Monthly Archives: November 2022

Olulised turvanõrkused 2022. aasta 45. nädalal

Microsoft paikas uuenduste teisipäeva raames 68 turvaviga

Microsoft avalikustas, et parandas enda toodetes 68 turvaviga, millest kuut on aktiivselt ära kasutatud (BP). Uuenduste teisipäev on igakuine päev, mil ettevõte koondab ja publitseerib informatsiooni uutest turvanõrkustest, mis on firma toodetes paigatud.  

Microsoftilt tulid parandused muuhulgas ka kahele turvanõrkusele, mida teatakse koondnimetusega ProxyNotShell. Need kaks haavatavust võimaldavad suurendada õiguseid haavatavas süsteemis ja seal potentsiaalselt pahaloomulist koodi käivitada. Microsoft pakkus algselt mõjutatud süsteemidele (Microsoft Exchange Server 2013, 2016 ja 2019) välja ajutised kaitsemeetmed, kuid nüüd on olemas ka turvauuendused. RIA kirjutas pikemalt nendest haavatavustes septembri lõpus enda blogis.

Samuti paikas ettevõte turvanõrkuse CVE-2022-41091, mis lubas pahaloomulisel osapoolel ühest Microsofti kaitsemeetmest (Mark of the Web ehk MOTW) mööda pääseda. MOTW on kaitsemeede, mis hoiatab kasutajaid kahtlaste failide avamise korral. Meetme rakendudes kuvab Windows kasutajale hoiatusteate, milles palutakse temalt faili avamise jaoks kinnitust. Nõrkuse tõttu aga ei rakendunud teatud failide puhul (nt .LNK failid) see kaitsemeede. Ründajad saavad seda haavatavust ära kasutada, et käivitada lihtsamalt pahaloomulisi programme sihtmärgi süsteemis(des). 

Kes ja mida peaks tegema?

RIA soovitab tutvuda kõikide paigatud nõrkustega ja uurida, milliseid süsteeme need mõjutavad. Vajadusel tuleb rakendada vastavad turvauuendused, et vältida nõrkuste ärakasutamist. Täpsemalt saate ülevaate parandatud nõrkustest siit.

Apple paikas kaks olulise mõjuga haavatavust enda toodetes

USA tehnoloogiahiid avalikustas uued iOSi (16.1.1), macOSi (13.0.1) ja iPadOSi (16.1.1) tarkvaraversioonid, milles on parandatud kaks olulist turvaviga (CVE-2022-40303 ja CVE-2022-40304). Mõlema haavatavuse abil on ründajal võimalik rakenduste tööd häirida või käivitada pahaloomulist koodi. Apple ei ole teadlik, et neid haavatavusi oleks jõutud ära kasutada (SW).

Parandatud turvanõrkuste nimekiri macOS 13.0.1 versioonis.

Parandatud turvanõrkuste nimekiri iOS 16.1.1 ja iPadOS 16.1.1 versioonides.

Kes ja mida peaks tegema?

Kui teie Apple tooted pakuvad teile tarkvara uuendamise võimalust, rakendage uuendus esimesel võimalusel.

Juhendi, kuidas macOSi uuendada, leiate siit. Juhendi, kuidas iOSi/iPadOSi uuendada, leiate siit.

VMware parandas kolm kriitilist turvaviga

VMware paikas kolm kriitilist turvanõrkust VMware Workspace ONE Assistis, mis võimaldavad autentimisest mööda minna ja omandada süsteemis administraatori tasemel õigused. Ründajal peab olema võrguligipääs haavatavale Workspace ONE Assist serverile. Turvanõrkuseid tähistatakse nimetustega CVE-2022-31685, CVE-2022-31686 ja CVE-2022-31687 ja kõiki on hinnatud skooriga 9.8/10.

Kes ja mida tegema peaks?

Turvanõrkused parandati VMware Workspace ONE Assisti versioonis 22.10. Kui te te seda toodet kasutate, tutvuge VMWare’i juhistega ja rakendage versioon 22.10 esimesel võimalusel.

Lenovo parandas sülearvutitel kaks kõrge tasemega haavatavust

Lenovo parandas erinevatel sülearvutitel kaks kõrge tasemega haavatavust (BP). Nõrkuste kaudu on ründajatel võimalik deaktiveerida UEFI Secure Boot. Selle tagajärjel saab ründaja mööda minna kõigist seadme kaitsemeetmetest, et paigaldada pahavara, mis ei kao operatsioonisüsteemide korduvinstalleerimisel.

CVE-2022-3430 – Mõne Lenovo sülearvuti jaoks mõeldud WMI häälestusdraiver võib kõrgendatud õigustega ründajal lubada muuta Secure Booti sätteid.

CVE-2022-3431 – Mõne sülearvutimudeli tootmise jooksul kasutati draiverit, millel oli nõrkus ning see draiver unustati deaktiveerida. Selliste mudelite puhul on võimalik kõrgendatud õigustega ründajal muuta Secure Booti sätteid.

Kes ja mida peaks tegema?

Lenovo toodete kasutajatel soovitatakse kontrollida, kas nende kasutatavad tooted on haavatavad. Selleks tuleb külastada tootja veebilehte, kus on haavatavad mudelid välja toodud ning rakendada vajadusel turvauuendused.

Google Pixel 6 ja 5 nutitelefonide lukustuskuvast on võimalik mööda pääseda

Üks küberturvalisuse ekspert avastas, et tal oli võimalik enda Pixel 6 nutitelefoni lukustuskuvast mööda pääseda (BP). Nimelt tekkis temal selline tavatu situatsioon siis, kui tal oli vaja seade uuesti PUK-koodiga avada. Koodi kasutamise järgselt pidi ekspert uue PIN-koodi looma ja sisestama. Kui ta oli seda teinud, ei küsinud seade enam lukustuskuva parooli, vaid kasutajal tuli ainult lõpetada biomeetrilise autentimise protseduur. Kuna Androidi seadmed küsivad seadme taaskäivitamisel alati lukustuskuva parooli või mustrit, tekitas eelnevalt kirjeldatud situatsioon eksperdis kahtlust. Uurides nõrkuse asjaolusid täpsemalt, selgus, et pahatahtlikul osapoolel õnnestuks ka biomeetrilist autentimist vältida ning saada ligipääs seadme koduekraanile.

See tähendab, et kõigil kellel on seadmele füüsiline juurdepääs, on võimalik seade turvavea abiga avada. Selleks tuleb ründajal lihtsalt kasutada personaalset SIM-kaarti, keelata biomeetriline autentimine (proovides sõrmejäljega end ebaõnnestunult autentida liiga palju kordi), sisestada kolm korda vale PIN-kood ja esitada PUK-kood.

Kes ja mida peaks tegema?

Turvaviga (CVE-2022-20465) mõjutab kõiki Google Pixel 6 ja 5 seadmeid, mis kasutavad Androidi versioone 10,11,12 ja 13 ja millele ei ole rakendatud 7. novembril avaldatud uuendus. Kui te selliseid telefone kasutate, uuendage seade esimesel võimalusel. 

SAP paikas mitu kriitilist turvanõrkust enda toodetes

SAP paikas mitu turvanõrkust (CVE-2022-41203, CVE-2021-20223, CVE-2022-35737 ja CVE-2022-41204 ), mis on hinnatud kriitiliseks (vastavalt skooridega 9.9/10.0; 9.8/10.0 ja 9.6/10.0). Turvavead mõjutavad SAPi tarkvarasid BusinessObjects and SAPUI5. Kui neid edukalt ära kasutada, võivad need avalda mõju nii süsteemide käideldavusele, terviklusele kui konfidentsiaalsusele (SW).

Kes ja mida peaks tegema?

Mõjutatud tarkvarade versioonid on välja toodud tootjapoolses ülevaates siin. Vajadusel tuleb rakendada turvapaigad.

Riigivõrgu seade, mille küljes on hulga seadmeid.

Ülevaade Eesti juur DNS serveritest ning .com ja .net koopiatest

Domeeninimede süsteem ehk DNS ulatab arvutikasutajatele abikäe. Tänu DNS serveritele ei pea inimesed pähe tuupima pikki IP-aadresse: RIA kodulehe külastamiseks ei pea kirjutama aadressi reale 141.101.90.17, vaid piisab, kui trükkida ria.ee. Numbrilised IP-aadressid on hea viis, kuidas masinad, arvutid ja muud seadmed omavahel suhtlevad. Kasutajal on palju raskem seesuguseid jadasid meelde jätta. Kui on soov Google’i esilehele jõuda, siis kirjutatakse „google.com“, mitte 2607:f8b0:4004:c06:0:0:0:69. DNS server on arvuti, mis suudab kokku viia masinatele meelt mööda IP-aadressi ja inimmõistusele lihtsama veebilehe aadressi.

Millised nimeserverid töötavad Eestis? Eesti on kasutusel D, E, F, I, J ja K root DNS serverid, lisaks ka .com ja .net domeenide koopiat hoidev b.gtld-servers.net. Loetletud nimeserveritest kõige värskem on kuu alguses lisandunud J root DNS ning Eesti esimesed .com ja .net koopiad.

Sideteenuse pakkujatele on need interneti alustaristut kindlustavad teenused kättesaadavad läbi Eesti internetisõlmpunkti RTIX-i. Riigi Infosüsteemi Ameti pakutav RTIX on riigi hallatav dubleeriv interneti sõlmpunkt, mis ühendab Eesti internetivõrgud. Selle eesmärk on tagada võrkude omavaheline liiklus ka siis, kui ühendus välisriikidega on mingil põhjusel häiritud. Samuti on RTIX vahendusel otse kättesaadavad kõik .ee tsooni koopiad. Lisandunud hüvedest saavad automaatselt osa sideteenuse pakkujad, kes on liitunud RTIX-ga ning kasutavad RTIX route servereid. 

Miks on oluline, et root DNS või .com ja .net asuvad sulle lähedal?

Root DNSi toimimine on ühtlasi ka interneti toimimise alustala, sest just see teenus hoiab nimekirja, kus asuvad erinevate üladomeenide tsoonide nimeserverid. Näiteks teab root DNS, et .ee nimede kohta tasub küsida .ee tsooni autoriteetsest viiest nimeserverist koos vastavate IP aadressidega: b.tld.ee, e.tld.ee, ee.aso.ee, ee.eenet.ee ja ns.tld.ee.

Mida lähemal on root DNS sinu nimesid lahendavale DNSile, seda kiiremini tuleb ka vastus ehk domeeninimi (www.ria.ee) teisendatakse IP-aadressiks või vastupidi. Selle tulemusena teab sinu arvuti rutem, kus teenus asub, ühendub sinna ning sulle avaneb teenus. Kuid lisaks kiirusele on veelgi olulisem nimede lahendamise tõepärasus. Mida lähemal asub vastus, seda väiksem on võimalus teekonnal vastust mõjutada ning seeläbi sinu internetiliiklust valesti suunata. See ei ole ainult mugavuse, vaid ka turvalisuse küsimus.

Domeenidest on .com ja .net kõige kasutatavamad domeenid ning selle teenuse olemasolu Eestis vähendab ründepinda kõige laiemalt. See ei ole üksnes teoreetiline oht. Siit saate lugeda hiljutist analüüsi, mis kirjeldab, kuidas Mehhiko WhatsAppi kasutajate päringuid manipuleeriti.

https://labs.ripe.net/author/qasim-lone/detecting-dns-root-manipulation/

Miks on oluline, et sinu nimesid lahendav DNS asub sulle lähedal?

Niisiis, nimesid lahendava DNSi jaoks on tähtis, et tema jaoks autoriteetsed allikad asuvad talle lähedal, et kiirendada nimelahendusi ja vähendada nimelahendustega manipuleerimist. Sama oluline on vahemaa, mis lahutab sind ja nimesid lahendavat DNSi.

Mida kaugemal asub sinu jaoks nimesid lahendav server, seda aeglasemalt tulevad vastused ja seda suurem on võimalus pahatahtlikult teenuse pakkuja nimel valesti vastata. Seeläbi on lihtsam suunata liiklust kuhugi, kuhu ta minema ei peaks. Tasub märkimist, et DNS nimelahenduse turvalisust tagav protokoll DNSSEC ei ole selle ründe objektiks, kuna valideerimine leiab aset, siis toimub nimelahendaja teenuse juures. See aga tähendab, et teekond nimelahendaja juurest sinuni on endiselt haavatav. Sellepärast tuleks eelistada neid nimesid lahendavaid teenuseid, mis asuvad sulle võimalikult lähedal või krüpteerida vastavad päringud.

CERT-EE pakub avalikku nimede lahendamise teenust, mis järgib nimede lahendamisel eri turva- ja privaatsusstandardeid. See teenus ei lahenda neid nimesid, mille taga asuvad õngitsus- või pahavara sisaldavad lehed.  CERT-EE teenust saab kasutadakrüpteeritult toetades nii DNS over HTTPS kui ka DNS over TLS protokolle. Globaalsetest teenusepakkujatest on Eesti internetisõlmpunktis RTIX olemas nii Cloudflare 1.1.1.1 kui ka Quad9 9.9.9.9. 

Hiljutine näide juhtumist Eestis, kus suure teenusepakkuja teenuse nimel vastati klientidele valesti. Nimetatud juhtum mõjutas suurt hulka nimelahendusi.

Mida pean tegema, et nimelahendused oleks võimalikult turvalised?

Kasutades CERT-EE nimeservereid ei ole vaja teha midagi, sest siis kasutad Eesti interneti sõlmpunkti RTIX teenust täiel määral. Ka RIA riigivõrgu kliendid ei pea tegema midagi, sest neile on teenusepakkuja poolt tagatud RTIXi teenuste hüved.

Kui sa ei kasuta CERT-EE nimeservereid ega ole riigivõrgu klient, siis küsi oma sideteenuse ja DNS teenuse pakkuja käest, kas ta on RTIX-il kohal ning kasutab RTIX-i route servereid. Ilma eelnevata ei ole võimalik operatiivselt osa saada hüvedest, mida Eesti internetiteenuse sõlmpunkt RTIX pakub.

RIA küberintsidentide käsitlemise osakond (CERT-EE)

Olulised turvanõrkused 2022. aasta 44. nädalal

OpenSSLi teegis parandati kaks kõrge tasemega haavatavust

1. novembril avalikustasid OpenSSLi arendajad enda teegist versiooni 3.0.7, millega parandati kaks kõrge tasemega turvanõrkust (CVE-2022-3602 ja CVE-2022-3786). Algselt hinnati esimest nõrkust kriitiliseks, kuid OpenSSLi loojad alandasid kriitilisuse taset pärast arutelusid eri osapooltega (BP, OpenSSL, Tenable, RIA).

OpenSSL on avaliku lähtekoodiga tarkvara, mida kasutatakse laialdaselt muuhulgas võrguliikluse krüpteerimiseks (sealhulgas VPNi lahenduste või HTTPSi protokolli puhul). OpenSSLi arendajad on varem hinnanud vaid üht nõrkust kriitilise tasemega (HeartBleed-nimeline haavatavus 2014. aastal). Tol korral oli ründajatel võimalik nõrkuse abiga varastada sessiooniküpsiseid, paroole ja muud tundlikku informatsiooni.

RIA kirjutas pikemalt nendest turvanõrkustest enda blogis.

Kes ja mida peaks tegema?

Turvanõrkuste vastu on haavatavad rakendused, mis kasutavad OpenSSLi versioone 3.0.0 -3.0.6. Selleks, et organisatsiooni paremini kaitsta, tuleks infoturbejuhtidel/süsteemihalduritel talitleda järgnevalt:

1. Tuvasta, kas teie ettevõtte süsteemid on haavatavad siin kajastatud turvanõrkuste vastu. Kasulik on koostada nimekiri haavatavatest tarkvaradest ja plaan, millal ja kuidas mõjutatud komponendid paigata. Samuti tuleks veenduda, et ettevõtte partnerid, kellel on ligipääs teie süsteemidele, ei ole haavatavad nende turvanõrkuste vastu. Halbade asjaolude kokkulangemisel võib partneri süsteem mõjutada ka teie süsteemi.

2. Uuenda haavatavaid OpenSSLi versioone kasutavad rakendused esimesel võimalusel nii, et need kasutaksid vähemalt teegi versiooni 3.0.7. Kui uuendamine ei ole võimalik, soovitab arendaja ühe lahendusena TLS-serverite haldajatele keelata võimalusel TLS-kliendi autentimine seniks, kuni uuendused on rakendatud1.

3. Vaata üle, kas mõjutatud on teenused, mis on interneti kaudu ligipääsetavad. Kui jah, tuleks infoturbejuhtidel või süsteemihalduritel vajadusel hinnata, kas on võimalik ajutise meetmena (kuni paigatud versiooni või alternatiivsete lahenduste rakendamiseni) ligipääsu neile teenustele piirata (need internetist eemaldada, kui kübeintsidendi toimumise risk on suur).

Fortinet avaldas turvapaigad oma toodetele

Fortinet parandas kokku 16 turvaviga, millest 6 olid kõrge mõjuga haavatavused. Need mõjutavad erinevaid Fortineti lahendusi nagu FortiTester, FortiSIEM, FortiADC, FortiDeceptor, FortiManager ja FortiAnalyzer (SW, Fortinet).

FortiTesterit mõjutav nõrkus võimaldab autentitud ründajal käivitada pahaloomulisi käske.

FortiSIEMi tarkvara mõjutab nõrkus, mille abil on lokaalsel ründajal, kellel on ligipääs käsuaknale, võimalik teostada toiminguid Glassfishi serveris.

Ülejäänud kõrge tasemega turvanõrkused on seotud XSS-rünnet lubavate haavatavustega ja mõnda neist on võimalik autentimiseta kuritarvitada.

Samuti parandati keskmise ja madala tasemega turvavigu. Neid auke saaks ründajad kasutada õiguste suurendamiseks, XSS-rünneteks, informatsiooni kogumiseks, teenusetõkestusrünneteks ja teisteks rünneteks.

Kes ja mida peaks tegema?

Mõjutatud versioonid on välja toodud ettevõtte kodulehel. Kui te mõjutatud tooteid kasutate, külastage viidatud veebilehte ja lähtuge tootjapoolsetest juhistest.

Samsungi rakenduste poes parandati turvaviga

Samsungi rakenduste poes Galaxy Store oli turvaviga, mis lubas ründajatel ohvrite seadmetesse rakendusi installeerida (HN). Ründe õnnestumiseks oleks sihtmärk pidanud külastama pahaloomulist veebilehte, millel oli spetsiifiline veebilink. Klikkides lingil, oleksid ründajad seejärel kasutanud XSS-rünnet. XSS-rünne on veebis väga levinud rünne, mille puhul õnnestub pahalastel käivitada pahaloomulist koodi. 

Kes ja mida peaks tegema?

Turvanõrkus mõjutab versiooni 4.5.32.4. Ettevõte on haavatavuse parandanud. Selleks, et kontrollida, millist versiooni te rakendusest kasutate, tuleb teil minna nutitelefoni operatsioonisüsteemi seadetesse ja valida sealt õige alammenüü (tavaliselt Seaded – > Rakendused -> Galaxy Store).

Cisco paikas kuus kõrge tasemega haavatavust

Turvavead mõjutavad erinevaid Cisco tooteid nagu Identity Services Engine, BroadWorks CommPilot, Email Security Appliance, Secure Email and Web Manager ning Secure Web Appliance (Cisco).

Nimetus Mõjutatud toode Mõju Kriitilisuse skoor
CVE-2022-20956 Identity Services Engine Autentitud ründajal on võimalik nõrkuse abil alla laadida või kustutada faile, millele tal ei tohiks olla ligipääsu. 7.1/10.0
CVE-2022-20961 Identity Services Engine Ründaja saab seda turvanõrkust ära kasutada, et teostada pahaloomulisi toiminguid kompromiteeritud kasutaja õigustes. 8.8/10.0
CVE-2022-20951; CVE-2022-20958 BroadWorks CommPilot Application Võimaldab autentitud ründajal käivitada pahaloomulist koodi või varastada konfidentsiaalset informatsiooni Cisco BroadWorks serverist. 8.3/10.0
CVE-2022-20867; CVE-2022-20868 Email Security Appliance, Secure Email and Web Manager, and Cisco Secure Web Appliance Next Generation Management Vulnerabilities Ründajal on võimalik haavatavates süsteemides enda õiguseid suurendada. 5.4/10.0

Kes ja mida tegema peaks?

Kõikidele haavatavustele (väljaarvatud nõrkusele CVE-2022-20956) on olemas turvaparandus. Kui kasutate mainitud tooteid, tutvuge tootjapoolse informatsiooniga ja rakendage vajadusel turvapaigad. Tabelis on viidatud veebilehekülgedele, millelt leiate lisainformatsiooni, kuidas paigad rakendada.

RIA analüüsi- ja ennetusosakond