Monthly Archives: May 2023

Olulised turvanõrkused 2023. aasta 21. nädalal

GitLab paikas kriitilise turvanõrkuse

GitLab parandas kriitilise turvavea tähisega CVE-2023-2825, mis on hinnatud maksimaalse kriitilisuse skooriga (10.0/10.0). Turvanõrkus on kriitiline, kuna selle kaudu on võimalik saada ligipääs tundlikule infole, sh kasutajakontode andmetele. Viga mõjutab GitLabi tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versiooni 16.0.0 (GitLab).


Kes ja mida peaks tegema?

Ettevõtte soovitab viivitamatult uuendada mõjutatud tarkvara vähemalt versioonile 16.0.1, milles on turvanõrkus parandatud.

Cisco võrguseadmetel tuvastati neli kriitilist turvanõrkust

Cisco kommutaatorites (switch) avastati neli kriitilist turvanõrkust, mis võimaldavad ründajatel juurõigustes kaugkäivitada pahatahtlikku koodi. Turvanõrkused on hinnatud peaaegu maksimaalse kriitilisuse skooriga (9.8/10) ning neid tähistatakse CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 ja CVE-2023-20189. Haavatavustele on avalikult kättesaadavad kontseptsiooni tõendused (PoC), mille tõttu haavatavaid seadmeid ka aktiivselt otsitakse (BP, Cisco).

Kes ja mida peaks tegema?

Cisco sõnul ei parandatud teatud seadmete tarkvara (Small Business Switches 200, 300 ja 500), kuna neil puudub tootjapoolne tugi (ehk tegu on juba aegunud seadmetega). Uuematele turvanõrkustest mõjutatud seadmetele on turvapaigad olemas. Lisainformatsiooni leiate siit.

Zyxel hoiatab kahe kriitilise turvanõrkuse eest

Zyxel hoiatab kliente kahe kriitilise haavatavuse (CVE-2023-33009 ja CVE-2023-33010) eest, mis mõjutavad mitmeid ettevõtte pakutavaid tulemüüre ja VPN seadmeid. Mõlemad turvanõrkused on seotud puhvri ületäitumisega ja võimaldavad haavatavate seadmete töö häirimist või koodi kaugkäivitamist. Turvavigu saab ründaja kasutada autentimata (BP).

Kes ja mida peaks tegema?

Haavatavad on seadmed, mis kasutavad järgnevaid tarkvarasid:

  • Zyxel ATP püsivara versioonid ZLD V4.32 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel USG FLEX püsivara versioonid ZLD V4.50 to V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel USG FLEX50(W) / USG20(W)-VPN püsivara versioonid ZLD V4.25 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel VPN püsivara versioonid ZLD V4.30 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel ZyWALL/USG püsivara versioonid ZLD V4.25 kuni V4.73 Patch 1 (turvanõrkused parandatud versioonis ZLD V4.73 Patch 2)

Tootja soovitab mõjutatud toodete kasutajatel rakendada esimesel võimalusel kõige uuemad turvauuendused, et vältida võimalikku küberintsidenti (BP).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 20. nädalal

Apple parandas kolm nullpäeva turvanõrkust

Apple avalikustas 18. mail turvaparandused erinevatele tarkvaradele (iOS, macOS, tvOS, watchOS ja Safari), mis paikavad kolm nullpäeva turvanõrkust (CVE-2023-32409, CVE-2023-28204 ja CVE-2023-32373). Haavatavused on seotud WebKit-nimelise komponendiga. Turvanõrkuste abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või pääseda ligi tundlikele andmetele. Apple’i sõnul on vähemalt ühte turvanõrkust üritatud kaaktiivselt ära kasutada, kuid rohkem detaile ei ole ettevõte haavatavuste kohta jaganud (BC, SA, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS/iPadOS 16.5, Safari 16.5, tvOS 16.5, watchOS 9.5 ja macOS Ventura 13.4 versioonides.

Kui sinu Apple’i nutitelefon, tahvelarvuti, arvuti või muu nutiseade on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, tee seda esimesel võimalusel.

KeePassi mõjutava turvavea abil saab varastada paroolihalduri salasõna

KeePassi tarkvara mõjutava turvavea (CVE-2023-32784) abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna. Probleem on seotud tarkvara tekstikastiga, kuhu vastav salasõna sisestatakse. Siiski peab ründajal esmalt olema süsteemile ligipääs, et turvaviga kuritarvitada. Haavatavuse jaoks on avalikult kättesaadav kontseptsiooni tõendus (PoC) ning sellele ei ole hetkel olemas parandust (avalikustatakse suure tõenäosusega juulis). Haavatavus mõjutab KeePass 2.X versioone, KeepassXC pole veast mõjutatud (HNS).

Kes ja mida peaks tegema?

Kuna hetkel turvanõrkusele parandus puudub, soovitame järgida üldisi küberturvalisuse põhimõtteid (vt RIA kodulehelt). Kui turvaparandus eeldatavalt juulis avalikustatakse, uuendage KeePassi tarkvara esimesel võimalusel.

Chrome’i kriitiline turvanõrkus ohustab selle kasutajaid

Google avaldas uue Chrome’i versiooni 113.0.5672.126 Windowsi, macOSi ja Linuxi operatsioonisüsteemidele, millega paigati 12 turvaviga. Parandatud turvanõrkuste seas on üks kriitilise ja neli kõrge mõjuga haavatavust. Kriitiline turvanõrkus on tähisega CVE-2023-2721 ja selle kaudu on ründajal teoreetiliselt võimalik käivitada pahatahtlikku koodi või mõjutada süsteemi tavapärast tööd (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Samsungi nutitelefonide turvafunktsioonist on võimalik mööda pääseda

USA küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) hoiatab USA riiklikke asutusi turvanõrkuse eest, mille kaudu on võimalik Androidi turvafunktsioonist (ASLR ehk Android address space layout randomizationi) mööda pääseda. Turvafunktsiooni ülesandeks on määrata juhuslikult mäluaadressid, kus peamised rakendused ja OS-i komponendid seadme mällu laaditakse. See raskendab ründajatel mäluga seotud haavatavuste kuritarvitamist ja takistab erinevaid mälupõhised rünnakuid ellu viimast (nt puhvri ületäitumine) (BP, CISA).

Turvaviga (CVE-2023-21492) mõjutab Samsungi mobiilseadmeid, mis töötavad operatsioonisüsteemidega Android 11, 12 ja 13, ning selle põhjuseks on tundliku teabe sisestamine logifailidesse. Seda teavet saavad kõrgete õigustega ründajad kasutada ASLR-ist möödapääsemiseks. Kuigi Samsung ei ole öelnud, et seda turvanõrkust oleks ära kasutatud, kuritarvitatakse selliseid turvaauke sageli keeruliste sihitud rünnakute korraldamiseks.

Kes ja mida peaks tegema?

Kui teie Samsungi nutiseade pakub turvauuendusi, rakendage need esimesel võimalusel.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 19. nädalal

Microsoft paikas kaks nullpäeva turvanõrkust

Microsoft paikas oma toodetes mitukümmend haavatavust, mille hulgas oli ka kaks nullpäeva turvanõrkust.

Esimene neist tähisega CVE-2023-29336 on seotud Win32k draiveriga ning eduka ründe korral on ründajal võimalik saada selle abil kontroll kogu haavatava süsteemi üle. Microsoft ei ole avaldanud infot selle kohta, et turvaviga oleks rünnetes ära kasutatud. Viga mõjutab Windows 10, Windows Server 2008, 2012 ja 2016 operatsioonisüsteemide kasutajaid.

Teine nullpäeva turvanõrkus tähisega CVE-2023-24932 lubab ründajal aga Secure Booti turvalahendusest mööda pääseda. Seda haavatavust võib ründaja ära kasutada, et kindlustada kompromiteeritud seadme üle püsiv kontroll. CVE-2023-24932 kuritarvitamiseks on vaja kõrgendatud õiguseid või füüsilist ligipääsu haavatavale seadmele. Microsoft on täpsemalt sellest turvanõrkusest ja parandusmeetmetest kirjutanud siin (SW, DR, Microsoft).

Kes ja mida peaks tegema?

Nimekirja kõikidest turvanõrkustest koos mõjutatud tarkvaradega leiate siit. Haavatavad tarkvarad soovitame uuendada esimesel võimalusel.

SAP paikas kaks kriitilist turvanõrkust

SAP paikas 18 turvaviga. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk hindega 9/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid 3D Visual Enterprise License Manager ja BusinessObjects. Kõige kriitilisem turvaviga CVE-2021-44152 võimaldab autentimata ründajal muuta ära mõne teise kasutajakonto parooli. Teine haavatavus tähisega CVE-2023-28762 koondab tegelikult mitut turvaviga, mis on seotud volitamata ligipääsuga erinevat sorti teabele. CVE-2023-28762 mõjutab SAPi tarkvara BusinessObjects Intelligence Platform. Turvavigadele on olemas parandus (SW, SAP).

Kes ja mida peaks tegema?

Uuendage mõjutatud SAPi tarkvarad esimesel võimalusel. Lisainfot maikuu turvaparanduste kohta leiate ettevõtte kodulehelt.

Linuxi Netfilteri viga võimaldab ründajal saada juurõigused

Turvanõrkuse CVE-2023-32233 abil on ründajal võimalik omandada haavatavas süsteemis juurõigused ja saada seeläbi täielik kontroll süsteemi üle. Netfilter on pakettide filtreerimise ja võrguaadresside teisendamise (NAT) raamistik, mis on Linuxi kernelisse integreeritud. Haavatavus mõjutab mitmeid Linuxi kerneli versioone, nende seas ka versiooni 6.3.1. Turvanõrkuse kuritarvitamiseks on ründajal vaja siiski saada esmalt lokaalne ligipääs haavatavale seadmele.

Turvanõrkusele on loodud ka kontseptsiooni tõendus (proof-of-concept ehk PoC), mida on hetkel jagatud vaid Linuxi kerneli arendajatega, kuid mis on lubatud 15. mail avalikustada(BC, SA).

Kes ja mida peaks tegema?

Turvaveast mõjutatud Linuxi kasutajad peaks uuendama tarkvara esimesel võimalusel.

WordPressi Elementor-nimelise pistikprogrammi turvanõrkus ohustab vähemalt ühte miljonit veebilehte

Turvanõrkus CVE-2023-32243 avastati pistikprogrammis Essential Addons for Elementor, mida kasutab vähemalt üks miljon WordPressi veebilehte. Turvavea tõttu võib ründaja saada haavatavas süsteemis kõrgendatud õigused. Turvanõrkus mõjutab pistikprogrammi versioone 5.4.0 kuni 5.7.1 (BC).

Kes ja mida peaks tegema?

Kõik veebilehe haldurid, kes mainitud pistikprogrammi kasutavad, peaksid esimesel võimalusel uuendama selle versioonile 5.7.2, kus viga on parandatud.

RIA analüüsi- ja ennetusosakond