Monthly Archives: February 2023

Olulised turvanõrkused 2023. aasta 6. nädalal

Illustratsioon: Andres Varustin

OpenSSL paikas kõrge mõjuga turvavead

OpenSSL paikas kokku kaheksa turvaviga, millest kõige suurema mõjuga haavatavus (CVE-2023-0286) võimaldab ründajal lugeda mälu sisu ja viia läbi teenusetõkestusründeid. Siiski juhivad tarkvara arendajad tähelepanu sellele, et haavatavus mõjutab tõenäoliselt ainult neid rakendusi, mis kasutavad tühistatud sertifikaatide loendi (Certificate Revocation List) võrgust kättesaamiseks spetsiaalseid lahendusi. Teised väiksema mõjuga turvanõrkused on välja toodud arendaja kodulehel (SW, OpenSSL).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad OpenSSLi versioone 3.0, 1.1.1 ja 1.0.2, soovitatakse see uuendada esimesel võimalusel.

OpenSSL 3.0 kasutajad peaksid uuendama tarkvara versioonini 3.0.8.

OpenSSL 1.1.1 kasutajad peaksid uuendama tarkvara versioonini 1.1.1t.

OpenSSL 1.0.2 kasutajad peaksid uuendama tarkvara versioonini 1.0.2zg (võimalik vaid eritingimustel) (OpenSSL).

OpenSSH uus versioon parandab mitu turvaviga

OpenSSH avaldas uue versiooni 9.2, kus on parandatud mitu turvaviga. Sealhulgas parandati ka turvaviga tähistusega CVE-2023-25136, mille abil on ründajal teoreetiliselt võimalik käivitada haavatavas süsteemis pahatahtlikku koodi või teostada selle vastu teenusetõkestusrünnak. Siiski märgivad tarkvara arendajad, et haavatavust ei ole lihtne ära kasutada tulenevalt sshd protsessi kaitsemeetmetest (HN, JFrog).

Kes ja mida peaks tegema?

CVE-2023-25136 mõjutab ainult OpenSSH versiooni 9.1p1 ja on parandatud versioonis  9.2p1. Kuigi nõrkust ei ole lihtne ära kasutada, soovitatakse OpenSSH uuendada kõige uuemale versioonile, et vältida võimalikku küberintsidenti (JFrog).

Turvanõrkus lubab häkkeritel muuta aega Dahua videovalvekaamerate süsteemides

Turvanõrkus tähisega CVE-2022-30564 avastati eelmisel aastal ja möödunud nädalal teavitas Dahua, et teatud nende tooteid see tõesti mõjutab. Selle abil on ründajal võimalik muuta aega mõjutatud seadmete süsteemides ja seda saab ründaja teha siis, kui ta saadab avalikult kättesaadavale süsteemile vastava päringu. Siiski on ründajal vaja teada spetsiaalseid rakendusliidese (API) parameetreid, et seda turvanõrkust ära kasutada (Redinent).

Turvanõrkuse avastanud ettevõtte sõnul on haavatavus eriti ohtlik just seetõttu, et internetist on avalikult kättesaadavad tuhanded sellised kaamerad. Kuna pahaloomulised osapooled saavad videosalvestiste aega muuta vastavalt vajadusele, avaldab turvaviga otsest mõju ka siis, kui videosalvestist on vaja uurimise käigus kasutada tõendina (Redinent).

Kes ja mida peaks tegema?

Nimekiri mõjutatud toodetest on avaldatud tootja kodulehel. Kui te neid kasutate, uuendage tooted esimesel võimalusel. Samuti ei tohiks videovalvekaamera süsteemi hoida internetist avalikult kättesaadavana.

Androidi uue versiooniga paigati 40 turvanõrkust

Google avalikustas eelmisel nädalal Androidi operatsioonisüsteemile turvauuendused, mis parandavad 40 turvanõrkust, millest 17 on kõrge mõjuga. Kõige kriitilisemaks parandatud haavatavuseks on turvaviga Frameworki komponendis, mille abil on ründajal võimalik mõjutatud süsteemis enda õiguseid suurendada. Kõik parandatud turvanõrkused on välja toodud siin.

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutavale seadmele pakutakse uuendusi, soovitame need rakendada (SW, Android).

Chrome’i uue versiooniga parandati 15 turvanõrkust

Google avalikustas uue Chrome’i versiooni tähisega 110, mis on mõeldud Windowsi, Mac OSi ja Linuxi operatsioonisüsteemidele. Uue versiooniga parandati 15 turvanõrkust, millest kolm on kõrge ja viis keskmise mõjuga. Kolme kõrge mõjuga haavatavust saab ära kasutada spetsiifiliste HTMLi lehtede abil. Google ei maininud, et nõrkuseid oleks jõutud ära kasutada (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada Chrome esimesel võimalusel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 5. nädalal

Illustratsioon: Andres Varustin

QNAP palub uuendada NAS-seadmete tarkvara

QNAP avalikustas eelmisel nädalal uued versioonid QTSi ja QuTSi tarkvaradest, mis parandavad ühe kriitilise turvanõrkuse (CVE-2022-27596). Turvanõrkus mõjutab QNAPi NAS-seadmeid. Ründaja saab haavatavust ära kasutada, et paigaldada seadmetele pahavara. Sealjuures ei pea ründajal olema turvavea ärakasutamiseks süsteemis õiguseid ja selleks ei ole vaja ka kasutajapoolset tegevust (SA).

NAS-seadmed on ründajatele ajalooliselt palju huvi pakkunud ning eelkõige neile, kes korraldavad lunavararünnakuid. Näiteks mullu septembris kirjeldati, kuidas DeadBolti lunavaraga olid nakatunud tuhanded taolised seadmed (ArsTechnica). 

Kes ja mida peaks tegema?

Turvanõrkus mõjutab QNAPi seadmeid, mis kasutavad QTS 5.0.1 või QuTS hero h5.0.1 tarkvara. Haavatavus on parandatud tarkvarades:

  • QTS 5.0.1.2234 build 20221201 ja uuem
  • QuTS hero h5.0.1.2248 build 20221215 ja uuem

Atlassian parandas Jiral kriitilise turvanõrkuse

Eelmisel nädalal teatas Atlassian, et Jira Service Managementil on parandatud kriitiline turvanõrkus CVE-2023-22501 (9.4/10.0). Ründajal on võimalik turvanõrkuse abil teatud tingimustel saada teenusele ligipääs. Kui Jira Service Management on konfigureeritud nii, et väljaminevad kirjad on lubatud ja ründajal on ka kirjutamisõigused kasutaja kataloogi, saab ta kompromiteerida teised kasutajad, kellele on registreerimise jaoks mõeldud tokenid saadetud, kuid kes ei ole kunagi sisse loginud (Atlassian).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab Jira Service Management and Data Center versioone 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1, 5.5.0.

Turvanõrkus on parandatud versioonides 5.3.3, 5.4.2, 5.5.1,5.6.0 ning uuemates versioonides.

Häkkeritel on võimalik segada teatud elektriautode laadijate tööd

Eelmisel nädalal avaldati raport, mis tõi välja, et ründajatel on võimalik teatud OCPP (Open Charge Point Protocol) standardi versiooni kasutavate elektriautode laadijate tööd segada või varastada andmeid. OCPP abil suhtlevad laadimispunktid keskhaldussüsteemidega ja seda protokolli kasutatakse maailmas laialdaselt (SF).

Analüüsi kohaselt on OCPP-l kaks nõrkust – esiteks tekivad probleemid siis, kui laadimispunkt peab tegelema rohkem kui ühe ühendusega korraga. Ründajad võivad seetõttu segada algset laadimispunkti ja keskhaldusüsteemi vahelist ühendust, avades veel ühe täiendava ühenduse. Uurimus leidis, et enamik turul olevaid keskhaldussüsteeme käituvad sellises olukorras kahel erineval viisil. Ühed lõpetavad esialgse ühenduse, mistõttu ei ole kliendil võimalik enam autot laadida, teised hakkavad kasutama pahaloomulist ühendust ja ei suhtle enam esialgse ühendusega (kuid ei katkesta seda) (SF).

Teise nõrkusena tõid analüüsi autorid välja puudused autentimises. Nimelt on vastavalt OCPP protokolli standardi 1.6J versioonile keskhaldussüsteemidel kolm võimalust, kuidas laadimispunkte identifitseerida – laadimispunkti ID järgi, ID ja kasutajatunnuste kaudu või ID ja sertifikaadi kaudu. Kui kasutatakse esimest meetodit (ainult laadimispunkti ID järgi), on ründajal võimalik ühendus üle võtta ja tegutseda näiliselt kompromiteeritud laadimispunkti nimel (SF).  

Analüüs leidis ka, et enamikel juhtudel tuvastavadki keskhaldussüsteemid laadimispunkte ainult ID-põhiselt. Sellest tulenevalt eksisteerib raporti autorite sõnul ka oht, et ründaja võib häirida jõuründe (brute-force) abil paljude keskhaldussüteemi kasutavate laadijate tööd, kui laadimispunktid loovad OCPP ühenduse keskhaldusüsteemiga ja laadimispunktide identifitseerimine toimub mingi kindla URLi parameetri kaudu (SF).

Pikemalt saab avastatud nõrkustest lugeda siit.