Olulisemad turvanõrkused 2024. aasta 21. nädalal

Küberkurjategijad kasutavad ära GitHubi ja FileZillat, et levitada pahavara

GitHubi ja FileZilla kaudu on hakatud levitama erinevat andmeid varastavat pahavara ja pangandustroojalisi, nagu Atomic (teise nimega AMOS), Vidar, Lumma (teise nimega LummaC2) ja Octo. Rünnete läbiviimiseks on loodud GitHubi võltsprofiilid ja koodihoidlad, mille kaudu levitatakse pahavara. Pahavara on loodud nii Androidi, macOSi kui ka Windowsi kasutajate sihtimiseks. Kasutajale jääb mulje, et ta laeb alla legitiimset tarkvara, kuid tegelikult jagatakse koodihoidlas hoopis kurjategijate loodud võltstarkvara (HN).

QNAP paikas oma NAS-seadmetes koodi kaugkäivitamist võimaldava turvavea

Taiwani tehnikatootja QNAP Systems paikas turvavea tähisega CVE-2024-27130, mille kaudu on ründajal võimalik käivitada pahaloomulist koodi. Vea kohta on avaldatud ka kontseptsiooni tõendus. Viga paigati tarkvara QTS versioonis 5.1.7.2770 ja QuTS hero versioonis h5.1.7.2770. Lisaks nimetatud veale parandati teisigi haavatavusi ja kõigil kasutajatel on soovitatav tarkvara uuendada. QNAPi seadmete haavatavusi on varasemalt rünnete läbiviimisel ära kasutatud (SW, HN).

Ivanti paikas kriitilise turvavea Endpoint Manageri tarkvaras

Ivanti paikas oma toodetes mitmeid haavatavusi, mille hulgas oli ka kriitiline koodi käivitamist võimaldav viga Endpoint Manageri (EPM) tarkvaras. Ettevõtte sõnul paigati EPMis kokku kuus kriitilist SQLi käivitamise viga, mille kaudu võib autentimata ründaja suvalist koodi käivitada. Turvavead kannavad tähiseid CVE-2024-29822 kuni CVE-2024-29827 ja neid on hinnatud kriitilise CVSS skooriga 9.6/10. Lisaks paigati haavatavusi ka Avalanche’i ja Connect Secure’i tarkvarades.

Ivanti sõnul ei ole neil infot, et turvavigu oleks õnnestunud ära kasutada, kuid sellegipoolest soovitatakse kõigil nende toodete kasutajatel tarkvara uuendada (SW).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-4985 on hinnatud maksimaalse CVSS skooriga 10/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.13.0 ja on paigatud versioonides 3.9.15, 3.10.12, 3.11.10 ning 3.12.4. Täpsemalt mõjutab haavatavus neid, kes kasutavad SAMLi single-sign-on (SSO) lahendust. Hetkel teadaolevalt ei ole õnnestunud haavatavust kuritarvitada, kuid arvestades turvavea tõsidust  soovitatakse kõigil kasutajatel siiski tarkvara uuendada esimesel võimalusel (SW, DR).

Veeam hoiatab oma kliente kriitilisest turvaveast Backup Enterprise Manageri tarkvaras

Kriitiline haavatavus tähisega CVE-2024-29849 on hinnatud CVSS skooriga 9.8/10 ning selle kaudu saab ründaja autentimisest mööda minna. Eduka ründe korral on võimalik sisse logida Veeam Backup Enterprise Manageri veebiliidesesse, justkui oleks tegemist õige kasutajaga. Turvaviga mõjutab Backup & Replicationi tarkvara versioone 5.0 kuni 12.1. Lisaks kriitilisele veale paigati veel kolm haavatavust tähistega CVE-2024-29850, CVE-2024-29851 ja CVE-2024-29852.

Vead on parandatud versioonis 12.1.2.172. Kui tarkvara uuendada ei ole võimalik, siis soovitab tootja seda ajutiselt mitte kasutada (SA, SW, BC).

GitLab paikas turvavea, mille kaudu saab konto üle võtta

Kõrge mõjuga turvaviga tähisega CVE-2024-4835 võimaldab autentimata ründajal kasutaja konto üle võtta ning saada ligipääsu piiratud teabele. See ja mitmed teised turvavead on paigatud GitLab Community Editioni (CE) ja Enterprise Editioni (EE) versioonides 17.0.1, 16.11.3 ning 16.10.6.

GitLab on populaarne sihtmärk ründajate seas, kuna seal hoitakse erinevat tüüpi tundlikke andmeid – muu hulgas näiteks API võtmeid ja tarkvara lähtekoodi. Seetõttu võivad kaaperdatud GitLabi kontod avaldada ettevõttele märkimisväärset mõju ja kaasa tuua ka tarneahela rünnaku. Näiteks võib juhtuda, et ründaja saab ligipääsu ohvri keskkonnale ning lisab sinna pahatahtlikku koodi.

CISA avaldas ka sel kuul hoiatuse, et endiselt proovitakse ära kasutada jaanuaris paigatud GitLabi haavatavust. Haavatavus tähisega CVE-2023-7028 võimaldab ründajal kasutajakonto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile. Kuna GitLabi haavatavused on tihti olnud rünnete sihtmärgiks, siis soovitame tarkvara uuendada esimesel võimalusel (BC).

Google paikas taas Chrome’i nullpäeva turvanõrkuse

Tegemist on kaheksanda Chrome’i nullpäeva turvanõrkusega sel aastal ja maikuus on paigatud juba neli nullpäeva haavatavust. Ettevõtte sõnul on turvaviga tähisega CVE-2024-5274 rünnetes ära kasutatud. Soovitame uuendada Chrome’i uuele versioonile 125.0.6422.112 esimesel võimalusel (BC, DR).

Olulisemad turvanõrkused 2024. aasta 20. nädalal

iOS 17.5 paikab 15 turvanõrkust

Apple avaldas uue iOSi versiooni, milles on parandatud 15 haavatavust. Vead mõjutavad erinevaid rakendusi: Find My, Maps, Notes, Screenshots, Shortcuts, WebKit jt.

Lisaks avaldati ka turvauuendused vanematele iPhone’i ja iPadi seadmetele – mõjutatud on iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch ja iPad Pro 12.9-inch 1st generation. Turvavead on paigatud tarkvarades iOS 16.7.8, iPadOS 16.7.8 ja macOS Ventura 13.6.7.

Sel aastal on juba kolme Apple’i turvanõrkust õnnestunud kuritarvitada ja seetõttu soovitame kõigil Apple’i seadmete kasutajatel tarkvara uuendada (9to5mac, Apple, BC).

Google paikas kolmanda Chrome’i nullpäeva turvanõrkuse nädala jooksul

Möödunud nädalal tuli Google Chrome’i veebilehitsejas avalikuks lausa kolm nullpäeva turvanõrkust. Ettevõtte teatel on turvavigasid tähistega CVE-2024-4947, CVE-2024-4671 ja CVE-2024-4761 õnnestunud rünnete läbiviimisel ära kasutada. Sel aastal on Chrome’is avastatud kokku juba seitse nullpäeva turvanõrkust. Kõigil kasutajatel tuleks uuendada Chrome uusimale versioonile 125.0.6422.60 (SA, BC).

Adobe paikas oma tarkvarades kriitilisi vigu

Adobe paikas kokku 35 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat ja Reader, Adobe Illustrator, Adobe Substance 3D Painter ning Adobe Aero. Mitmed parandatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada. Adobe’i sõnul pole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Kuna kriitilised turvavead mõjutavad ka laialdaselt kasutusel olevaid Adobe Acrobat ja Reader tarkvarasid, siis on oluline tarkvara värskendada. Lisatud lingil on nimekiri kõigist Adobe tarkvarade turvauuendustest (SW).

VMware paikab Pwn2Owni häkkimisvõistlusel leitud haavatavused

VMware paikas neli turvanõrkust (CVE-2024-22267, CVE-2024-22268, CVE-2024-22269 ja CVE-2024-22270), mis võimaldavad ründajal pahatahtlikku koodi käivitada, teenuseid tõkestada ja saada ligipääsu tundlikule infole. Turvavead mõjutavad VMware’i tooteid Workstation (versioonid 17.x) ja Fusion (versioonid 13.x). Haavatavused on paigatud  nimetatud tarkvarade versioonides 17.5.2 ja 13.5.2. Nendel, kel ei ole võimalik tarkvara uuendada, soovitab tootja virtuaalmasinas Bluetoothi toe välja lülitada ja 3D-funktsioon keelata (SW, HN).

Microsoft paikas Windowsi nullpäeva turvanõrkuse

​Microsoft on parandanud nullpäeva haavatavuse, mida kasutati QakBoti ja muude pahavarade levitamiseks Windowsi süsteemidesse. QakBoti on seostatud vähemalt 40 lunavararündega, mis on suunatud ettevõtete, tervishoiuteenuste osutajate ja riigiasutuste vastu üle kogu maailma.

Turvanõrkuse CVE-2024-30051 eduka ära kasutamise korral sai ründaja süsteemitaseme õigused. Kokku paigati 61 turvaviga, mille hulgas oli kolm nullpäeva turvanõrkust ja 27 koodi kaugkäivitamist võimaldavat viga. Ainult üks paigatud viga on hinnatud kriitiliseks ning see mõjutab Microsoft Office SharePointi tarkvara (BC, BC).

Intel paikas oma toodetes 90 turvaviga

Kõige tõsisema mõjuga on kriitiline turvaviga tähisega CVE-2024-22476, mida on hinnatud maksimaalse CVSS skooriga 10/10 ja mille kaudu on võimalik saada kaugteel kõrgemad õigused. Suuremale osale haavatavustest on olemas turvapaigad, aga mõnele on pakutud ka leevendavaid meetmeid. Enamik turvavigadest võib kaasa tuua privileegide suurenemise, teenuste tõkestamise või tundliku teabe avalikustamise (SW).

D-Linki ruuterid on haavatavad seadme ülevõtmise veale

HNAP-i protokolli turvaviga mõjutab D-Linki ruutereid ja annab autentimata ründajale võimaluse juurõigustes pahaloomulisi käske käivitada. Teadurid avaldasid nullpäeva turvanõrkusele kontseptsiooni tõenduse, mis näitab, kuidas nimetatud haavatavust on võimalik ära kasutada. Turvaviga mõjutab D-Linki DIR-X4860 ruutereid ja selle kaudu on võimalik seade üle võtta. Hetkel ei ole veel haavatavusele olemas parandust, samuti ei ole ruuteri tootja vastanud midagi turvavea avastajale. Mõjutatud seadmete kasutajatel on võimalik kaugjuurdepääsu haldusliides ära keelata, et turvanõrkuse mõju vältida.

D-Linki seadmetes olevad vead võivad olla suureks turvariskiks. Varasemalt on teada, et neid on kasutatud nii robotvõrgustike loomiseks kui ka tundlike andmete varastamiseks. Lisaks on ettevõte ise sattunud küberründe ohvriks, mille käigus paljastati nende lähtekood ja klientide andmed (DR, SSD, BC).

Olulisemad turvanõrkused 2024. aasta 19. nädalal

Androidi Xiaomi seadmetes avastati mitu turvaauku

Androidi kasutavate Xiaomi seadmete erinevates rakendustes ja süsteemikomponentides leiti 20 turvaviga. Turvaaukude ärakasutamine võib kaasa tuua erinevad pahaloomulised tegevused ja ligipääsu seadmes olevatele failidele ning kontoandmetele.

Turvavead mõjuvad järgmisi rakendusi ja komponente:

  • Gallery (com.miui.gallery)
  • GetApps (com.xiaomi.mipicks)
  • Mi Video (com.miui.videoplayer)
  • MIUI Bluetooth (com.xiaomi.bluetooth)
  • Phone Services (com.android.phone)
  • Print Spooler (com.android.printspooler)
  • Security (com.miui.securitycenter)
  • Security Core Component (com.miui.securitycore)
  • Settings (com.android.settings)
  • ShareMe (com.xiaomi.midrop)
  • System Tracing (com.android.traceur)
  • Xiaomi Cloud (com.miui.cloudservice)

Xiaomi seadmete kasutajatel soovitatakse uuendada tarkvara (HN, OS).

Citrix paikas kõrge mõjuga turvanõrkuse

Citrix parandas turvanõrkuse, mis mõjutab NetScaler ADC ja Gateway seadmeid. Uut turvaviga võrreldakse eelmisel aastal avalikuks tulnud haavatavusega, mida nimetati “CitrixBleed”, kuna ka selle kaudu on võimalik autentimata ründajal saada ligipääs tundlikule infole. Küll aga ei ole uus turvaviga nii suure mõjuga. Kõigil kasutajatel soovitatakse NetScaler uuendada versioonile 13.1-51.15 või veel värskemale (DR, BF).

Häkkerid on võtnud sihikule WordPressi pistikprogrammi

Turvanõrkus (CVE-2023-40000) mõjutab pistikprogrammi Litespeed Cache ja selle kaudu on võimalik saada administraatoriõigused ning kontroll veebilehe üle. Viga on paigatud juba eelmisel aastal, kuid endiselt kasutab ligi kaks miljonit veebilehte turvanõrkusega versiooni.

Viimasel ajal on näha olnud mitmeid katseid nimetatud turvavea kuritarvitamiseks – häkkerid skaneerivad võrku ja otsivad veebilehti, mis kasutavad pistikprogrammi turvapaikamata versiooni. Ohus on kõik veebilehed, mis kasutavad Litespeed Cache’i versiooni 5.7.0.1 või vanemat.

Soovitame kõigil WordPressi veebilehtede administraatoritel pistikprogramme regulaarselt uuendada. Samuti tasuks jälgida, et lehele ei oleks loodud uusi administraatorikontosid ja mittevajalikud komponendid oleks eemaldatud (BC).

Enam kui 50 000 Tinyproxy serverit on ohus kriitilise turvavea tõttu

Ligikaudu 52 000 internetile avatud Tinyproxy serverit on haavatavad turvavea tõttu, mis võimaldab pahaloomulist koodi kaugkäivitada. Haavatavus tähisega CVE-2023-49606 on hinnatud kriitilise CVSS skooriga 9.8/10 ning see mõjutab Tinyproxy versioone 1.11.1 ja 1.10.0. Viga on paigatud versioonis 1.11.2. Kasutajatel soovitatakse tarkvara uuendada ja jälgida, et Tinyproxy teenus ei oleks internetis avalikult kättesaadav (BC, HN).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 26 turvaviga, nende hulgas oli kriitiline haavatavus tähisega CVE-2024-23706, mis võib kaasa tuua õigustega manipuleerimise. Lisaks paigati ka haavatavusi Pixeli seadmetes. Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel. Hetkel teadaolevalt ei ole õnnestunud haavatavusi kuritarvitada (SW, Android).

VPNi rakendused on haavatavad turvanõrkusele TunnelVision

Teadurid avastasid uue ründemeetodi, mis sai nimeks TunnelVision ja mille tõttu on pea kõik VPNi teenuste pakkujad ohus. TunnelVisioni abil suunatakse kogu võrguliiklus ümber ründaja kaudu, kes saab võrgus toimuvat liiklust nii jälgida, muuta kui ka katkestada. Teadurite sõnul mõjutab see kõiki VPNi rakendusi, juhul kui kasutaja ei tööta Linuxi või Androidiga. Ründetehnikat on olnud võimalik kasutada juba alates 2002. aastast. Leviathan Security veebilehele on lisatud nii ründemeetodit tutvustav video kui ka leevendavad meetmed (AT, LS).

Wichita linna tabas lunavararünnak

USAs asuvat Wichita linna tabas lunavararünnak, mistõttu oli linn sunnitud osa oma võrkudest lahti ühendama. 5. mail rünnati linna IT-süsteeme ja krüpteeriti need lunavaraga. Linna teatel läksid elutähtsad teenused, nagu politsei ja tuletõrje, üle „paberi ja pastakaga“ töötamisele. Rünnak mõjutas ka maksetega seotud teenuseid – internetis ei olnud võimalik maksta veearvete, kohtutrahvide ega ühistranspordi piletite eest. Hiljem selgus, et mõjutatud olid ka mitmed teised teenused, näiteks avalikud WiFi võrgud.

Rünnaku eest võttis vastutuse LockBiti-nimeline rühmitus, kes nõuab linnalt lunaraha maksmist 15. maiks. Vastasel juhul ähvardatakse varastatud andmed avalikustada (BC, BC).

Google paikas Chrome’i nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-4671 rünnetes juba ära kasutatud. Tegemist on viienda Chrome’i nullpäeva turvanõrkusega sel aastal. Soovitame uuendada Chrome’i uuele versioonile 124.0.6367.201 esimesel võimalusel (BC, Chrome).