mastodoni ja Atlassiani logod kõrvuti-

Olulised turvanõrkused 2022. aasta 46. nädalal

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Eelmisel nädalal avalikustas Mozilla Firefoxi veebilehitseja uue versiooni, milles on parandatud 19 turvaviga, k.a üheksa kõrge mõjuga haavatavust (SW). Nende üheksa haavatavuse abil võib ründajal õnnestuda hankida teatud laadi teavet kasutaja kohta ja häirida rakenduse tööd. Nimekirja parandatud vigadest leiate siit.

Kes ja mida peaks tegema?

Turvavead on paigatud Firefoxi versioonis 107. Kui te Firefoxi kasutate, on soovituslik uuendada veebilehitseja esimesel võimalusel. Juhised, kuidas seda teha, leiate siit.

Atlassian parandas kriitilised turvavead

Atlassian parandas oma toodetes Crowd Server and Data Center ja Bitbucket Server and Data Center kriitilised turvavead CVE-2022-43782 (9.0/10.0) ja CVE-2022-43781 (9.0/10.0) (BP).

CVE-2022-43782 põhineb konfiguratsiooniveal, mis võimaldab ründajal kõrvale hiilida parooli kontrollmehhanismidest. Nõrkuse kuritarvitamine on siiski võimalik ainult teatud tingimustel.

Näiteks, kui te uuendasite Crowdi süsteemi versioonilt 2.9.1 versioonini 3.0.0 või uuemale, siis see ei ole haavatav. Kui te paigaldasite kohe haavatava versiooni 3.0.0 või sellest uuema versiooni ning varem ühtegi vanemat versiooni tarkvarast ei kasutanud, on teie Crowdi tarkvara siiski mõjutatud. Samuti on nõrkuse ärakasutamise jaoks vajalik, et ründaja IP-aadress oleks lisatud rakenduse Remote Address konfiguratsiooni (versioonide 3.0.0 ja uuemate puhul ei ole vaikimisi seal ühtegi IP-aadressi). Haavatavus mõjutab Crowd Serveri versioone 3.0.0 kuni 3.7.2, 4.0.0 kuni 4.4.3 ja 5.0.0 kuni 5.0.2.

CVE-2022-43781 mõjutab seevastu Bitbucket Server and Data Center tarkvara ja võimaldab ründajatel potentsiaalselt käivitada pahaloomulist koodi haavatavates süsteemides. Turvanõrkuse vastu on mõjutatud süsteemid, mis kasutavad tarkvaraversiooni 7.0-7.21 või teatud eelduse korral (kui mesh.enabled=false) versiooni 8.0-8.4.

Kes ja mida peaks tegema?

Kui te kasutate neid mõjutatud versiooniga tarkvarasid, lähtuge tootjapoolsetest juhistest siin ja siin ning rakendage vajalikud uuendused ja/või kaitsemeetmed.

Infoturbeteemasid kajastavas Mastodoni keskkonnas oli tõsine turvaviga

Novembris avastati, et populaarsust koguvas infoturbeteemasid käsitlevas Mastodoni keskkonnas oli nõrkus, mille põhjustas ebaefektiivne HTML-sisendi filtreerimine. Nõrkuse abil saanuks varastada näiteks keskkonna kasutajate kasutajatunnuseid (Portswigger).

Mastodoni hinnangul oli nõrkus ainult selle keskkonna põhine, kuid sellest hoolimata väljastati uued tarkvara versioonid 4.0.1, 3.5.5 ja 3.4.10, milles on vajalikud parandused tehtud.

Pikemalt saab nõrkuse üksikasjade kohta lugeda siit.

Samba paikas koodi käivitamist võimaldava turvavea

Turvaviga CVE-2022-42898 mõjutab erinevaid Samba versioone ja peitub S4U2proxy teenuses. Nõrkus võimaldab ründajal viia mõjutatud süsteem spetsiifilise olukorrani (integer overflow), mille tõttu lakkab süsteem töötamast või õnnestub ründajal seal käivitada pahaloomulist koodi. Haavatavad on ainult 32-bitised süsteemid. Tootja hinnangul on enim ohustatud KDC (Key Distribution Center) serverid. Mõjutatud on kõik Samba versioonid, mis on vanemad kui 4.15.12, 4.16.7 või 4.17.3 (SW).

Kes ja mida peaks tegema?

Samba kasutajad peaksid tutvuma tootjapoolse informatsiooniga siin ja rakendama vajalikud turvapaigad. 

RIA analüüsi- ja ennetusosakond

Ülevaade Microsofti toodetest, mille tugi kaob 2023. aastal

Microsoft tõi välja toe kaotavate toodete nimekirja ning täpse kuupäeva. Populaarsemad tarkvarad ja teenused on nimekirjas kirja pandud rasvaselt.

Microsofti tooted, mille tugi lõppeb 10. jaanuaril 2023

  • Dynamics AX 2012 R3
  • Dynamics NAV 2013
  • Dynamics NAV 2013 R2
  • Internet Information Services (IIS), IIS 8.5 Windows 8.1-l
  • Microsoft Diagnostics and Recovery Toolset 8.0
  • Microsoft Report Viewer 2012 Runtime
  • Service Bus for Windows Server
  • User Experience Virtualization (UE-V) 1.0
  • Visual Studio 2012
  • Visual Studio Team Foundation Server 2012
  • Windows 7, pikendatud turvauuendustega 3
  • Windows 8.1
  • Windows Defender For Windows 8 and 8.1
  • Windows Embedded 8.1 Pro
  • Windows RT
  • Windows Server 2008, pikendatud turvauuendustega
  • Windows Server 2008 R2, pikendatud turvauuendustega 3
  • Workflow Manager 1.0

Microsofti tooted, mille tugi lõppeb 11. aprillil 2023

  • Access 2013
  • Dynamics GP 2013
  • Dynamics GP 2013 R2
  • Excel 2013
  • Exchange Server 2013
  • HPC Pack 2012
  • HPC Pack 2012 R2
  • Lync 2013
  • Microsoft Lync Phone Edition
  • Microsoft Lync Server 2013
  • Microsoft Office 2013
  • Microsoft OneNote 2013
  • Outlook 2013
  • PowerPoint 2013
  • Project 2013
  • Project Server 2013
  • Publisher 2013
  • SharePoint Foundation 2013
  • SharePoint Server 2013
  • Skype for Business 2015
  • Visio 2013
  • Word 2013

Microsofti tooted, mille tugi lõppeb 11. juulil 2023

  • BizTalk Server 2013
  • BizTalk Server 2013 R2
  • Dynamics 365 for Customer Engagement Apps, version 9 (on-premises update), Original Release (ver 9.0)
  • Microsoft BitLocker Administration and Monitoring 2.0
  • Microsoft SQL Server 2008, Extended Security Update Year 4 (Azure only)
  • Microsoft SQL Server 2008 R2, Extended Security Update Year 4 (Azure only)
  • Microsoft SQL Server 2012, Extended Security Update Year 1
  • Visual Studio 2022 , Version 17.0 (LTSC channel)
  • Windows Embedded 8 Standard
  • Windows Embedded 8.1 Industry

Microsofti tooted, mille tugi lõppeb 10. oktoobril 2023

  • Excel 2019 for Mac
  • Hyper-V Server 2012
  • Hyper-V Server 2012 R2
  • Internet Explorer 7
  • Internet Information Services (IIS), IIS 8 on Windows Server 2012
  • Internet Information Services (IIS), IIS 8.5 on Windows Server 2012 R2
  • Microsoft Office 2019 for Mac
  • Microsoft Office Audit and Control Management Server 2013
  • Outlook 2019 for Mac
  • PowerPoint 2019 for Mac
  • Windows Embedded Compact 2013
  • Windows Embedded POSReady 7, Extended Security Update Year 2
  • Windows Embedded Standard 7, Extended Security Update Year 3
  • Windows MultiPoint Server 2012
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server Update Services for Windows Server 2012
  • Windows Server Update Services for Windows Server 2012 R2
  • Windows Storage Server 2012
  • Windows Storage Server 2012 R2
  • Word 2019 for Mac

Allikas: Microsoft

Aegunud tarkvara toob kaasa küberohud. Järgnev loetelu toob välja mõned levinumad stsenaariumid

  1. Ründajal õnnestub aegunud tarkvara tõttu kompromiteerida ettevõtte meiliserver/veebiserver. Seejärel ründaja varastab kasutajate postkastide sisu ja/või saadakse ligipääs tööarvutile/arvutitele ning seal olevatele failidele. Selline intsident mõjutab eelkõige konfidentsiaalsust ning võib kaasa tuua ka GDPRi rikkumise.
  2. Aegunud tarkvaraga serveril on turvaauk, mida ründajad lunavararünnakuks kasutavad. Kui  serveri sisu pole varundatud või ei ole varukoopiast võimalik piisaval hulgal andmeid taastada, mõjutab intsident esmalt teenuste käideldavust. Suure tõenäosusega on ettevõtte töö tugevalt häiritud. Lunavararünnakutega kaasneb ka andmelekke oht. See tähendab, et ründajad varastavad enne süsteemide krüpteerimist andmed seal hoitavad andmed. Nendeks võivad olla klientide andmed, muu tundlik info ja ärisaladused. Varastatud andmeid kasutatakse hiljem väljapressimiseks. Seega võib selline intsident põhjustada nii rahalist- kui ka mainekahju.
  3. Ettevõttes kasutatakse aegunud kontoritarkvara, mille abil töötlevad ettevõtte töötajad andmeid. Ühel päeval saabub ühe töötaja postkasti kiri koos manusega. Töötaja laeb manuse alla ja avab selle, mille tagajärjel käivitub pahavara. Kuna viirusetõrjetarkvara on samuti aegunud või ei ole see võimeline pahavara tuvastama, ei takista miski selle käivitumist. Pahavara kasutab ära üht spetsiaalset turvanõrkust, mis kimbutab just vanemaid kontoritarkvaraversioone. Pahavara abil saavad ründajad ligipääsu esmalt konkreetse töötaja arvutile, kust võimalusel liigutakse edasi. Pahavaraga võib nakatuda kogu ettevõtte võrk. Selline intsident võib mõjutada nii konfidentsiaalsust, terviklust kui käideldavust, sõltuvalt ründaja eesmärkidest.

Kõik eelnevalt kirjeldatud intsidendid võivad põhjustada ettevõtetele nii rahalist- kui ka mainekahju.  Need kaks tegurit mõjutavadki potentsiaalset ohvrit kõige rohkem. Lisaks tõstavad tootjapoolse toeta toodete kasutamine tegevusriski, kuna nendest tingitud ründed võivad peatada organisatsiooni töö täielikult.

Olulised turvanõrkused 2022. aasta 45. nädalal

Microsoft paikas uuenduste teisipäeva raames 68 turvaviga

Microsoft avalikustas, et parandas enda toodetes 68 turvaviga, millest kuut on aktiivselt ära kasutatud (BP). Uuenduste teisipäev on igakuine päev, mil ettevõte koondab ja publitseerib informatsiooni uutest turvanõrkustest, mis on firma toodetes paigatud.  

Microsoftilt tulid parandused muuhulgas ka kahele turvanõrkusele, mida teatakse koondnimetusega ProxyNotShell. Need kaks haavatavust võimaldavad suurendada õiguseid haavatavas süsteemis ja seal potentsiaalselt pahaloomulist koodi käivitada. Microsoft pakkus algselt mõjutatud süsteemidele (Microsoft Exchange Server 2013, 2016 ja 2019) välja ajutised kaitsemeetmed, kuid nüüd on olemas ka turvauuendused. RIA kirjutas pikemalt nendest haavatavustes septembri lõpus enda blogis.

Samuti paikas ettevõte turvanõrkuse CVE-2022-41091, mis lubas pahaloomulisel osapoolel ühest Microsofti kaitsemeetmest (Mark of the Web ehk MOTW) mööda pääseda. MOTW on kaitsemeede, mis hoiatab kasutajaid kahtlaste failide avamise korral. Meetme rakendudes kuvab Windows kasutajale hoiatusteate, milles palutakse temalt faili avamise jaoks kinnitust. Nõrkuse tõttu aga ei rakendunud teatud failide puhul (nt .LNK failid) see kaitsemeede. Ründajad saavad seda haavatavust ära kasutada, et käivitada lihtsamalt pahaloomulisi programme sihtmärgi süsteemis(des). 

Kes ja mida peaks tegema?

RIA soovitab tutvuda kõikide paigatud nõrkustega ja uurida, milliseid süsteeme need mõjutavad. Vajadusel tuleb rakendada vastavad turvauuendused, et vältida nõrkuste ärakasutamist. Täpsemalt saate ülevaate parandatud nõrkustest siit.

Apple paikas kaks olulise mõjuga haavatavust enda toodetes

USA tehnoloogiahiid avalikustas uued iOSi (16.1.1), macOSi (13.0.1) ja iPadOSi (16.1.1) tarkvaraversioonid, milles on parandatud kaks olulist turvaviga (CVE-2022-40303 ja CVE-2022-40304). Mõlema haavatavuse abil on ründajal võimalik rakenduste tööd häirida või käivitada pahaloomulist koodi. Apple ei ole teadlik, et neid haavatavusi oleks jõutud ära kasutada (SW).

Parandatud turvanõrkuste nimekiri macOS 13.0.1 versioonis.

Parandatud turvanõrkuste nimekiri iOS 16.1.1 ja iPadOS 16.1.1 versioonides.

Kes ja mida peaks tegema?

Kui teie Apple tooted pakuvad teile tarkvara uuendamise võimalust, rakendage uuendus esimesel võimalusel.

Juhendi, kuidas macOSi uuendada, leiate siit. Juhendi, kuidas iOSi/iPadOSi uuendada, leiate siit.

VMware parandas kolm kriitilist turvaviga

VMware paikas kolm kriitilist turvanõrkust VMware Workspace ONE Assistis, mis võimaldavad autentimisest mööda minna ja omandada süsteemis administraatori tasemel õigused. Ründajal peab olema võrguligipääs haavatavale Workspace ONE Assist serverile. Turvanõrkuseid tähistatakse nimetustega CVE-2022-31685, CVE-2022-31686 ja CVE-2022-31687 ja kõiki on hinnatud skooriga 9.8/10.

Kes ja mida tegema peaks?

Turvanõrkused parandati VMware Workspace ONE Assisti versioonis 22.10. Kui te te seda toodet kasutate, tutvuge VMWare’i juhistega ja rakendage versioon 22.10 esimesel võimalusel.

Lenovo parandas sülearvutitel kaks kõrge tasemega haavatavust

Lenovo parandas erinevatel sülearvutitel kaks kõrge tasemega haavatavust (BP). Nõrkuste kaudu on ründajatel võimalik deaktiveerida UEFI Secure Boot. Selle tagajärjel saab ründaja mööda minna kõigist seadme kaitsemeetmetest, et paigaldada pahavara, mis ei kao operatsioonisüsteemide korduvinstalleerimisel.

CVE-2022-3430 – Mõne Lenovo sülearvuti jaoks mõeldud WMI häälestusdraiver võib kõrgendatud õigustega ründajal lubada muuta Secure Booti sätteid.

CVE-2022-3431 – Mõne sülearvutimudeli tootmise jooksul kasutati draiverit, millel oli nõrkus ning see draiver unustati deaktiveerida. Selliste mudelite puhul on võimalik kõrgendatud õigustega ründajal muuta Secure Booti sätteid.

Kes ja mida peaks tegema?

Lenovo toodete kasutajatel soovitatakse kontrollida, kas nende kasutatavad tooted on haavatavad. Selleks tuleb külastada tootja veebilehte, kus on haavatavad mudelid välja toodud ning rakendada vajadusel turvauuendused.

Google Pixel 6 ja 5 nutitelefonide lukustuskuvast on võimalik mööda pääseda

Üks küberturvalisuse ekspert avastas, et tal oli võimalik enda Pixel 6 nutitelefoni lukustuskuvast mööda pääseda (BP). Nimelt tekkis temal selline tavatu situatsioon siis, kui tal oli vaja seade uuesti PUK-koodiga avada. Koodi kasutamise järgselt pidi ekspert uue PIN-koodi looma ja sisestama. Kui ta oli seda teinud, ei küsinud seade enam lukustuskuva parooli, vaid kasutajal tuli ainult lõpetada biomeetrilise autentimise protseduur. Kuna Androidi seadmed küsivad seadme taaskäivitamisel alati lukustuskuva parooli või mustrit, tekitas eelnevalt kirjeldatud situatsioon eksperdis kahtlust. Uurides nõrkuse asjaolusid täpsemalt, selgus, et pahatahtlikul osapoolel õnnestuks ka biomeetrilist autentimist vältida ning saada ligipääs seadme koduekraanile.

See tähendab, et kõigil kellel on seadmele füüsiline juurdepääs, on võimalik seade turvavea abiga avada. Selleks tuleb ründajal lihtsalt kasutada personaalset SIM-kaarti, keelata biomeetriline autentimine (proovides sõrmejäljega end ebaõnnestunult autentida liiga palju kordi), sisestada kolm korda vale PIN-kood ja esitada PUK-kood.

Kes ja mida peaks tegema?

Turvaviga (CVE-2022-20465) mõjutab kõiki Google Pixel 6 ja 5 seadmeid, mis kasutavad Androidi versioone 10,11,12 ja 13 ja millele ei ole rakendatud 7. novembril avaldatud uuendus. Kui te selliseid telefone kasutate, uuendage seade esimesel võimalusel. 

SAP paikas mitu kriitilist turvanõrkust enda toodetes

SAP paikas mitu turvanõrkust (CVE-2022-41203, CVE-2021-20223, CVE-2022-35737 ja CVE-2022-41204 ), mis on hinnatud kriitiliseks (vastavalt skooridega 9.9/10.0; 9.8/10.0 ja 9.6/10.0). Turvavead mõjutavad SAPi tarkvarasid BusinessObjects and SAPUI5. Kui neid edukalt ära kasutada, võivad need avalda mõju nii süsteemide käideldavusele, terviklusele kui konfidentsiaalsusele (SW).

Kes ja mida peaks tegema?

Mõjutatud tarkvarade versioonid on välja toodud tootjapoolses ülevaates siin. Vajadusel tuleb rakendada turvapaigad.