Monthly Archives: January 2023

Olulised turvanõrkused 2023. aasta 4. nädalal

Avaldati CryptoAPI turvanõrkuse PoC

Kriitilisest turvanõrkusest CVE-2022-24689 teavitati avalikkust eelmise aasta oktoobris, kuid nüüd on sellele avalikult kättesaadav ka kontseptsiooni tõendus (proof of concept  ehk PoC). Ründajal on võimalik turvanõrkuse abiga kuritarvitada avalikke x.509 sertifikaate ning kasutada neid autentimiseks või koodi allkirjastamiseks (näiteks näitamaks, et pahavara näol on tegu usaldusväärse programmiga). PoCi avalikustajate sõnul on vanad Chrome’i (v48 ja varasemad) ja Chromiumi-põhised rakendused, mis kasutavad CryptoAPIt, selle nõrkuse vastu haavatavad. Samuti mainiti, et kuna analüüsimine veel käib, ei pruugi eelnevalt mainitud tarkvarad olla ainukesed, mis on turvanõrkusest mõjutatud (BC).

Kes ja mida peaks tegema? Windowsi operatsioonisüsteemide kasutajad peaksid veenduma, et neil on kõige hiljutisemad turvauuendused rakendatud. Arendajatele soovitatakse kaitsemeetmena kasutada rakenduste puhul WinAPIt, et kontrollida sertifikaatide tõepärasust (BC). 

Microsoft juhtis tähelepanu Exchange’ide regulaarse uuendamise vajalikkusele

Microsoft avaldas blogipostituse, milles toonitas Exchange’i kasutajatele, et serverite uuendamine on oluline osa Exchange’ide kaitsmisel ja seda peaks regulaarselt tegema. Ründajad, kes otsivad paikamata Exchange’i servereid, ei kao Microsofti sõnul kuhugi, kuna neid kuritarvitades on ründajatel võimalik palju halba korda saata. Näiteks sisaldavad kasutajate meilipostkastid tihti tundlikku informatsiooni, samuti on Exchange’i serverites koopia aadressiraamatust ja serverite abil on teatud juhtudel võimalik rünnata ka Active Directoryt (Microsoft).

Kes ja mida peaks tegema?

Kirjutamise hetkel on kõige hiljutisemad Exchange’i versioonid järgnevad:

  • Exchange Server 2019 puhul CU12
  • Exchange Server 2016 puhul CU23
  • Exchange Server 2013 puhul CU23 ( Exchange Server 2013 tootjapoolne tugi lõppeb 11. aprillil 2023. aastal)

Jaanuari turvauuenduste paketi leiate siit.

VMware parandas logide analüüsimiseks mõeldud tööriistas kriitilised turvavead

VMware avalikustas eelmisel nädalal turvauuendused logide analüüsimiseks mõeldud tööriistale vRealize Log Insight (VMware Aria Operations for Logs).  Turvauuendused parandavad kaks kriitilist turvanõrkust (CVE-2022-31706, CVE-2022-31704), mida autentimata ründaja saab kasutada koodi kaugkäivitamiseks haavatavas süsteemis. Mõlemad turvanõrkused on hinnatud kriitilisuse skooriga 9.8/10.0 (BC).

Kes ja mida peaks tegema?

VMware avaldas juhised, kuidas uuendada vRealize Log Insight kõige uuemale versioonile. Kui uuendamine ei ole võimalik, saab ajutiselt kasutada ka alternatiivset kaitsemeedet. Selleks tuleb süsteemiadministraatoritel juurkasutajana sisse logida igasse vRealize Log Insighti sõlme (node) ja käivitada vastav VMware’i skript. Kui alternatiivset vastumeedet on vaja kasutada, tutvuge esmalt VMware’i juhistega siin.

Apple parandas eelmise aasta nullpäeva turvanõrkuse ka vanematel seadmetel

Eelmise aasta detsembris avalikustati nullpäeva turvanõrkus CVE-2022-42856. Kui varasemalt pakuti turvauuendust uuematele Apple’i seadmetel, siis nüüd on vastav turvauuendus saadaval ka Apple’i vanematele toodetele nagu iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ja iPod touch (kuues generatsioon). Ründajad saavad seda haavatavust ära kasutada, kui sihtmärk külastab spetsiaalse sisuga veebilehte, mis on ründajate kontrolli all. Pärast seda, kui ohver on veebilehte külastanud, on ründajatel võimalik ohvri seadmes käivitada käske, paigaldada täiendavat pahavara või teha muid pahaloomulisi tegevusi. Apple’i sõnul on võimalik, et seda turvanõrkust on aktiivselt ära kasutatud (Apple, BC). Täiendavat informatsiooni ei ole ettevõte avalikkusega jaganud.

Kes ja mida peaks tegema?

Turvanõrkus on paigatud iOSi versioonis 12.5.7 ja seda pakutakse järgnevatele seadmetele: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (kuues versioon).

Realtek SDK turvanõrkust üritatakse aktiivselt ära kasutada IoT- seadmete ründamiseks

Eelmisel nädalal avaldatud Unit 42 analüüsist selgub, et 2022. aasta augustist oktoobrini tundsid ründajad rohkem huvi ühe kindla Realtek Jungle SDK turvanõrkuse vastu (CVE-2021-35394). Kui tavaliselt ei ületa analüüsi autorite sõnul üht kindlat turvanõrkust kuritarvitavate rünnete hulk 10% kogu rünnete hulgast, siis eelmiste aasta augustis oktoobrini üritati just seda kindlat Realteki haavatavust ära kasutada 40% rünnakukatsete puhul. 2022. aasta detsembri seisuga oli ettevõte tuvastanud kokku 134 miljonit ründekatset, mille puhul üritati ära kasutada haavatavust CVE-2021-35394 (9.8/10.0). Sealjuures moodustasid 134 miljonist 97% rünnakukatsed, mis olid tehtud alates 2022. aasta augustist. Paljudel juhtudel üritati selle konkreetse Realteki turvanõrkuse abil paigaldada haavatavatele IoT-seadmetele pahavara. (Unit42, OneKey).

Kes ja mida peaks tegema?

Haavatavusest on mõjutatud Realtek Jungle SDK versioonid v2.x kuni v3.4.14B (kaasaarvatud). Tootja parandas haavatavuse turvauuendusega juba 2021. aasta augustis. Tarneahelate keerukused on mõnel juhul tekitanud aga probleeme uuenduse jõudmisega lõppkasutajateni. Soovitame uuenduse olemasolul see ka kohe rakendada.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 3. nädalal

GitLab paikas kaks kriitilist turvanõrkust

Kaks kriitilist turvaviga (CVE-2022-41903 ja CVE-2022-23521) võimaldavad koodi kaugkäitust. CVE-2022-23521 nõrkust saab ära kasutada juhul, kui sihtmärk kloonib või uuendab failide hoiukohti (repositooriumeid). CVE-2022-41903 nõrkust on võimalik ära kasutada näiteks juhul, kui arhiveeritakse Giti hoidlaid (X41).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud Giti versioonis 2.39.1 ning Gitlab Community Edition ja Enterprise Edition versioonides 15.7.5, 15.6.6 ja 15.5.9. Nende tarkvarade kasutajatel soovitame kindlasti vastavad uued versioonid rakendada. Täpsemalt saate nõrkuste kohta lugeda GitLabi kodulehelt (GitLab).

Sudo redigeerimisfunktsioonil avastati turvanõrkus

18. jaanuaril avalikustati, et sudo redigeerimisfunktsioonil (sudo -e aka sudoedit) on turvaviga, mille abil on pahaloomulisel kasutajal võimalik teatud tingimustel muuta faile, mida tavaolukorras ei lubaks sudo poliitika muuta. Sudo funktsiooni kasutatakse laialdaselt Linuxi distributsioonides. Selle funktsiooni kasutamist reguleerib fail (sudoers), kus on välja toodud failide muutmisõigused kasutajapõhiselt. Turvanõrkust saab ära kasutada juhul, kui pahaloomulisel kasutajal on võimalik käivitada süsteemis sudoedit (Sudo).

Kes ja mida peaks tegema?

Turvaviga mõjutab sudo versioone 1.8.0 kuni 1.9.12p1 (kaasaarvatud). Kõik versioonid, mis on vanemad kui 1.8.0, ei ole nõrkuse vastu haavatavad. Nõrkus on parandatud ka sudo versioonis 1.9.12p2.

OpenTexti tarkvaras paigati mitu turvaviga

OpenTexti sisuhaldustarkvaras paigati mitu haavatavust. Nendest üks CVE-2022-45923 võimaldab autentimata ründajal käivitada haavatavas tarkvaras pahaloomulist koodi. CVE-2022-45927 lubab aga ründajal autentimisest mööda pääseda ja teeb pahaloomulise koodi käivitamise haavatavas süsteemis seeläbi lihtsamaks. Lisaks avastati veel viite tüüpi turvanõrkuseid (Sec-Consult).

Kes ja mida peaks tegema?

Turvavead on paigatud OpenTexti sisuhaldustarkvara versioonis 22.4, mille soovitame tarkvara kasutamise korral rakendada.

Cisco paikas kõrge mõjuga turvanõrkuse

Turvanõrkuse CVE-2023-20010 abil on ründajal võimalik teostada SQL-süsti (SQL injection) ehk rünnata andmebaasipõhist rakendust. Haavatavus tuleneb sellest, et veebiliidesed ei suuda korrektselt kontrollida kasutajate sisendit. Haavatavust on hinnatud kriitilisuse skooriga 8.1/10.0. Turvanõrkusest on mõjutatud Cisco toodete Unified Communications Manager (CM) ja  Unified Communications Manager Session Management Edition (CM SME) veebiliidesed. Õnnestunud ründe korral on ründajal võimalik lugeda või muuta andmebaasipõhise rakendusega seotud infot või suurendada haavatavas keskkonnas enda õiguseid (Cisco).

Kes ja mida peaks tegema?

Turvanõrkused on parandatud tarkvarauuendustega. Tutvuge tootja kodulehel avaldatud juhistega ja uuendage vajadusel mõjutatud tarkvara (Cisco).

Neli Azure’i teenust olid haavatavad SSRF tüüpi nõrkuste vastu

Eelmisel nädalal avalikustatud analüüsi kohaselt olid neli Azure’i teenust (Azure API Management, Azure Functions, Azure Machine Learning ja Azure Digital Twins) haavatavad SSRF (server side request forgery) tüüpi turvanõrkuste vastu.  Sealjuures õnnestus analüüsi autoritel kahte turvanõrkust ära kasutada nii, et nad ei pidanud end selleks autentima. SSRF tüüpi nõrkuste puhul on tegu haavatavustega, mis võimaldavad ründajal kuritarvitada veebirakendust ja esitada päringuid sisemiste ressursside lugemiseks, värskendamiseks või nende edastamiseks välistele allikatele[1].

Konkreetsed turvanõrkused lubasid teoreetiliselt skaneerida lokaalseid porte, ja tuvastada uusi teenuseid ning faile ehk koguda informatsiooni, mis ei tohiks olla avalikult kättesaadav. Turvanõrkustest anti Microsoftile teada ja need parandati kiiresti (Orca).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 2. nädalal

Microsoft parandas nullpäeva turvanõrkuse

Microsoft avalikustas uuenduste teisipäeva raames parandused 98 turvaveale. 11 turvaviga on hinnatud kriitiliseks. Üks parandatud haavatavustest on märgitud nullpäeva turvanõrkuseks. Sellise nimetuse saavad turvavead, mis Microsofti hinnangul avalikustatakse või mida aktiivselt on kuritarvitatud enne, kui parandusele on olemas ametlik turvapaik (BC).

Nullpäeva turvanõrkuse CVE-2023-21674 abil on võimalik ründajal omandada SYSTEM tasemel ehk kõrgendatud tasemel õigused. Selliste õigustega on ründajal näiteks võimalik käivitada ilma takistusteta erinevat tüüpi pahavara või teha muid pahaloomulisi tegevusi.

Kes ja mida peaks tegema?

Haavatavustele on saadaval turvaparandused, soovitame tutvuda tootja avalikustatud informatsiooniga ja vajadusel uuendada enda mõjutatud süsteem. Nimekirja parandatud turvavigadest leiate siit.

FortiOSi turvanõrkust kasutatakse valitsusasutuste ründamisel

Hiljuti parandatud FortiOS SSL-VPNi turvanõrkust CVE-2022-42475 kasutatakse valitsusasutustega seotud sihtmärkide ründamisel. Haavatavus parandati eelmise aasta detsembris ja võimaldab autentimata kasutajal käivitada pahatahtlikku koodi haavatavates seadmetes. Fortinet paikas turvanõrkusega FortiOS versioonis 7.2.3 (Fortinet).

Haavatavust on hiljuti ära kasutatud, et paigaldada ohvri seadmesse spetsiifilist laadi pahavara. Pahavara varjamiseks on üritatud jätta mulje, et tegu on justkui Fortineti IPSi komponendiga. Lisaks muudele funktsioonidele suudab pahavara manipuleerida süsteemi logifaile või peatada logimine süsteemis täielikult (SA).

Kes ja mida peaks tegema?

Kui te ei ole veel seda teinud, siis rakendage esimesel võimalusel FortiOSi versioon 7.2.3, milles on haavatavus parandatud. Samuti soovitame tutvuda Fortineti tehnilise analüüsiga, milles kirjeldatakse eelpool mainitud pahavaraga seotud leide.

Adobe parandas oma toodetes 29 turvanõrkust

Turvauuendused avaldati PDF-failide lugemistarkvaradele Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Ettevõtte sõnul on tegemist kriitiliste turvanõrkustega, kuna haavatavuste ärakasutamine võib kaasa tuua näiteks rakenduste töö katkemise, pahatahtliku koodi käivitamise või lubab ründajal õigusi suurendada (SW).

Kes ja mida peaks tegema?

Tutvuge tootja kodulehel avaldatud juhistega ja uuendage vajadusel mõjutatud tarkvara.

Aegunud Cisco seadmeid ohustab kriitiline turvanõrkus

Kriitiline turvanõrkus CVE-2023-20025 ja kaks keskmise kriitilisuse tasemega turvanõrkust CVE-2023-20026 ja CVE-2023-20045  ohustavad teatud Cisco ruuterite mudeleid. Turvanõrkustele CVE-2023-20025 ja CVE-2023-20026 on avalikult kättesaadavad ka kontseptsiooni tõendused, kuid hetkel ei ole märgatud, et neid haavatavusi aktiivselt kuritarvitatakse (HNS).

CVE-2023-20025 – Turvanõrkus mõjutab Cisco RV016, RV042, RV042G ja RV082 VPN ruuterite veebiliidest ja võimaldab autentimisest mööda pääseda. CVE-2023-20026 lubab veebiliidese kaudu käivitada pahatahtlikku koodi. CVE-2023-20045 on koodi kaugkäitust lubav turvaviga, mille vastu on haavatavad RV160 ja RV260 seeriate VPN ruuterid. Turvanõrkuse kasutamiseks peab ründajal olema administraatori õigustega kasutaja kasutajatunnused. Turvanõrkusele ei ole avaldatud kontseptsiooni tõendust.

Tarkvarauuendusi, mis turvanõrkused paikaks (HNS), ei looda, kuna:

  • RV082 ja RV016 on aegunud.
  • RV042 ja RV042G ei saa alates 2021. aasta jaanuarist hooldus- ega veaparandusi.
  • RV 160 ja RV260 (ja RV345P, RV340W, RV260W, RV260P ja RV160W) said viimased tarkvarapaigad 2022. aasta septembris ja rohkem turvauuendusi ei saa.

Kes ja mida peaks tegema?

Kuna tegu on aegunud seadmetega ja tootja turvanõrkustele parandusi ei paku, tuleb vajadusel seadmed välja vahetada uuemate vastu. Kui seadmete väljavahetamine uuemate vastu ei ole võimalik, soovitatakse seadmete haldajatel alternatiivse vastumeetmena blokeerida seadmete veebiliidestele ligipääs ACLi reeglite abil. Enne reeglite rakendamist soovitatakse meedet põhjalikult testkeskkonnas testida, et vältida võimalikke hilisemaid probleeme seadmete kasutamisel.

Zoomi tarkvaras parandati kolm kõrge tasemega haavatavust

Zoomi tarkvaras paigati kolm kõrge tasemega turvaviga. Kõik haavatavused lubavad ründajal süsteemis enda õiguseid suurendada (SW).

CVE-2022-36930 (8.2/10.0) – Windowsi kasutajatele mõeldud Zoom Rooms tarkvara, mis kasutab vanemat versiooni kui 5.13.0, sisaldab haavatavust, mille abil on võimalik ründajal enda õiguseid süsteemis suurendada.

CVE-2022-36929 (7.8/10.0)– Windowsi kasutajatele mõeldud Zoom Rooms tarkvara enne versiooni 5.12.7 sisaldab õiguste suurendamise haavatavust, millega on lokaalsel madala õigustega kasutajal võimalik omandada SYSTEM tasemel õigused.

CVE-2022-36927 (8.8/10.0) – MacOSi kasutajate jaoks mõeldud Zoom Rooms tarkvara, mis kasutab vanemat versiooni kui 5.11.3, sisaldab haavatavust, mille abil on ründajal võimalik saada juurkasutaja õigused.

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, uuendage see esimesel võimalusel.

Chrome’i uues versioonis on parandatud 17 turvanõrkust

Google avaldas Chrome’i versiooni 109 Windowsi, Maci ja Linuxi operatsioonisüsteemi kasutavatele seadmetele. Parandatud haavatavuste seas on kaks kõrge ja kaheksa keskmise mõjuga haavatavust (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame Chrome’i kasutajatel uuendada veebilehitseja esimesel võimalusel.

RIA analüüsi- ja ennetusosakond