Monthly Archives: May 2023

Olulised turvanõrkused 2023. aasta 18. nädalal

Vähemalt kahte miljonit WordPressi veebilehte ohustab kõrge mõjuga turvanõrkus

Kahes laialdaselt kasutatavas WordPressi pistikprogrammis Advanced Custom Fields ja Advanced Custom Fields Pro avastati kõrge mõjuga turvaviga (CVE-2023-30777), mille abil saab ründaja teoreetiliselt lisada haavatavale veebilehele pahatahtlikke skripte. Turvavea kaudu on ründajal lisaks võimalik saada ligipääs veebilehega seotud tundlikele andmetele või veebilehega seotud süsteemis kasutajaõigusi suurendada. Haavatavust saab ründaja siiski kuritarvitada ainult kindla kasutaja kaudu, kellel on ligipääs haavatavatele pistikprogrammidele. See tähendab, et ründajal tuleb veebilehega seotud kasutajale (näiteks administraatorile) saata pahaloomuline veebilink. Kui kasutaja lingile klikib, õnnestub ründajal turvanõrkust ka ära kasutada (BC, HN).

Kes ja mida peaks tegema?

Turvaviga on parandatud pistikprogrammide versioonis 6.1.6. Kui te antud pistikprogramme kasutate, uuendage need esimesel võimalusel.

Androidi operatsioonisüsteemil paigati nuhkimiseks ära kasutatud turvanõrkus

Sel kuul välja antud Androidi turvavärskendused parandavad tõsise haavatavuse (CVE-2023-0266), mida kasutati ära nuhkvara paigaldamiseks haavatavatesse seadmetesse. Google’i raporti kohaselt kuritarvitasid ründajad seda turvanõrkust ühe osana keerukas ründeahelas, mille eesmärgiks oli paigaldada nuhkvara Samsungi nutitelefonidesse. Nuhkvara abil suudeti muuhulgas korjata infot nutitelefoni sirvikutest ja suhtlusrakendustest. Lisaks konkreetsele haavatavusele paigati Androidil veel hulga erinevaid turvanõrkuseid (BP).

Kes ja mida peaks tegema?

Kui te kasutate Androidi nutiseadmeid, uuendage operatsioonisüsteem esimesel võimalusel. RIA tuletab meelde, et regulaarne tarkvara uuendamine on üks oluline osa heast küberhügieenist.

Fortinet paikas kaks olulist turvanõrkust

Fortinet paikas üheksa turvaviga oma toodetes, neist kaks (CVE-2023-27999 ja CVE-2023-22640) on hinnatud kõrge mõjuga haavatavuseks. Turvanõrkused mõjutavad tarkvarasid FortiADC, FortiOS ja FortiProxy. Turvavigade abil on ründajal võimalik käivitada pahaloomulisi käske haavatavates süsteemides. Seni ei ole teada, et neid turvanõrkuseid oleks jõutud ära kasutada (SA, Fortinet, Fortinet).

Kes ja mida peaks tegema?

Nendest kahest turvanõrkusest on vähemalt ühe vastu haavatavad:

FortiOS-i versioonid 7.2.0 kuni 7.2.3;
FortiOS-i versioonid 7.0.0 kuni 7.0.10;
FortiOS-i versioonid 6.4.0 kuni 6.4.11;
FortiOS-i versioonid 6.2.0 kuni 6.2.13;
FortiOS-i 6.0 versioonid;
FortiProxy versioonid 7.2.0 kuni 7.2.1;
FortiProxy versioonid 7.0.0 kuni 7.0.7;
FortiProxy versioonid 2.0, 1.2, 1.1 ja 1.0.

Soovitame uuendada mõjutatud tarkvarad esimesel võimalusel. Kui uuendamine ei ole võimalik, pakub tootja ka alternatiivset kaitsemeedet, millest on täpsemalt kirjutatud siin.

Eksperdid avalikustasid BGP protokolliga seotud turvavead

Eksperdid avalikustasid BGP prokolliga seotud haavatavused (CVE-2022-40302, CVE-2022-40318 ja CVE-2022-43681), mida saab kasutada teenusetõkestusrünnakute teostamiseks. BGP on protokoll, mis on loodud autonoomsete süsteemide vahel marsruutimisega seotud teabe vahetamiseks. Seda kasutatakse võrguliikluse puhul kõige tõhusamate marsruutide leidmiseks. Kolm haavatavust on seotud Linuxi ja Unixi platvormidele marsruutimise jaoks mõeldud tarkvaraga FRRouting, täpsemalt selle tarkvara versiooniga 8.4. Pikema ülevaate nendest turvanõrkustest saate viidatud veebileheküljelt (FS).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 17. nädalal

DDoS-rünnakute võimendamiseks kasutatakse uut turvaviga

Eelmisel nädalal avaldati, et ummistusrünnakute ehk DDoS-rünnakute intensiivsuse tõstmiseks on võimalik kasutada üht uut turvaauku, mis peitub SLP-nimelises teenuses. SLP teenusest kirjutas RIA ka veebruaris, kui seda kasutati lunavararünnakute sooritamiseks (RIA).  Nüüd selgub, et antud teenust on võimalik ründajatel kasutada ka mahukate ummistusrünnakute teostamiseks. Selliste ummistusrünnakute puhul saadab ründaja haavatavale serverile päringu võltsitud IP-aadressiga (ohvri IP-aadress). Haavatav server saadab omakorda tagasi vastuse ohvri IP-aadressile, sealjuures on vastuse päringu maht aga palju suurem kui algselt haavatavale serverile saadetud ründaja päringu maht. Nii on teoreetiliselt võimalik ohvri veebiserver suhteliselt vähese ressursiga üle koormata.  Konkreetne turvanõrkus mõjutab rohkem kui 2000 organisatsiooni üle maailma ja enam kui 54000 SLP teenust, mis on internetist kättesaadavad (Bitsight).

Kes ja mida peaks tegema?

Kõikidel internetiga ühendatud süsteemidel, mis SLP teenust kasutavad, tuleks selle kasutamine peatada. Kui see pole võimalik, tuleks tulemüürid konfigureerida selliselt, et need filtreeriksid UDP- ja TCP-pordi 427 liiklust. Nii on võimalik takistada ründajatele juurdepääs SLP-teenusele (SA).

VMware paikas kaks nullpäeva turvanõrkust

VMware avalikustas turvauuendused, mis parandavad kaks nullpäeva haavatavust (CVE-2023-20869 ja CVE-2023-20870). Turvanõrkuseid on ründajal võimalik ära kasutada, et käivitada pahaloomulist koodi haavatavates süsteemides (Workstation ja Fusion). Mõlemad turvavead on seotud Bluetoothi kasutavate funktsioonidega. Lisaks paikas ettevõte turvanõrkuse (CVE-2023-20871), mis lubab haavatavas süsteemis õiguseid suurendada (BP).

Kes ja mida peaks tegema?

Kui te nimetatud tarkvarasid kasutate, soovitame tutvuda tootja infolehega, kus on kõik juhised turvanõrkuste eemaldamiseks välja toodud.

Kriitiline turvanõrkus mõjutab Zyxeli tulemüüre

Zyxel avalikustas eelmisel nädalal turvauuendused enda pakutavatele tulemüüridele. Turvauuendused paikavad kriitilise haavatavuse, mille abil on autentimata ründajal võimalik käivitada operatsioonisüsteemi käske (SW).

Kes ja mida peaks tegema?

Viga mõjutab ATP, USG FLEX ja VPN versioone 4.60–5.35 ja ZyWALL/USG versioone 4.60–4.73. Turvanõrkus on eemaldatud ATP, USG FLEX ja VPN versioonides 5.36 ja ZyWALL/USG versioonis 4.73 Patch 1 (Zyxel). Kuigi seni ei ole teada, et kriitilist turvaviga oleks küberrünnakutes ära kasutatud, on haavatavad tulemüürid sageli ründajatele ahvatlevateks sihtmärkideks. Seetõttu soovitatakse kasutajatel oma Zyxeli tulemüürid uuendada võimalikult kiiresti.  

Mirai robotvõrgustikuga liidetakse aktiivselt haavatavaid TP-Link ruutereid

Ründajad üritavad aktiivselt kompromiteerida TP-Linki ruutereid, mida ei ole paigatud hiljuti avalikustatud turvanõrkuse vastu. Ründajate eesmärgiks on liita kompromiteeritud seadmed Mirai robotvõrgustikuga, mida kasutatakse ummistusrünnakute teostamiseks. Haavatavus CVE-2023-1389 avastati algselt möödunud aasta detsembris TP-Link Archer AX21 WiFi-ruuteris ning see paigati märtsis. Seni on üritatud eelkõige rünnata Ida-Euroopas olevaid haavatavaid seadmeid, kuid üha rohkem üritatakse kompromiteerida haavatavaid ruutereid ka teistest maailma piirkondadest (ZDI, Duo).

Kes ja mida peaks tegema?

Turvanõrkuse vastu on haavatavad kõik TP-Link Archer AX21 (AX1800) ruuterid, mis kasutavad vanemat tarkvaraversiooni kui 1.1.4 Build 20230219. Kui te sellist ruuterit kasutate, uuendage see esimesel võimalusel (NVD).

RIA analüüsi- ja ennetusosakond