Monthly Archives: October 2022

Pildil on kolme tarkvaraettevõte logod: Adobe Magento, Microsoft ja JavaScript

Olulised turvanõrkused 2022. aasta 41. nädalal

Eelmise nädala ülevaates kirjutasime, et Fortineti teenuseid FortiGate, FortiProxy ja FortiSwitchManager mõjutab CVE-2022-40684 kriitiline haavatavus.

Viimase abil saab ründaja autentimisest kõrvale hiilida ja seeläbi teostada erinevaid tegevusi teenuste administreerimisliideste kaudu. Kuna turvanõrkusest on avaldatud avalik kontseptsioonitõendus (POC) ja tootja kinnitas haavatavuse ärakasutamist, siis peavad toodete kasutajad uuendama mõjutatud esimesel võimalusel, et vältida võimalikku küberintsidenti!

Eelmise nädala ülevaade kirjeldas täpsemalt turvanõrkuse olemust koos mõjutatud toodete versioonidega, samuti on tutvustatud seda tootja enda kodulehel.

Magento tarkvaral tuvastati kriitiline turvanõrkus

Magento ja Adobe Commerce’i tarkvaral, mida kasutavad paljud kaubandusplatvormid, tuvastati kriitiline turvanõrkus CVE-2022-35698 (10.0/10.0), mis võimaldab teostada skriptisüsti (XSS) ning haavatava kaubandusplatvormi kompromiteerida.

Haavatavus mõjutab neid Adobe toodete versioone:

ToodeVersioon
Adobe Commerce2.4.4-p1 ja varasemad; 2.4.5 ja varasemad
Magento2.4.4-p1 ja varasemad; 2.4.5 ja varasemad

Haavatavus parandati järgnevates Adobe toodete versioonides:

ToodeVersioon
Adobe Commerce2.4.5-p1 ja 2.4.4-p2
Magento2.4.5-p1 ja 2.4.4-p2

Kes ja mida peaks tegema?

Kui kasutatakse turvanõrkusest mõjutatud tarkvara, tuleb see uuendada esimesel võimalusel. Tootja on avalikustanud juhised, kuidas rakendada versioon 2.4.4-p2 või 2.4.5-p1.

Kriitiline turvaviga vm2 JavaScripti teegis

Haavatavus (CVE-2022-36067) võimaldab koodi kaugkäivitamist ja on hinnatud kõige kõrgema kriitilisuse tasemega (10.0/10.0). Vm2 on JavaScripti liivakasti (sandbox) teek, mida laaditakse iga kuu alla üle 16 miljoni korra. Turvaviga võimaldab suletud virtuaalsest keskkonnast (sandbox) välja pääseda ja käivitada ohvri seadmes pahaloomulisi käske. Turvanõrkus asub vm2 teegi Node.js funktsioonis, mis vastutab veaolukordade korrektse töötlemise eest. Viga paigati versioonis 3.9.11 (BP, SW).

Kes ja mida peaks tegema?

Tarkvaraarendajatel, kes kasutavad vm2 teeki enda arendusprojektides, tuleb kindlasti see uuendada kõige värskemale versioonile ja asendada vanade vm2 teekide kasutus esimesel võimalusel.

Erinevate virtualiseerimistarkvarade puhul, mis kasutavad vm2 teeki, tuleb jälgida, kas nendele tarkvaradele on uuendusi ja neid rakendada. Uuenduste avalikustamine võib võtta aega ja samuti on oht, et arendajad või toodete omanikud ei pruugi kohe taibata, et nende tarkvarad just vm2 teegist sõltuvad (sarnaselt Log4j turvanõrkusele eelmisel aastal). Seetõttu tuleb tooted ja/või teenused üle vaadata ja hinnata, kas antud kriitiline turvanõrkus teid puudutab.

Microsoft parandas igakuise uuenduste teisipäeva raames 84 turvaviga

Microsoft parandas oma toodetes 84 viga, millest 13 olid kriitilised. Muuhulgas parandati kaks nullpäeva turvanõrkust, millest ühte (CVE-2022-41033) juba aktiivselt ära kasutati (BP):

  • 39 turvanõrkust on seotud õiguste suurendamise võimalikkusega.
  • kaks turvanõrkust võimaldavad kaitsemeetmetest mööda pääseda.
  • 20 võimaldavad koodi kaugkäivitamist.
  • 11 võivad põhjustada andmeleket.
  • kaheksa on seotud teenuste katkestusega (denial of service).
  • nelja turvanõrkuse abil on võimalik kellegi või millegi teisena esineda (spoofing).

Parandati kaks nullpäeva turvanõrkust (CVE-2022-41033 ja CVE-2022-41043), millest kriitilisema käsitlus allpool.

CVE-2022-41033  turvanõrkus on seotud Windows COM+ Event System Service teenusega ja lubab eduka ärakasutamise korral omandada ründajal kõrgendatud tasemel (SYSTEM) õigused. Mõjutatud on väga paljud erinevad Microsofti pakutud operatsioonisüsteemid. Windows COM+ Event System Service käivitub vaikimisi koos operatsioonisüsteemiga.

Antud turvanõrkuse paikamine on oluline, sest võimaldab ründajal, kes on süsteemi sisse loginud külaliskontoga või tavalise kasutaja kontoga, omandada suuremad õigused. Seeläbi saab ta enda pahatahtlikku tegevust paremini ja mõjusamalt jätkata. Turvanõrkus on hinnatud skooriga 7.8/10.0.

Kes ja mida peaks tegema?

Microsofti toodete kasutajad peaksid uuenduste olemasolul need rakendama ja tutvuma ka uuenduste teisipäeva raames paigatud turvanõrkuste nimekirjaga siin.

Google avaldas turvauuendused Chrome’i veebilehitsejale

Google avaldas Chrome’i uue versiooni 106.0.5249.119 Windowsi, Linuxi ja Maci seadmetele, milles on parandatud kuus kõrge mõjuga turvanõrkust (SW, CR). Turvanõrkused on seotud Chrome’i erinevate tehniliste lahendustega. Soovitus on veebilehitseja kasutamise korral versioon uuendada. Juhised leiate siit.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 40. nädalal

  • Microsoft Exchange turvanõrkuste uued vastumeetmed

Microsoft uuendas 5. oktoobril enda soovitusi, mis aitavad leevendada nullpäeva turvanõrkuste (CVE-2022-41040 ja CVE-2022-41082) mõju. Esialgsed vastumeetmed osutusid ebapiisavaks, kuna ründajatel oli võimalik neist mööda minna. Microsoft tegeleb turvapaikade loomisega, kuid senikaua tuleks rakendada nende soovitatud kaitsemeetmed (MSRC, BP).

Oleme neist turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Atlassian Bitbucket teenuse turvanõrkused

Atlassian Bitbucketi näol on tegemist veebipõhise koodihoidlaga, milles hoitakse nii avalikke kui ka privaatseid arendusprojekte.

Tegemist ei ole nullpäeva turvanõrkusega. Atlassian Bitbucketi haavatavusel (CVE-2022-36804) on olemas parandus ja see on avalik juba 24. augustist, kuid üle-eelmisel nädalal lisati see CISA ärakasutatud turvanõrkuste nimekirja. Turvaveast on mõjutatud kõik Atlassian Bitbucket Server ja Data Center versioonid alates 6.10.17, millele tuleks teha tarkvarauuendus esimesel võimalusel (MB, Atlassian).

Turvanõrkust CVE-2022-36804 on hinnatud kriitiliseks skooriga vahemikus 9.0/10.0 kuni 10.0/10.0 ja see võimaldab lugemisõigusega ründajal käivitada suvalist koodi saates pahatahtliku HTTP-päringu.

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki Atlassian Bitbucket Server ja Data Center versioone, mis on uuemad kui 6.10.17 ja kõigil nende versioonide kasutajatel tuleks uuendada tarkvara.

Täpsem nimekiri mõjutatud versioonidest ja parandustest on leitavad Atlassiani kodulehel ja need on võimalik alla laadida siit.

Kui mingil põhjusel ei õnnestu tarkvara uuendada, siis tootja soovitab ajutise leevendusena avalikud koodihoidlad sulgeda käsuga feature.public.access=false.

  • Fortinet teenustes avastati kriitiline turvanõrkus

Turvanõrkus (CVE-2022-40684) mõjutab Fortinet teenuseid FortiGate, FortiProxy ja FortiSwitchManager. Tegemist on haavatavusega, mille kaudu on võimalik autentimisest mööda minna ja mis on hinnatud kriitiliseks skooriga 9.6/10.0. Turvavea tõttu on võimalik saada ligipääs administratiivliidesele ja selle kaudu tuvastada paikamata seadmed. Turvaviga mõjutab FortiOS versioone 7.0.0 kuni 7.0.6 ja 7.2.0 kuni 7.2.1, FortiProxy versioone 7.0.0 kuni 7.0.6 ja 7.2.0 ning FortiSwitchManager versioone 7.0.0 ja 7.2.0. Ettevõte soovitab uuendada tarkvara esimesel võimalusel versioonidele 7.0.7 või 7.2.2 (HN, BP, Tenable, Fortinet, BP).

Kes ja mida peaks tegema?

Kõik, kes kasutavad järgmisi Fortinet teenuseid peaks uuendama tarkvara esimesel võimalusel:

  • FortiOS – alates 7.0.0 kuni 7.0.6 ja alates 7.2.0 kuni 7.2.1
  • FortiProxy – alates 7.0.0 kuni 7.0.6 ja 7.2.0
  • FortiSwitchManager – 7.0.0 ja 7.2.0

Viga on parandatud FortiOS versioonides 7.0.7 ja 7.2.2, FortiProxy versioonides 7.0.7 ja 7.2.1 ning FortiSwitchManager versioonis 7.2.1.

Kuna turvaviga on võimalik kaugelt ära kasutada, siis on tootja sõnul tarkvara uuendamine eriti oluline. Fortinet kinnitas, et haavatavust on juba ründe läbiviimiseks ära kasutatud. Kui ei ole võimalik tarkvara uuendada, siis on Fortinet välja pakkunud ka ajutise lahenduse administratiivliidesele ligipääsu omavate IP-aadresside piiramise näol.

  • Google paikas mitu turvanõrkust Androidi platvormil

Google parandas 42 turvaviga Android operatsioonisüsteemis, mõned neist on hinnatud kriitiliseks kuna võimaldavad koodi kaugkäivitamist. Neli turvanõrkust hinnati kriitiliseks ehk kõrgemalt kui skooriga 9.0/10.0. Android operatsioonisüsteemi kasutavad Google mobiilseadmed nagu nutitelefonid ja -kellad ning tahvelarvutid. Seda kasutab umbes 70% kõigist mobiiltelefonidest (MB, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks üle kontrollima, kas nende mobiiltelefon, tahvelarvuti või muu seade pakub turvauuendust uuele versioonile. Kui võimalik, siis tuleks tarkvarauuendus alla laadida ja paigaldada. Google turvaparandused on rakendatud Androidi versioonides 10, 11, 12, 12L ja 13.

  • Zimbra teenuse kriitiline turvanõrkus

Zimbra Collaboration Suite (ZCS) tarkvaras avastati kriitiline turvanõrkus (CVE-2022-41352) skooriga 9.8/10.0, mida on ära kasutatud rünnete läbiviimiseks. Haavatavus võimaldab pahatahtlikku koodi kaugkäivitada ja hetkel sellele parandust ei ole, kuid ettevõte on koostanud juhise turvanõrkuse vältimiseks (BP, AT, Zimbra).

Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Kes ja mida peaks tegema?

Zimbra ei ole veel avaldanud turvapaika, kuid on olemas juhis turvavea mõjude leevendamiseks. Kõik Zimbra administraatorid peaks üle kontrollima, kas neil on serveris pax pakett installeeritud.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 39. nädalal

  • Microsoft Exchange’i uued nullpäeva turvanõrkused

Microsoft avaldas, et nende Exchange Server 2013, 2016 ja 2019 puhul avastati kaks uut (CVE-2022-41040 ja CVE-2022-41082) nullpäeva turvanõrkust. Eduka ärakasutamise korral on võimalik ründajal käivitada serveris pahaloomulist koodi, liikuda lateraalselt edasi või varastada andmeid. Microsoft on teada andnud, et tegeleb hetkel turvapaikade väljatöötamisega ja on pakkunud välja alternatiivsed kaitsemeetmed, kuidas turvanõrkuste vastu end hetkel kaitsta (MSRC, BP, RIA).  

Riigi Infosüsteemi Amet on pikemalt nendest turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Kriitilised haavatavused WhatsAppi sõnumirakenduses

Sõnumirakenduses WhatsApp parandati kaks turvanõrkust (CVE-2022-36934 ja CVE-2022-27492), mis võimaldavad ründajal koodi kaugkäivitada. Haavatavused mõjutavad erinevaid WhatsAppi tarkvara versioone (pikemalt kirjeldatud all). Soovitame uuendada WhatsAppi rakendus esimesel võimalusel (SA, MB, WhatsApp).

Nimelt parandas WhatsApp septembris kaks turvanõrkust, mis lubavad õnnestunud ärakasutamise korral koodi kaugkäivitamist haavatavas seadmes. Turvanõrkust CVE-2022-36934 on hinnatud skooriga 9.8/10.0 ja teist turvanõrkust CVE-2022-27492 skooriga 7.8/10.0.

CVE-2022-36934 – Turvaviga peitub spetsiifilisemalt ühes WhatsAppi rakenduse komponendis, mis on seotud videokõnedega. Videkõne ajal on ründajal võimalik selle vea abil tekitada puhvri ületäitumine (buffer overflow) ja saada kontroll WhatsAppi rakenduse üle. Puhvri ületäitumine on olukord, kus ründajal õnnestub tarkvarale eraldatud mälupiirkonda (memory region) ignoreerida ja selle abil käivitada pahaloomuline kood.

CVE-2022-27492 – Ründaja saab seda turvaviga ära kasutada, kui ta saadab sihtmärgile spetsiaalse videofaili, mille ohver peab siis omakorda käivitama. Sellisel juhul on võimalik ründajal teostada koodi kaugkäivitamist haavatavas seadmes. Turvanõrkus tekitab WhatsAppi rakenduses spetsiaalse olukorra (integer underflow), mille puhul on siis võimalik ründajal pahaloomulist koodi kaugkäivitada.

Kes ja mida peaks tegema?

CVE-2022-36934 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.12.
  • WhatsAppi Business rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui 2.22.16.12.

CVE-2022-27492 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.2.
  • WhatsAppi rakendus iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.15.9.

Soovitame haavatava versiooni kasutamise korral uuendada rakendus esimesel võimalusel. Juhised, kuidas rakendust uuendada, leiate tootja kodulehelt.

  • Twitter parandas turvavea, mis jättis kasutajad sisselogituks pärast parooli lähtestamist

Twitteri sõnul parandasid nad vea, mis jättis kasutaja sisselogituks pärast parooli lähtestamist. Pärast turvavea avastamist logiti kõik mõjutatud kasutajad automaatselt välja ja nüüdseks on viga parandatud (MB).

Mitmesse seadmesse sisselogituna jäämine pärast konto parooli vahetamist on tõsine turvarisk. Kui keegi on teie konto juba kompromiteerinud, kuid pärast parooli vahetamist teda välja ei logita, on tal võimalik endiselt kontoga seotud privaatsõnumeid lugeda, vahetada omakorda parool või teha midagi muud pahaloomulist.

Kes ja mida peaks tegema?

Kuna turvaviga on parandatud ja Twitter logis kõik mõjutatud kasutajakontod automaatselt välja, ei tule kasutajatel otseselt täiendavaid kaitsemeetmeid rakendada. Alati soovitame siiski kasutajakontode puhul kasutada kaheastmelist autentimist, kui seda ei ole juba rakendatud.

  • Chrome’i uues versioonis paigati viis kõrge tasemega turvanõrkust

Google avaldas Chrome’i uue versiooni nimetusega Chrome 106, milles on paigatud kokku 22 erinevat turvanõrkust, sealhulgas turvanõrkused, mida oleks saanud teoreetiliselt ära kasutada pahaloomulise koodi käivitamiseks või teenusetõkestusrünnete korraldamiseks. Mõned nendest olid use-after-free nõrkused, mis viitab sellele, et need spetsiifilised haavatavused olid seotud dünaamilise mälu ebakorrektse kasutamisega rakenduse töötamise ajal (SW, CR).

Kes ja mida peaks tegema?

Chrome’i kõige uuem versioon macOSile ja Linuxile kannab nimetust 106.0.5249.61 ning Windowsi puhul 106.0.5249.61/62. Soovitame Chrome võimalusel uuendada, et ennetada turvanõrkuste ärakasutamist. Juhised, kuidas Chrome’i uuendada, leiate siit.

  • Cisco paikas kaksteist kõrge tasemega turvanõrkust

Eelmisel nädalal avalikustas Cisco, et paikas enda IOS ja IOS XE tarkvarades 12 kõrge tasemega turvanõrkust. Kõige kriitilisema skooriga (8.6/10.0) hinnati kuut haavatavust (CVE-2022-20848, CVE-2022-20847, CVE-2022-20870, CVE-2022-20919 , CVE-2022-20856, CVE-2022-20837), mis kõik võivad viia teenusekatkestuseni. Ründaja saab kasutada neid nõrkuseid, saates pahaloomulisi CIP-, DNS- või CAPWAP-pakette, pahaloomulisi UDP datagramme või DHCP sõnumeid haavatavate seadmete suunas (SW).

Kaks madalama skooriga turvanõrkust CVE-2022-20920 (7.7/10.0) ja CVE-2022-20915 (7.4/10.0) võimaldavad samuti põhjustada teenusekatkestusi haavatavate seadmete puhul, kui saadetakse spetsiifilisi SSH-päringuid või IPv6-pakette.

Ülejäänud kõrge tasemega turvanõrkuste abil on võimalik teoreetiliselt enda õiguseid suurendada (CVE-2022-20775, CVE-2022-20818) või käivitada teatud tingimustel pahaloomulist koodi (CVE-2022-20944).

Kes ja mida peaks tegema?

Soovitame tutvuda tootja väljastatud turvanõrkuste nimekirjaga siin ja haavatavuste korral rakendada uuendused.

  • Mozilla paikas mitmed turvanõrkused Thunderbirdi meilirakenduses

Mozilla paikas mitmed turvanõrkused Thunderbirdi meilikliendi uues versioonis 102.3.1. Kolm neist on hinnatud kõrge mõjuga haavatavusteks. Tarkvara kasutamise korral soovitame see uuendada, et ennetada turvanõrkuste ärakasutamist (Mozilla).

Kõik parandatud turvanõrkused on seotud Matrixi suhtlusprotokolliga. Järgnevalt kirjeldame veidi pikemalt turvanõrkuseid, mille Mozilla hindas kõrge tasemega.

CVE-2022-39249 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on pahaloomulisel serveri administraatoril võimalik võltsida krüpteeritud sõnumeid ja jätta mulje, et need saadeti kellegilt teiselt kasutajalt samast serverist.

CVE-2022-39250 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on võimalik pahaloomulisel serveri administraatoril segada seadmeülest verifitseerimisprotseduuri selleks, et autentida end enda seadmega.

CVE-2022-39251 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on ründajal võimalik näiliselt kasutada kasutajate ajaloolisi sõnumeid pahaloomuliseks tegevuseks.

Kes ja mida peaks tegema?

Tarkvara kasutajatel soovitame tarkvara uuendada vähemalt versioonini 102.3.1, et ennetada mainitud turvanõrkuste ärakasutamist.

RIA analüüsi- ja ennetusosakond