Monthly Archives: September 2022

Microsoft Exchange’i nullpäeva turvanõrkused

Microsoft andis 29. septembril teada, et uurib kahte võimalikku Exchange’i nullpäeva turvanõrkust. Esimene turvanõrkus kannab nimetust CVE-2022-41040 ja teine CVE-2022-41082.

Värske info 5. oktoobri kella 11 seisuga:

Microsoft tegi parandused enda vastumeetmetes. Võimalike mõjutatud Exchange’ide (2013, 2016, 2019) kasutajad peaksid vastumeetmete (‘Mitigations’) peatüki uuesti üle vaatama siin ja rakendama ühe järgnevatest valikutest:

  • Kasutajatel, kellel on Exchange’i EEMS (Exchange Emergency Mitigation Service) lubatud ja kes kasutavad Exchange Server 2016 või Exchange Server 2019, rakendatakse URL Rewrite kaitsemeede automaatselt. EEMSi kohta saab lisainformatsiooni siit.
  • Microsoft oli juba varasemalt loonud skipti nimega EOMTv2, mille abil saab end kaitsta hetkel teadaolevate rünnete eest, mis kasutavad nõrkust CVE-2022-41040 (SSRF). Ettevõte tegi selles mõned parandused ja need, kes skripti on varasemalt rakendanud, peavad seda uuesti kasutama. Skript on leitav siit.
  • Viimase võimalusena soovitab Microsoft rakendada nende blogis välja toodud punktid, mille puhul tegi ettevõte samuti mõned muudatused.
Allikas: Microsoft
Nimetus Mida turvanõrkus võimaldab? Mida on turvanõrkuse ärakasutamiseks vaja?

CVE-2022-41040
Võimaldab SSRF-i (Server-Side Request Forgery) ehk ründaja võib kuritarvitada serveri funktsioone sisemiste resursside lugemiseks või värskendamiseks. Ründajal peab olema autentitud ligipääs haavatavale serverile.
CVE-2022-41082 Võimaldab koodi kaugkäivitamist (RCE-d ehk Remote Code Execution). Ründajal peab olema autentitud ligipääs haavatavale serverile ja võimalus kasutada PowerShelli.
Allikas: Microsoft

Teadaoleva informatsiooni kohaselt tuleb ründajal koodi kaugkäivitamist võimaldava turvanõrkuse (CVE- 2022-41082) jaoks kasutada esmalt SSRF-i võimaldavat nõrkust (CVE-2022-41040). Microsoft on teada andnud, et tegeleb hetkel turvapaikade väljatöötamisega.

Keda haavatavused puudutavad?

Turvanõrkused võivad mõjutada neid, kes kasutavad lokaalseid Microsoft Exchange Server 2013, 2016, 2019 installatsioone, mille kasutajaliides (OWA) on internetist avalikult kättesaadav. Hetkel ei ole teada, milliseid versioone nendest serveritest täpsemalt need turvanõrkused mõjutavad.

Mida teha?

Microsoft on avalikustanud nimekirja meetmetest, mida iga organisatsioon saab abivahendina vajadusel kasutada seni, kuni ametlikke turvapaiku ei ole veel väljastatud. Nende meetmetega saab tutvuda siin. Microsoft Exchange Online’i puhul on tuvastus- ja ennetusmeetmed ettevõtte sõnul rakendatud.

Samuti soovitame üle kontrollida, et kas OWA (Outlook on the web) on internetist avalikult kättesaadav või mitte. Juhime tähelepanu sellele, et avalikult ligipääsetav Outlooki sisselogimispaneel tõstab riski küberintsidentidele ja seetõttu soovitame sellele avalik ligipääs piirata.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 38. nädalal

Veebruaris avaldatud kriitilist Magento turvanõrkust kasutatakse aktiivselt ära

Veebruaris paigatud Magento 2 tarkvara kriitilist turvanõrkust tähisega CVE-2022-24086 (9.8/10.0) on hakatud taas rünnakutes aktiivselt ära kasutama. Magento on vabavaraline platvorm, mida kasutatakse e-poodide osana Eestis ja kõikjal maailmas. Turvanõrkus võimaldab autentimata kasutajal käivitada pahatahtlikku koodi paikamata veebilehtedel. Turvanõrkuse eemaldamiseks tuleb Magento tarkvara uuendada (BP).

Veebruaris avaldamise ajal levis info, et seda turvanõrkust on juba aktiivselt ära kasutatud. Mõni päev hiljem avaldati turvanõrkuse kohta avalik ründe tõendus (PoC), mille tagajärjel ennustati suuremat turvanõrkuse ära kasutamist.

CVE-2022-24086-nimelise turvanõrkuse abil saab autentimata ründaja veebilehe kompromiteerida ja kasutada seda edasiseks pahatahtlikuks tegevuseks – näiteks on võimalik veebilehele lisada pahaloomulist koodi, mis suunab külastaja edasi petulehtedele. Samuti on oht andmelekkeks.

Hiljuti, 22. septembril avaldati raport, mis tõi välja, et turvanõrkus kogub küberkurjategijate seas aina populaarsust. Ülevaade kirjeldab kolme ründeviisi, mida on hiljuti kasutatud. Ründeviiside puhul ei ole tuvastatud automatiseeritud tegevust, kuna Magento tarkvara ülesehituse loogika muudab kirjutajate hinnangul sellised ründed pigem keeruliseks. Täpsemalt saab raportiga tutvuda siin.

Kes ja mida peaks tegema?

Kuna turvanõrkus on kriitiline, potentsiaalne mõju suur ja seda üritatakse aktiivselt ära kasutada, tuleb mõjutatud veebilehtede halduritel uuendada haavatavad lehed esimesel võimalusel!

Tootja informatsiooni kohaselt on haavatavad järgmised versioonid:

Adobe Commerce ja Magento Open Source 2.3.3-p1 kuni 2.3.7-p2 ning 2.4.0 kuni 2.4.3-p1

Selleks, et haavatavus paigata, tuleb veebihalduril rakendada kaks turvapaika – esmalt turvapaik nimega MDVA-43395 ning siis MDVA-43443. Paikamiseks mõeldud juhised leiab tootja veebilehelt.

Sophose tulemüüri tarkvaras avastati kriitiline turvaviga

Sophose tulemüüri tarkvarast leiti nullpäeva turvanõrkus (9.8/10.0), mida tähistatakse koodiga CVE-2022-3236. Turvaviga mõjutab Sophose tulemüüri v19.0 MR1 (19.0.1) ja vanemaid versioone ning võimaldab ründajal pahaloomulist koodi kaugkäivitada. Veale on olemas parandus ning soovitame mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel (HN, Sophos).

Tootja sõnul on selle turvanõrkusega seni rünnatud peamiselt Lõuna-Aasias paiknevaid organisatsioone.

Kes ja mida peaks tegema?

Turvanõrkus on parandatud järgnevates Sophose tulemüüri versioonides:

v19.5 GA
v19.0 MR2 (19.0.2)
v19.0 GA, MR1 ja MR1-1
v18.5 MR5 (18.5.5)
v18.5 GA, MR1, MR1-1, MR2, MR3 ja MR4
v18.0 MR3, MR4, MR5 ja MR6
v17.5 MR12, MR13, MR14, MR15, MR16 ja MR17
v17.0 MR10

Kui uuendusi ei ole mingil põhjusel võimalik teha, soovitab tootja alternatiivse lahendusena veenduda, et tulemüüri kasutus- ja administeerimisliides ei oleks laivõrgust (WAN) kättesaadav. Juhend, kuidas seda teha, on siin. RIA soovitab alati turvapaiku sisaldavad uuendused paigaldada.

Parandati kuus kõrge tasemega turvanõrkust BIND DNSi tarkvaras

ICS (Internet Systems Consortium) avalikustas turvauuendused kuuele haavatavusele BIND DNSi tarkvaras. Neist neli võimaldavad ründajatel teoreetiliselt teenusetõkestusründeid sooritada. ICS ei ole teadlik, et neid puudusi oleks jõutud ära kasutada. Haavatavustele on väljastatud turvapaigad, mis soovitame vajadusel rakendada (SA).

Natuke lähemalt kõrge tasemega turvanõrkustest:

CVE-2022-2906 (7.5/10.0) – Diffie-Hellmani meetodil baseeruva võtmekehtestusprotsessi käigus põhjustatakse mäluleke, kui kasutatakse TKEY-kirjeid OpenSSL 3.0.0 või hilisema versiooniga.

Ründaja saab seda viga kasutada, et järk-järgult kasutusel olev mälu üle koormata kuni mälu puudumise tõttu peatub BINDi “named” daemoni töö. Selle taaskäivitamisel peaks ründaja rünnet kordama, kuid sellegipoolest on oht teenusetõkestusründele taas olemas, kui turvapaika ei ole rakendatud.  

Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit. Tootja on turvapaigad väljastanud.

CVE-2022-38177 (7.5/10.0) – ECDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud ECDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

CVE-2022-3080  (7.5/10.0) – BIND 9 resolveri töö võib peatuda, kui stale cache ja stale answers on lubatud, stale-answer-client-timeout on väärtus 0 ja vahemälus on vananenud CNAME-kirje sissetuleva päringu jaoks. Kui ründajal õnnestub saata spetsiifiline päring, võib “named” daemoni töö peatuda.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

CVE-2022-38178 (7.5/10.0) – EdDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud EdDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

Kes ja mida peaks tegema?

BINDi DNSi tarkvara kasutajad peaksid järgima tootja avaldatud juhiseid ja paikama vajadusel haavatava BINDi tarkvara versiooni või kasutama tootja soovitatud alternatiivseid lahendusi turvanõrkuste eemaldamiseks.

Mitmed Ubuntu LibTIFF teegi turvanõrkused on saanud parandused

Haavatavused võimaldavad ründajal teostada nii teenusekatkestusi kui ka saada ligipääs tundlikule infole. Erinevad LibTIFFi teegi turvanõrkused mõjutavad Ubuntu 14.04, 16.04, 18.04, 20.04 kui ka 22.04 versioone. Soovitame tutvuda tootjapoolse informatsiooniga ja uuendada vajadusel mõjutatud tarkvara (Ubuntu).

Ubuntu avaldas koondülevaate seitsmest LibTIFF teegiga seotud turvanõrkusest. LibTIFF teek võimaldab töödelda TIFF formaadis pildifaile. Erinevad turvanõrkused mõjutavad nii 14.04, 16.04, 18.04, 20.04 kui ka 22.04 Ubuntu versioone.

CVE-2020-19131 (7.5/10.0) – Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.

CVE-2020-19144 (6.5/10.0) –  Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.

CVE-2022-1354 (5.5/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF-faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne. Turvanõrkus mõjutab ainult Ubuntu 20.04 LTSi ja 22.04 LTSi.

CVE-2022-1355 (6.1/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne.

CVE-2022-2056 (6.5/10.0), CVE-2022-2057 (6.5/10.0), CVE-2022-2058 (6.5/10.0) – Ründajal on teoreetiliselt võimalik kasutada turvanõrkust teenusetõkestusründe sooritamiseks.

Kes ja mida peaks tegema?

Soovitame tutvuda ametlike juhistega tootja kodulehel ja rakendada vajadusel vastavad uuendused, kui te ei ole seda juba teinud.  

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 37. nädalal

RIA analüüsi- ja ennetusosakond võttis kokku viimase nädala olulisemad turvanõrkusesed ning lisas iga nõrkuse juurde tähelepanekud ja soovitused.

Apple paikas mitu turvanõrkust, sealhulgas erinevaid seadmeid mõjutava nullpäeva turvanõrkuse

Apple teatas hiljuti mitmest turvanõrkusest enda toodetes, mille likvideerimiseks väljastas 12. septembril uued tarkvarade versioonid. Eriti paistab silma turvanõrkus nimetusega CVE-2022-32917, mis mõjutab nii iPhone´i, iPadi  kui ka macOSi kasutavaid seadmeid ning väidetavalt on Apple’ile teada, et seda turvanõrkust võidi üritada aktiivselt ära kasutada. (Apple, RIA).

CVE-2022-32917-nimelise turvanõrkuse abil on ründajal võimalik teoreetiliselt pääseda kasutaja seadmesse ja seal siis pahandust korda saata – näiteks on ründajal võimalik potentsiaalselt kasutada seadme kaamerat, sisse lülitada seadme mikrofon, teha kuvatõmmiseid jms.

Kes ja mida peaks tegema?

Apple pakub iPhone’idele kahte versiooni, kus turvanõrkus on parandatud: iOS 16 ja iOS 15.7.

iPadide puhul tuleks rakendada iPadOS 15.7 ning macOSi kasutavate seadmete puhul on see paigatud nii versioonis macOS Big Sur 11.7 kui ka macOS Monterey 12.6. Kui sinu Apple’i telefon, tahvelarvuti või arvuti on andnud märku nende versioonide rakendamise võimalikkusest, siis palun tee seda esimesel võimalusel!

Kirjeldatud nõrkuse parandamiseks on uuendused iOS 15.7 või iPadOS 15.7 kättesaadavad järgmistele mudelitele:

iPhone 6s ja uuemad;
iPad Pro (kõik mudelid):
iPad Air 2 ja uuemad;
iPad viies generatsioon ja uuem;
iPad mini 4 ja uuem;
iPod touch (seitsmes generatsioon)

iOS 16 saab rakendada järgmistele mudelitele:
iPhone 8 või uuem

Microsoft paikas septembri uuendustega 63 turvanõrkust

Microsoft paikas septembri uuendustega enda toodetes 63 haavatavust, sealhulgas aktiivselt ära kasutatud Windowsi nullpäeva turvanõrkuse ning viis kriitilist haavatavasust, mis võimaldavad koodi kaugkäivitust. Tutvu Microsofti ametlike juhistega siin ja vajadusel paika tarkvara.

Turvanõrkused mõjutavad järgmisi tooteid:

Microsoft Windowsi
Azure
Azure Arc
.NET-I
Visual Studio
Microsoft Edge (Chromium)
Office
Windows Defender

Aktiivselt ärakasutatud nullpäeva turvanõrkus CVE-2022-37969 mõjutab Windowsi operatsioonisüsteemi Log File System Driver komponenti. Eduka ärakasutamise korral on võimalik ründajatel omandada haavatavas süsteemis kõrgendatud tasemel (SYSTEM) õigused. Turvanõrkuse ärakasutamiseks peab neil olema sihtmärgiks valitud süsteemi siiski juba ligipääs ja samuti võimalus käivitada seal koodi.

Lisaks eelnevale haavatavusele juhitakse veel tähelepanu viiele kriitilisele turvanõrkusele, mille abil on võimalik ründajatel teostada mõjutatud süsteemis koodi kaugkäivitust. Esimest neist kutsustakse nimetusega CVE-2022-34718 (9.8/10.0) ja see mõjutab nii Windows Serveri kui ka Windowsi OSi erinevaid versioone. Turvanõrkus võimaldab ründajale koodi kaugkäivitust juhul, kui ta saadab spetsiaalse IPv6 paketi haavatava süsteemi suunas, millel on IPSec lubatud. Süsteemid, millel on IPv6 keelatud, ei ole haavatavad. Microsoft hindab turvanõrkuse ärakasutamise katsete tõenäosust pigem võimalikuks.

Samuti on koodi kaugkäivitamisega seotud turvanõrkused CVE-2022-34721 (9.8/10.0) ja CVE-2022-34722 (9.8/10.0). Haavatavused peituvad Windows Internet Key Exchange protokollis ja neid on võimalik ründajal ära kasutada, kui ta saadab mõjutatud süsteemide suunas spetsiaalse IP paketi. Microsoft hindab nende turvanõrkuste ärakasutamise katsete tõenäosust pigem tagasihoidlikumaks.

Viimased kaks kriitilist turvanõrkust CVE-2022-35805 (8.8/10.0) ja CVE-2022-34700 (8.8/10.0) mõjutavad lokaalseidMicrosoft Dynamics 365 installatsioone. Antud turvanõrkuste abiga on audentitud kasutajatel võimalik käivitada SQL-käske. Nad võivad ka üritada enda õigusi suurendada ja käivitada suvalisi SQL-käske andmebaasi omaniku õigustes.

Kuidas edasi käituda?

Lisaks siin põhjalikumalt välja toodud turvanõrkustele paikas Microsoft veel teisigi haavatavusi enda erinevates toodetes. Soovitame tutvuda Microsofti ametlike juhistega siin ja rakendada vajadusel vajalikud turvapaigad mõjutatud tarkvaradele.

Adobe parandas mitu turvanõrkust enda erinevates toodetes

Adobe parandas 63 turvanõrkust, mõjutatud on nii Windowsi kui Maci arvutite jaoks mõeldud tarkvarad nagu Adobe Bridge, InDesign, Photoshop, InCopy, Animage ja Illustrator (SW).

Adobe Bridge: Parandati nii kriitilisi (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid. Eduka ärakasutamise korral on nende abil võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak).

Adobe InDesign: Tarkvara uuendatud versioon parandas mitmeid kriitilise (7.8/10.0; 7.5/10.0) või olulise (5.5/10.0) tasemega haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi, lugeda failisüsteemi ja on oht mälulekkele (memory leak).

Adobe Photoshop: Tarkvara uuendatud versioon parandas mitmeid kriitilisi (7.8/10.0) või olulise tasemega (5.5/10.0) haavatavusi. Eduka ärakasutamise korral on võimalik nende abil käivitada suvalist koodi ja on oht mälulekkele (memory leak). Mõjutatud tarkvarade seas on Photoshop 2021 ja 2022 versioonid Windowsile ning macOSile.

Adobe InCopy: Turvanõrkuste eduka ärakasutamise korral on võimalik käivitada suvalist koodi ja on oht mälulekkele (memory leak). Tootja parandas nii kriitilise (7.8/10.0) kui olulise (5.5/10.0) tasemega turvanõrkuseid.

Adobe Animate: Parandati kaks kriitilist turvanõrkust (7.8/10.0), mille abil on võimalik ründajal käivitada kasutajana suvalist koodi.

Adobe Illustrator: Väljastati turvapaigad ühele kriitilisele (7.8/10.0) ja kahele olulise (5.5/10.0) tasemega turvanõrkusele, mille eduka ärakasutamise korral on võimalik ründajal käivitada süsteemis suvalist koodi või on oht mälulekkele (memory leak).

Tootjal puudub info selle kohta, et nende turvanõrkuste ärakasutamiseks oleks õnnestunud luua rakendatavat pahaloomulist programmi.

Kuidas edasi käituda?

Kui kasutate mõjutatud tooteid, soovitame tutvuda ametlike juhistega tootja kodulehel (millele on ka siin erinevate toodete puhul viidatud) ja uuendada mõjutatud tarkvara kõige uuemale versioonile.

Kriitiline WordPressi turvanõrkus ohustab maailmas ligi 300 000 veebilehekülge

Nullpäeva turvanõrkus tähistusega CVE-2022-3180 (9.8/10.0) ohustab WordPressi lehti, mis kasutavad WPGateway-nimelist laiendust. Turvanõrkuse abiga on võimalik autentimata ründajal lisada lehele uusi administraatori õigustega kasutajaid. Loodud kasutaja/kasutajate abil on ründajal võimalik leht täiesti üle võtta ja lisada lehele näiteks pahavara. (WF, HN).

NB! Mõned seni avaldatud näpunäited, kuidas ära tunda, et leht on selle turvanõrkuse abiga kompromiteeritud või lehte on üritatud sellega rünnata:

  1. Kui lisatud on pahaloomuline administraatori õigustega kasutaja nimega rangex, on teie leht suure tõenäosusega kompromiteeritud.
  2. Kui leiate lehe access logist järgneva päringu //wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1 tähendab see, et teie lehte on üritatud rünnata, kuid see ei viita ilmtingimata sellele, et see on ka õnnestunud.

Kuidas edasi käituda?

Kui kasutate WordPressi lehel WPGateway-nimelist laiendust, soovitame selle seniks eemaldada, kuni turvapaik on avaldatud ning siis see pärast avaldamist rakendada. Kui arvate, et teie leht on kompromiteeritud, teavitage sellest CERT-EE-d meiliaadressile cert@cert.ee.