võltslehele.
  • Guugelda majutusasutust, sest paljudel kohtadel on lisaks Booking.com’ile ka ametlik veebileht. Seal on võimalik üle kontrollida majutusteenuse tingimused, kontaktandmed ja muu olulise info.
  • Loe arvustusi ja vaata, mida teised kliendid on kirjutanud. Lisaks arvustustele tutvu ka Google’is olevate hinnangutega, kuid pea meeles, et neid on kerge võltsida. Vaata kindlasti üle ka majutuse tänavavaade (Google Street View).
  • Soovitame majutuse eest tasuda ainult läbi ametliku majutusportaali (Booking, Airbnb jne). Isegi kui majutaja seda palub, ära maksa eraldi ülekandega. Ära sisesta oma isiklikke ega pangakaardi andmeid e-kirja teel saabunud kahtlastele linkidele. Kui maksta eraldi ülekandega, siis ei saa ka majutuskeskkonna klienditugi aidata raha tagasisaamisel.
  • Booking.com teavitab külastajaid ainult läbi ametlike meiliaadresside, mille lõpus on @booking.com, @support.booking.com või @partner.booking.com. Ole valvas ja ära usalda teistelt aadressidelt saabunud teavitusi.
  • Veendu, et sinuga oleks ühendust võetud enne majutuskohta jõudmist. Kui suhtlus tundub kahtlane, on võimalik sellest märku anda Booking.com’i klienditeenindusele.
  • Lisa oma kontole kaheastmeline autentimine. Seda tasub teha kõigis keskkondades, kus nimetatud võimalust pakutakse.

Loe ka Kroonikast ja Õhtulehest, mis juhtus Ženja Fokinil Booking.com keskkonnas ning kuula samal teemal Star FMi hommikuprogrammi intervjuud, mis oli eetris 3. oktoobril 2024.

Olulisemad turvanõrkused 2024. aasta 39. nädalal

Kriitilist turvanõrkust Ivanti Virtual Traffic Manageri tarkvaras kasutatakse ära

CISA andis teada, et Ivanti Virtual Traffic Manageri (vTM) kriitiline turvaviga tähisega CVE-2024-7593 (CVSS skoor 9.8) on aktiivsete rünnakute all. Turvanõrkus võimaldab ründajal luua võltsitud administraatorikontosid, mille kaudu rakendust kontrollida.

Ründepinna vähendamiseks soovitab Ivanti lubada vTM-i haldusliidesele ligipääsu IP-põhiselt, lisaks kontrollida revisjonlogi (Audit Log) kirjeid süsteemi võimaliku kompromiteerimise tuvastamiseks.

Turvauuendused on välja antud 19.08.2024, soovitame uuendada Ivanti vTM tarkvara uusimale versioonile (BC).

ESET paikas oma toodetes kaks õiguste vallutuse turvaviga

ESET paikas kaks haavatavust (CVE-2024-7400 ja CVE-2024-6654), mis võimaldavad õigustega manipuleerida.

Haavatavus CVE-2024-7400 (CVSS skooriga 7.3) esineb järgmistes toodetes:

  • ESET File Security for Microsoft Azure
  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security Premium, ESET Security Ultimate
  • ESET Small Business Security and ESET Safe Server
  • ESET Endpoint Antivirus and ESET Endpoint Security for Windows
  • ESET Server Security for Windows Server (formerly File Security for Microsoft Windows Server)
  • ESET Mail Security for Microsoft Exchange Server
  • ESET Mail Security for IBM Domino
  • ESET Security for Microsoft SharePoint Server

Haavatavus CVE-2024-6654 (CVSS skoor 6.8) esineb järgmistes toodetes:

  • ESET Cyber Security 7.0 – 7.4.1600.0
  • ESET Endpoint Antivirus for macOS 7.0 – 7.5.50.0

Mõlemad vead on paigatud ja kõigil ESETi toodete kasutajatel tuleks tarkvara uuendada (SA, ESET).

Aruba Networking parandas kolm kriitilist turvaviga

HPE Aruba Networking on parandanud kolm kriitilist haavatavust (CVE-2024-42505, CVE-2024-42506 ja CVE-2024-42507, kõigi CVSS skoor 9.8) Command Line Interface (CLI) teenuses, mis võimaldavad autentimata ründajatel haavatavates seadmetes koodi käivitada.

Vead mõjutavad Aruba Access Point seadmeid, mis kasutavad järgmisi tarkvara versioone:

  • AOS-10.6.x.x: 10.6.0.2 ja varasemad
  • AOS-10.4.x.x: 10.4.1.3 ja varasemad
  • Instant AOS-8.12.x.x: 8.12.0.1 ja varasemad
  • Instant AOS-8.10.x.x: 8.10.0.13 ja varasemad

29.09.2024 seisuga ei toimu aktiivseid rünnakuid, kuid tarkvara uuendused on väljas ja soovitame need esimesel võimalusel installeerida (BC).

Kriitiline turvaviga NVIDIA Container Toolkitis võimaldab hosti ülevõtmist

Turvanõrkus CVE-2024-0132 (CVSS skoor 9.0) on konteinerist põgenemise (container escape) nõrkus, mis võimaldab ründajal saada kontroll hosti üle, käivitada endale sobivat koodi või varastada andmeid.

Mõjutatud on järgmised tooteversioonid: NVIDIA Container Toolkit 1.16.1 ja varasemad, ja GPU Operator 24.6.1 ja varasemad.

Kasutajatel soovitatakse uuendada mõjutatud tarkvarad järgmistele versioonidele: NVIDIA Container Toolkit 1.16.2 ja NVIDIA GPU Operator 24.6.2 (BC).

Turvanõrkus OpenAI ChatGPT MacOS-i versioonis

Praeguseks parandatud turvanõrkus OpenAI ChatGPT MacOS-i versioonis võimaldas ründajal istutada tehisintellekti rakenduse mällu püsivat nuhkvara, mis võimaldas rakendusest saada kätte kogu info, mis kasutaja rakendusse sisestas või vastuseks sai. Soovitame kasutajatel uuendada ChatGPT MacOS-i tarkvara uusimale versioonile (HN)

Microsoft lõpetab tarkvara Windows Server Update Services (WSUS) arendamise

Microsoft andis teada, et lõpetab Windows Serveri ajakohastusteenuste (WSUS) edasiarendamise, kuid jätkab olemasoleva funktsionaalsuse pakkumist ja uuenduste avaldamist. Microsoft soovitab WSUS-i asemel võtta kasutusele pilvepõhised lahendused Windows Autopatch või  Microsoft Intune ja Azure Update Manager. (BC, Microsoft).