Monthly Archives: March 2023

Olulised turvanõrkused 2023. aasta 12. nädalal

Avaldati ülevaade eelmisel aastal kuritarvitatud nullpäeva turvanõrkustest

Eelmisel nädalal avaldatud ülevaatest selgub, et 2022. aastal oli 55 nullpäeva turvanõrkust, mida ründajad aktiivselt ära kasutasid. 53 turvanõrkust 55-st lubasid ründajal suurendada süsteemis enda õiguseid või teostada koodi kaugkäitust. Enamik olid seotud operatsioonisüsteemide, veebilehitsejate või võrguhaldustoodetega. Nullpäeva turvanõrkusteks loetakse haavatavusi, mis avalikustatakse või mida kuritarvitatakse enne, kui sellele on olemas parandus või vastutav tootja sellest teab. Sellised turvavead on häkkerite jaoks äärmiselt väärtuslikud (BP). Ülevaatega saate tutvuda siin.

Microsoft jagas näpunäiteid Outlooki nullpäeva turvanõrkuse ärakasutamise tuvastamiseks

Eelmisel nädalal jagas Microsoft mahukat ülevaadet hiljuti avalikustatud Outlooki nullpäeva turvanõrkusest. RIA kajastas konkreetset turvanõrkust ka enda blogis. Microsofti kokkuvõte annab hea ülevaate, kuidas tuvastada, kas Outlooki nullpäeva turvanõrkust CVE-2023-23397 on jõutud ära kasutada, milliseid tehnikaid ründajad tarvitavad ning mida teha, et end haavatavuse eest kaitsta (Microsoft).

Kes ja mida peaks tegema?

Kui te kasutate Outlooki ja ei ole viimaseid turvauuendusi veel rakendanud, soovitame tungivalt seda esimesel võimalusel teha. Kindlasti soovitame lugeda ka Microsofti kokkuvõtet turvanõrkusest.

Cisco paikas IOS ja IOS XE tarkvaral kokku kümme haavatavust

Kolme turvanõrkuse abil on võimalik haavatavat tarkvara kasutava seadme tööd takistada ehk teostada teenusetõkestusrünnak. Need turvanõrkused on märgitud tähistega CVE-2023-20080, CVE-2023-20072 ja CVE-2023-20027. Esimene neist mõjutab IOS-i ja IOS XE tarkvara IPv6 DHCP versiooni 6 (DHCPv6) serveri funktsioone. Ründajal on võimalik saata mõjutatud seadmele spetsiaalselt loodud DHCPv6 sõnumeid ja põhjustada seadme ootamatu taaskäivitus. Teine haavatavus mõjutab spetsiifiliste pakettide käsitlemise koodi ja seda saab ära kasutada, saates mõjutatud süsteemile killustatud pakette. Kolmas nõrkus on seotud IPv4 Virtual Fragmentation Reassembly (VFR) funktsiooniga. Nimelt ei monteerita suuri pakette korralikult uuesti kokku, kui VFR on lubatud. Haavatavust saab ründaja siis ära kasutada, kui ta saadab killustatud paketid mõjutatud seadmele, mis kasutab VFR-i. Lisaks paigati veel mitu nõrkust (SW). Täpsema ülevaate hiljuti parandatud nõrkustest saate Cisco veebilehelt.

Kes ja mida peaks tegema?

Kui te kasutate haavatavat tarkvara, uuendage see esimesel võimalusel, et vältida võimalikku küberintsidenti.

WooCommerce’i pistikprogrammi kasutavaid veebilehti ohustab kriitiline turvanõrkus

WordPress installeerib sadadele tuhandetele veebilehtedele uuenduse, mis paikab kriitilise haavatavuse WooCommerce Payments pistikprogrammis. Turvaviga võib lubada autentimata ründajatel saada administraatori tasemel ligipääs haavatavatesse e-poodidesse. Turvanõrkus mõjutab WooCommerce Paymentsi 4.8.0 ja uuemaid versioone. Hetkel ei ole leitud ühtegi tõendit, et seda turvanõrkust oleks suudetud ära kasutada. Kõikidel veebilehtedel, mis on majutatud WordPress.com keskkonnas, Pressables või WPVIP-is, deaktiveeriti mõjutatud teenused ja parandati turvanõrkus (BP).

Kes ja mida peaks tegema?

Kui te majutate WordPressi sisuhaldusplatvormi kasutavat veebilehte enda serveris, peate manuaalselt WooCommerce’i pistikprogrammi uuendama. Selleks käituge järgnevalt:

  1. Klõpsake oma WP Admin haldusliideses pistikprogrammide menüü peale (Plugins) ja leidke sealt WooCommerce Payments plugin.
  2. Pistikprogrammi versiooninumber peaks olema kuvatud plugina nime kõrval kirjelduse veerus (Description). Kui see number ühtib numbriga 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 või 5.6.2, ei pea te midagi tegema, sest teil on parandusega versioon juba rakendatud.
  3. Kui te kasutate aga versiooni, mis ei ole eelnevas punktis välja toodud, uuendage see esimesel võimalusel. Sellisel juhul peaks WordPressi platvorm ise pakkuma võimalust vastav pistikprogramm ära uuendada.

Kui te olete enda veebilehe ära uuendanud, peaksite analüüsima, kas turvanõrkust on siiski suudetud ära kasutada. Selleks soovitatakse veenduda, et lisatud ei oleks kahtlaseid administraatori õigustega kasutajaid ega veidraid postitusi haavatavale veebilehele. Kui te leiate tõendeid turvanõrkuse ärakasutamisest, tuleks teil esimesel võimalusel ebavajalikud administraatoriõigustega kasutajad eemaldada ning uuendada legitiimsetel kasutajatel paroolid, samuti tuleks ära vahetada Payment Gateway ja WooCommerce’i API võtmed (WooCommerce).


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 11. nädalal

Microsoft Outlooki kriitiline turvanõrkus kujutab suurt ohtu

14. märtsi õhtul avalikustas Microsoft, et on lisaks muudele nõrkustele paiganud ühe kriitilise nullpäeva haavatavuse tähisega CVE-2023-23397, mis mõjutab Windowsi operatsioonisüsteemile mõeldud Outlooki klientrakendusi. Ründaja saab seda turvaauku ära kasutada, kui ta saadab ohvrile näiteks spetsiaalse e-kirja. Kui haavatav rakendus e-kirja töötleb, luuakse ühendus ründaja infrastruktuuriga ja edastatakse sinna e-kirja saaja NTLM-räsi. Ründajal on võimalik seda räsi hiljem süsteemidesse ligipääsemiseks potentsiaalselt ära kasutada (vaid NTLM-räsiga autentimist toetavatesse süsteemidesse). Turvanõrkus on ohtlik isegi siis, kui pahaloomulise kirja saaja seda ei ava. Microsofti hinnangul on riikliku taustaga küberrühmitused üritanud juba seda haavatavust kuritarvitada (Microsoft).

Lisaks Outlooki mõjutavale kriitilisele turvanõrkusele paigati veel 82 turvaviga, millest kaheksa on hinnatud kriitiliseks. Ülevaate kõikidest parandatud turvavigadest leiate siit.

Kes ja mida peaks tegema?

Kriitiline haavatavus mõjutab kõiki toetatud Outlooki klientrakendusi, mida kasutatakse Windowsi operatsioonisüsteemides. Haavatavus ei mõjuta Androidile, iOSile ega macOSile mõeldud Outlooki rakendusi, samuti ei ole mõjutatud veebi teel kasutatav Outlook (OWA) ega teised M365 teenused (Microsoft).

Vastumeetmed

•             Haavatava tarkvara kasutamise korral tuleb esimesel võimalusel Microsofti viimased turvauuendused rakendada. Soovitame kindlasti tutvuda tootja veebilehega https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397, kus on välja toodud mõjutatud tarkvarad koos turvauuenduste allalaadimiseks mõeldud veebilinkidega.

•             Microsoft pakub organisatsioonidele skripti, mida saab kasutada, et tuvastada, kas neid on üritatud turvanõrkuse abil rünnata. Skripti koos dokumentatsiooniga leiate  https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

•             Veebilehel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 on välja toodud ka alternatiivsed kaitsemeetmed, mida on võimalik vajadusel kasutada.

Exynos kiibistike turvanõrkused mõjutavad mitmeid seadmeid

Kokku avastati 18 nullpäeva turvanõrkust, mis on kõrge kriitilisuse tasemega. Turvanõrkused on murettekitavad, kuna Exynos kiibistikke kasutavad paljud erinevad seadmed. Nimekirja mõjutatud Exynos kiibistikest leiate siit. Kõige tõsisemal juhul on ründajal võimalik kiibistikku kasutav seade kompromiteerida, teades vaid ohvri telefoninumbrit (Google).

Kes ja mida peaks tegema?

Mõjutatud kiibistike põhjal on tehtud nimekiri seadmetest, mis võivad olla turvanõrkuste vastu haavatavad. Nimekiri ei pruugi sisaldada kõiki seadmeid, mis on turvanõrkustest mõjutatud. Mõjutatud on näiteks:

  • teatud Samsungi mobiiltelefonid, näiteks seeriatest S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ja A04;
  • teatud Vivo mobiiltelefonid, näiteks seeriatest S16, S15, S6, X70, X60 ja X30;
  • Google Pixel 6. ja 7. seeria telefonid;
  • kõik autod, millel on Exynos Auto T5123 kiibistik (kasutatakse 5G ühenduse loomisel).

Seni, kuni turvauuendused ei ole saadaval (saadavus varieerub tootjate lõikes, Pixeli seadmetele on uuendused olemas), soovitab Google enda ülevaates neil kasutajatel, kes soovivad end siiski kaitsta nende koodi kaugkäitamist võimaldavate haavatavuste eest, seadetes WiFi- ja VoLTE-kõnede funktsionaalsus välja lülitada (Google).

SAPi toodetel paigati viis kriitilist turvanõrkust

SAPi toodetel paigati 19 turvaviga, mille hulgas oli viis turvanõrkust, mis on hinnatud kriitiliseks. Kriitilised turvavead mõjutavad SAPi tarkvarasid nimetustega SAP Business Objects Business Intelligence Platform (CMC) ja SAP NetWeaver. Kriitilised vead võimaldavad erinevaid toiminguid failidega – nt süsteemifailide üle kirjutamist, ligipääsu piiratud ressurssidele, kuid ka pahaloomuliste käskude käivitamist. Nimekirja parandatud turvanõrkustest leiate siit.

Kes ja mida peaks tegema?

SAPi toodete turvavead võivad olla ohuks paljudele organisatsioonidele, kuna neid kasutatakse maailmas laialdaselt ja need võivad olla heaks sisenemispunktiks teistesse süsteemidesse. Kõigil, kes mõjutatud tooteid kasutavad, tuleks uuendused rakendada esimesel võimalusel (SAP).

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Mozilla Firefoxi versioonis 111 on parandatud 13 turvaviga, nende hulgas seitse kõrge mõjuga haavatavust. Kõrge mõjuga vead võivad kaasa tuua teabe avalikustamise ja pahatahtliku koodi käivitamise. Mõned neist vigadest mõjutavad vaid Androidile mõeldud Firefoxi rakendust (SW, Mozilla).

Kes ja mida peaks tegema?

Firefoxi kasutajatel soovitame veebilehitseja uue versiooni kindlasti enda seadmele paigaldada. Juhised, kuidas Firefoxi uuendada, leiate siit.

Adobe avalikustas turvavärskendused mitmetele toodetele

Kokku parandati kaheksa turvauuendusega 105 haavatavust. Parandatud haavatavuste seas oli ka kaks kriitilist turvanõrkust CVE-2023-26360 ja CVE-2023-26359 ja mõlemad mõjutavad Adobe ColdFusion tarkvara. Mõlema turvanõrkuse abil on ründajal võimalik käivitada haavatavas süsteemis pahaloomulist koodi (SA).

Kes ja mida peaks tegema?

Soovitame tutvuda, millistele Adobe toodetele turvauuendused väljastati ja need vajadusel rakendada. Nimekirja uuendustest leiate siit.

RIA analüüsi- ja ennetusosakond

Kriitiline turvanõrkus ohustab Microsoft Outlooki klientrakenduse kasutajaid

14. märtsi õhtul avalikustas Microsoft, et on paiganud ühe kriitilise nullpäeva haavatavuse tähisega CVE-2023-23397, mis mõjutab Windowsi operatsioonisüsteemile mõeldud Outlooki klientrakendusi. Ründaja saab seda turvaauku ära kasutada, kui ta saadab ohvrile näiteks spetsiaalse e-kirja. Kui haavatav rakendus e-kirja töötleb, luuakse ühendus ründaja infrastruktuuriga ja edastatakse sinna e-kirja saaja NTLM-räsi. Ründajal on võimalik seda räsi hiljem süsteemidesse ligipääsemiseks potentsiaalselt ära kasutada (vaid NTLM-räsiga autentimist toetavatesse süsteemidesse). Turvanõrkus on ohtlik isegi siis, kui pahaloomulise kirja saaja seda ei ava. Microsofti hinnangul on riikliku taustaga küberrühmitused juba seda haavatavust üritanud kuritarvitada (Microsoft).

Kes ja mida peaks tegema?

Kriitiline haavatavus mõjutab kõiki toetatud Outlooki klientrakendusi, mida kasutatakse Windowsi operatsioonisüsteemides. Haavatavus EI MÕJUTA Androidile, iOSile ega macOSile mõeldud Outlooki rakendusi, samuti ei ole mõjutatud veebi teel kasutatav Outlook (OWA) ega teised M365 teenused (Microsoft).

Vastumeetmed


RIA analüüsi- ja ennetusosakond