Monthly Archives: June 2023

Olulised turvanõrkused 2023. aasta 25. nädalal

Apple paikas kolm kriitilist nullpäeva turvanõrkust

Apple avalikustas 21. juunil iOSi, iPadOSi, macOSi ja watchOSi uued versioonid, mis paikavad kolm nullpäeva turvanõrkust (CVE-2023-32434, CVE-2023-32435, CVE-2023-32439). Nullpäeva turvanõrkusteks nimetatakse haavatavusi, mida kasutatakse ära juba siis, kui tarkvara valmistaja või tarnija sellest teadlik ei ole[1]. Avalike allikate kohaselt on turvanõrkusi kuritarvitatud, et paigaldada haavatavatesse seadmetesse nuhkvara. Väidetavalt paigaldatakse nuhkvara pärast seda, kui ründajatel on õnnestunud ühe mainitud turvanõrkuse abil omandada haavatavas süsteemis juurõigused. Seadmed nakatatakse Apple’i iMessage’i kaudu. Kui kasutaja nakatunud seadme taaskäivitab, tuleb ründajatel nuhkvara uuesti installeerima. Kui seadme taaskäivitamist 30 päeva jooksul ei toimu, eemaldub konkreetne nuhkvara iseenesest, kui ründajad ei ole selle konfiguratsiooni muutnud. Apple’i sõnul on üritatud turvanõrkuseid ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Vajalikud parandused on tehtud iOS 16.5.1, iPadOS 16.5.1 ja macOS Ventura 13.4.1 versioonides, samuti macOS Big Sur 11.7.8, macOS Monterey 12.6.7 ja macOS Ventura 13.4.1 versioonides, watchOS 9.5.2 ja 8.8.1 versioonides ning Safari veebilehitseja versioonis 16.5.1 (Apple).

Kui sinu Apple’i nutitelefon, tahvelarvuti, arvuti või muu nutiseade on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Microsoft paikas Azure AD kasutajakonto kompromiteerimist võimaldava turvanõrkuse

Microsoft parandas Azure Active Directory (Azure AD) autentimise vea, mille kaudu oli ründajatel võimalik haavatavas süsteemis õigusi suurendada ja teoreetiliselt  ohvri AD kasutajakonto üle võtta. Ründe jaoks tuli luua uus Azure AD administraatori konto ja asendada kontoga seotud meiliaadress ohvri meiliaadressiga. Pärast seda pidi haavatavasse rakendusse sisse logimiseks kasutama funktsiooni nimetusega „Log in with Microsoft“. Konto ülevõtmise järgselt oleks ründajal olnud vaba voli teha endale meelepäraseid tegevusi – näiteks tagada püsiv ligipääs süsteemile, varastada andmeid või üritada süsteemis edasi liikuda. Turvanõrkuse avastanud ettevõtte sõnul mõjutas haavatavus näiteks rakendust, mida kasutavad igakuiselt miljonid kasutajad (Descope, BP).

Kes ja mida peaks tegema?

Microsoft on teinud vajalikud parandused enamike rakenduste jaoks. Lisaks soovitab ettevõte arendajatel üle kontrollida autoriseerimisloogika, järgides juhised siin. Samuti tuleks arendajatel üle vaadata, kuidas rakendustega seotud volitustõendeid (tokeneid) valideeritakse.

ASUS parandas ruuteritel mitu turvanõrkust ja soovitab turvauuendused kohe rakendada

ASUS avalikustas mitmetele ruuteritele uued püsivaraversioonid ja soovitab need klientidel rakendada esimesel võimalusel. Turvavärskendused kõrvaldavad üheksa haavatavust. Kõige tõsisemad nendest on tähistatud märgistega CVE-2022-26376 ja CVE-2018-1160. Esimese abil on ründajatel võimalik haavatavate võrguseadmete tööd häirida või nendes pahaloomulist koodi käivitada. Teise abil on aga ründajatel võimalik samuti suvalist koodi käivitada (BP, ASUS).

Kontekst: Haavatavaid võrguseadmeid rünnatakse sageli. Näiteks liidetakse kompromiteeritud seadmed tihti robotvõrgustikega, mida siis ummistusrünnakute jaoks ära kasutatakse. Seetõttu on turvauuenduste rakendamine äärmiselt oluline.

Kes ja mida peaks tegema?

Nimekirja haavatavest seadmetest leiate ASUSe 19. juuni teatest, mis avaldati ettevõtte kodulehel siin.  Kui te ühte või mitut neist kasutate, uuendage need esimesel võimalusel.

Fortinet paikas kriitilise koodi kaugkäitust võimaldava haavatavuse

Fortinet paikas kriitilise koodi kaugkäitust võimaldava haavatavuse FortiNACi tarkvaras. Tegu on lahendusega, mida organisatsioonid kasutavad võrkude juurdepääsude turvamiseks. Kriitiline haavatavus CVE-2023-33299 (CVSSi skoor 9.6/10.0) võimaldab autentimata ründajal käivitada suvalist koodi või käske haavatavates süsteemides. Fortineti sõnul saadetakse ründepäringud pordi 1050 suunas (Fortinet, SA).

Kontekst: Ründajad otsivad sageli haavatavaid Fortineti tarkvaradega süsteeme. Näiteks kajastati selle aasta märtsis, kuidas tehniliselt kõrge tasemega ründajatel õnnestus valitsusasutusi just FortiOSi nullpäeva turvanõrkuse abil rünnata (SW). Seetõttu on oluline kiiresti igasugused haavatavused turvavärskenduste olemasolul paigata.

Kes ja mida peaks tegema?

Haavatavad on järgnevad FortiNACi versioonid:

  • FortiNACi versioonid 9.4.0 kuni 9.4.2
  • FortiNACi versioonid 9.2.0 kuni 9.2.7
  • FortiNAC versioonid 9.1.0 kuni 9.1.9
  • FortiNAC versioonid 7.2.0 kuni 7.2.1
  • Kõik FortiNAC 8.3 – 8.8 versioonid

Parandustega FortiNAC versioonid on 9.4.3 või uuemad, 9.2.8 või uuemad, 9.1.10 või uuemad ning 7.2.2 või uuemad. Konkreetse tarkvara kasutamise korral veenduge, et te kasutate eelnevalt välja toodud parandustega versiooni. Sellisel kujul turvanõrkus teile ohtu ei kujuta.

[1] https://akit.cyber.ee/term/490

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 24. nädalal

Adobe paikas enda toodetel mitmed haavatavused

Adobe avalikustas enda toodetele juunikuu turvauuendused. Turvauuendustega parandas ettevõte näiteks Adobe Commerce’i ja Magento platvormidel 12 turvanõrkust. Eduka ärakasutamise korral on ründajatel võimalik käivitada nende turvavigade kaudu suvalist koodi, lugeda haavatavaid failisüsteeme või hiilida erinevatest turvafunktsioonidest mööda. Adobe väljastas turvaparandused samuti ka Animate’i ja Adobe Substance 3D Designer tarkvaradele. Nendes tarkvarades peituvad turvavead võimaldavad ründajatel samuti suvalist koodi käivitada. Ettevõte ei ole siiani siiski märganud, et konkreetseid turvanõrkuseid oleks suudetud kuritarvitada (SW).


Kes ja mida peaks tegema? Kui te Adobe tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.

Microsoft parandas uuendustega kuus kriitilist haavatavust

Microsoft avalikustas eelmisel nädalal enda erinevatele toodetele juunikuu turvauuendused. Kokku parandati 78 turvaviga, millest 38 märgitakse koodi kaugkäitust (Remote Code Execution ehkRCE) võimaldavateks haavatavusteks. 78 turvanõrkusest kuus said kriitilise hinnangu. Kaks mõneti olulisemat turvaviga on seotud Microsoft SharePointi ja Exchange’iga. Esimese abil (CVE-2023-29357) oleks ründajal võimalik haavatavas SharePointi serveris enda õiguseid suurendada, teise abil on aga Exchange’i serveris (CVE-2023-32031) võimalik käivitada pahaloomulist koodi (BP).  

Kes ja mida peaks tegema?

Kui te Microsofti tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.  Nimekirja paigatud turvanõrkustest leiate siit.

Riikliku taustaga küberrühmitus kasutas VMware’i nullpäeva turvanõrkust pahavara paigaldamiseks

VMware paikas eelmisel nädalal VMware ESXi nullpäeva haavatavuse, mida riikliku taustaga küberrühmitus kasutas Windowsi ja Linuxi virtuaalmasinatesse pahavara paigaldamiseks ja andmete varastamiseks. Rühmitus, mida tuntakse nimetusega UNC3886, kuritarvitas turvaviga CVE-2023-20867, et paigaldada virtuaalmasinatesse pahavara. Pahavara abil loodi süsteemidele püsiv juurdepääs. Rünnakuid analüüsinud küberturbeettevõtte sõnul on tegu tehniliselt võimeka rühmitusega, millel on laialdased teadmised rünnatavatest tarkvaradest (nt ESXi, vCenter jpm). Rühmitus sihib peamiselt tarkvarasid ja seadmeid, millel puuduvad traditsioonliselt lõpppunkti turbelahendused (Endpoint Detection and Response) ning millel on nullpäeva turvanõrkused (Mandiant, BP).

Kes ja mida peaks tegema?

Kui te haavatavat VMware ESXi tarkvara kasutate, uuendage see esimesel võimalusel.

Chrome’il paigati kriitiline turvanõrkus

Google Chrome’i uues versioonis 114.0.5735.133/134 (Windows) ja 14.0.5735.133 (Linux, macOS) on parandatud lisaks teistele haavatavustele kriitiline turvanõrkus tähisega CVE-2023-3214. Haavatavus mõjutab Chrome’i lahendust, mida kasutatakse automaatseks makseandmete sisestamiseks. Ründajal tuleb turvanõrkuse ärakasutamiseks luua spetsiaalne HTMLi lehekülg.

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Uued turvanõrkused MOVEit tarkvaral

Kahe nädala eest kirjutasime, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning sinna ka tagauks. Praeguseks on maailmas üritatud laialdaselt antud nõrkust ka ära kasutada, ründeid on seni seostatud Clop-nimelise küberrühmitusega.

Nüüdseks on konkreetsel tarkvaral avastatud veel kaks turvanõrkust, mille abil on võimalik andmeid varastada. MOVEit tarkvara arendava ettevõtte sõnul uusi turvanõrkuseid kuritarvitatud veel ei ole (HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1). .6) ja 2023.0.2 (15.0.2) ning haavatavused tarkvara pilveversioonidele ohtu ei kujuta. Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 23. nädalal

KeePassi uues versioonis on turvaviga paigatud

Mõned nädalad tagasi kirjutasime KeePassi turvaveast (CVE-2023-32784), mille abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna ehk master password. Kui kasutaja loob endale KeePassi konto, siis tuleb määrata parool, millega saab kõigile teistele salasõnadele ligi. Turvaveale avaldati ka kontseptsiooni tõendus (PoC). Eelmisel nädalal teavitas KeePass, et viga on parandatud versioonis 2.54 (BC, KeePass).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad mõnd KeePassi 2.x versiooni, on soovitatav tarkvara uuendada esimesel võimalusel. Uue versiooni saate alla laadida KeePassi kodulehelt.

KeePass 1.x, Strongbox või KeepassXC tarkvarade kasutajad ei ole veast mõjutatud.

Google paikas nullpäeva turvanõrkuse

Google Chrome’i uues versioonis 114.0.5735.110 (Windows) ja 114.0.5735.106 (Linux, Mac) on parandatud nullpäeva turvanõrkus tähisega CVE-2023-3079. Google’i sõnul on haavatavust rünnetes ära kasutatud, kuid täpsemat tehnilist infot turvavea kohta nad ei avaldanud.  Selline praktika on tavaline, et kaitsta neid kasutajaid, kes ei ole veel jõudnud tarkvara uuendada. Tegemist on kolmanda nullpäeva turvanõrkusega, mis sel aastal on Chrome’i brauseris leitud (BC, SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Androidi turvauuendus paikab Mali GPU draiveri turvavea

Google avaldas Androidi platvormi juunikuu turvauuendused, millega paigati kokku 56 haavatavust. Viis neist on hinnatud kriitiliseks ja üht on rünnetes ära kasutatud. Google’i sõnul on Mali GPU draiveri turvaviga tähisega CVE-2022-22706 kasutatud Samsungi telefonide vastu suunatud nuhkvarakampaanias. Turvaviga on hinnatud kõrge skooriga 7.8/10 ja see võimaldab ilma vajalike õigusteta kasutajal saada kirjutamisõigus lugemisõigusega lehtedele. Ühtlasi parandati viis kriitilise mõjuga turvaviga, millest kolm võimaldavad ründajal käivitada ohvri seadmes pahatahtlikku koodi. Turvauuendusi ei saa rakendada need, kes kasutavad Android 10 või vanemat versiooni (BC, SW, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks tegema tarkvarauuenduse esimesel võimalusel. Juhendi Androidi seadme uuendamiseks leiad siit.

Cisco paikas AnyConnecti turvavea, mis võimaldas ründajatel õigustega manipuleerida

Kõrge mõjuga turvaviga (CVE-2023-20178) mõjutab Cisco Secure Client tarkvara (varem nimetusega AnyConnect Secure Mobility Client) ja võimaldab ründajatel saada Windowsi süsteemikonto õigused. Haavatavuse põhjustab see, et uuendamise käigus loodud ajutisele kataloogile antakse valed õigused ja ründaja saab seetõttu installeerimise ajal teatud funktsioone kuritarvitada. Cisco Secure Client tarkvara kaudu saab luua kaugelt töötamiseks VPN-ühenduse. Viga on paigatud versioonides AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 (BC).

Kes ja mida peaks tegema?

Kõik AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 kasutajad peaks tarkvara uuendama.

Cisco sõnul ei mõjuta turvaviga Linuxi, MacOSi, Androidi ja iOSi operatsioonisüsteemide kasutajaid.

Gigabyte avaldas turvauuenduse emaplaatide tarkvarale

Taiwani tehnoloogiatootja Gigabyte avaldas tarkvarauuenduse, mis paikab haavatavuse mille kaudu on võimalik paigaldada pahavara. Haavatavus mõjutab enam kui 270 erinevat Gigabyte emaplaadi versiooni. Viga on parandatud Intel 400/500/600/700 ja AMD 400/500/600 seeriate emaplaatide tarkvaras (BC, Gigabyte).

Kes ja mida peaks tegema?

Ettevõte soovitab teha kõigil Gigabyte emaplaatide kasutajatel tarkvarauuendus esimesel võimalusel.

Fortinet paikas kriitilise turvanõrkuse Fortigate’i SSL-VPN seadmetes

Fortinet paikas kriitilise turvavea (CVE-2023-27997), mis võimaldab ründajal pahatahtlikku koodi kaugkäivitada. Turvanõrkus mõjutab Fortigate’i SSL-VPN seadmeid ja väidetavalt on seda võimalik ka siis kuritarvitada kui kaheastmeline autentimine on rakendatud. Hetkel teadaolevalt avaldatakse täpsem info vea kohta teisipäeval 13. juunil. Fortineti seadmed on maailmas ühed populaarseimad tulemüüri ja VPNi teenuste loomiseks, seetõttu on nende haavatavused ka head sihtmärgid. Turvaviga on parandatud FortiOSi versioonides 6.0.17, 6.2.15, 6.4.13, 7.0.12 ja 7.2.5 (BC, HNS).

Kes ja mida peaks tegema?

Kõigil Fortigate’i SSL-VPNi seadmete kasutajatel tuleks FortiOSi tarkvara uuendada.

RIA analüüsi- ja ennetusosakond