Monthly Archives: July 2023

Olulised turvanõrkused 2023. aasta 29. nädalal

Tuhanded Citrixi serverid on haavatavad kriitilise turvanõrkuse vastu

Tuhanded avalikust võrgust kättesaadavad Citrixi Netscaler ADC ja Gateway serverid on haavatavad rünnakute suhtes, mis kasutavad ära kriitilist koodi kaugkäivitamise (RCE) viga CVE-2023-3519. Praeguseks on välja tulnud, et ründajatel on õnnestunud juba ka haavatavaid organisatsioone edukalt rünnata. Näiteks avalikustas USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) möödunud neljapäeval, et seda haavatavust kuritarvitati ühe USA kriitilise infrastruktuuri organisatsiooni vastu. Konkreetse intsidendi käigus paigaldati haavatavasse süsteemi pahavara, mille abil üritati erinevaid andmeid koguda ja nii teistesse süsteemidesse edasi liikuda (CISA).

Kes ja mida peaks tegema?

Haavatavus mõjutab NetScaler Application Delivery Controlleri (ADC) ja NetScaler Gateway tooteid.  Haavatavad versioonid on välja toodud tootja kodulehel. Kui te antud tooteid kasutate, veenduge, et need kasutaksid vastavat turvaparandustega tarkvara.

Apache OpenMeetings tarkvarast leiti kõrge mõjuga turvavead

Kokku avalikustati kolm haavatavust, mis lubavad ründajatel käivitada haavatavates süsteemides pahaloomulist koodi. Turvanõrkuseid tähistatakse nimetustega CVE-2023-28936, CVE-2023-29023 ja CVE-2023-29246. OpenMeetings on rakendus, mida saab kasutada näiteks videokõnede või esitluste tegemiseks. Seda on alla laaditud rohkem kui 50 000 korda ja seda pakutakse pistikprogrammina ka sellistele tarkvaradele nagu Jira, Confluence või Drupal. Kõik eelnev ning asjaolu, et seda võidakse kasutada tundlikeks aruteludeks või koosolekuteks, muudavad konkreetsete turvanõrkuste vastu haavatavad süsteemid ründajatele atraktiivseteks sihtmärkideks (Sonar).

Kes ja mida peaks tegema?

Kui te antud tarkvara kasutate, siis veenduge, et teie tarkvara kasutaks vähemalt versiooni 7.1.0. Sellisel juhul haavatavused teile ohtu ei kujuta.

Oracle parandas üle 75 kriitilise turvanõrkuse

Oracle avalikustas erinevatele tarkvaradele juulikuu turvauuendused, mille abil parandati 508 turvanõrkust, nendest vähemalt 75 kriitilist haavatavust. Turvavigade seas on rohkem kui 350 viga, mida saab ründaja kasutada autentimata. Parandused said muuhulgas nii MySQLiga kui ka finantsteenustega seotud tarkvarad (SW, Oracle).

Kes ja mida peaks tegema?

Kõik turvauuendused saanud tarkvarad on välja toodud tootja kodulehel siin. Kui te antud ettevõtte tooteid kasutate, soovitame nimekirjaga tutvuda ja kontrollida, kas teie tarkvarad vajavad uuendamist.

Mitmed robotvõrgustikud üritavad aktiivselt kompromiteerida Zyxeli võrguseadmeid

Lähikuudel on robotvõrgustikud üritanud üha aktiivsemalt kompromiteerida haavatavaid Zyxeli võrguseadmeid (Fortinet, Rapid7, SA). Robotvõrgustikud koosnevad komrpomiteeritud seadmetest, mida kasutatakse erinevatel pahaloomulistel eesmärkidel, sageli ka ummistusrünnakute (DDoS-rünnakute) teostamiseks. Robotvõrgustike haldurid otsivad järjepidevalt aga üha uusi haavatavaid seadmeid, mida võrgustikega liita.

Zyxel avalikustas paar kuud tagasi, et mitmeid nende pakutavaid tulemüüre ohustab kriitiline haavatavus CVE-2023-28771, mille abil on võimalik pahaloomulist koodi käivitada. Haavatavus mõjutab Zyxeli ZyWALL/USG seeria püsivara versioone 4.60 kuni 4.73, VPN-seeria püsivara versioone 4.60 kuni 5.35, USG FLEX seeria püsivara versioone 4.60 kuni 5.35 ja ATP seeria püsivara versioone 4.60 kuni 5.35.

Kuna haavatavuse jaoks on kättesaadav kontseptsiooni tõendus (PoC), siis ongi robotvõrgustikud üritanud leida just selle turvavea vastu haavatavaid seadmeid, eriti Kesk-Ameerikas, Põhja-Ameerikas ja Aasias. Põhjalikumalt on võimalik selle teema kohta lugeda eelmisel nädalal avaldatud analüüsist siin.

Kes ja mida peaks tegema?

Kui te vastavaid Zyxeli võrguseadmeid kasutate ning need kasutavad haavatavat tarkvara, uuendage need esimesel võimalusel. Täpsema ülevaate parandatud versioonidest leiate tootja kodulehelt siit.

Olulised turvanõrkused 2023. aasta 28. nädalal

Microsoft hoiatab Office’i paikamata nullpäeva turvanõrkusest

Turvaviga (CVE-2023-36884) mõjutab mitmeid Microsofti Windowsi ja Office’i tarkvarasid ning sellele ei ole hetkel parandust. Haavatavus võimaldab pahavaraga Office’i dokumentide abil koodi kaugkäivitada. Eduka ründe korral saab häkker ligipääsu tundlikule infole, lülitada välja süsteemi kaitse ja keelata juurdepääs kompromiteeritud süsteemile. Ründe läbiviimiseks tuleb luua spetsiaalne pahavaraga Microsoft Office’i dokument, mille avamisel käivitatakse pahatahtlik kood ohvri seadmes.

Microsofti sõnul on haavatavust juba rünnetes ära kasutatud. Näiteks kasutati sihtmärkidena oganisatsioone, kes osalesid NATO tippkohtumisel Leedus. Ründajad saatsid näiliselt organisatsiooni “Ukrainian World Congress” nimel pahatahtlikke dokumente, mille avamisel laeti ohvri seadmesse erinevat tüüpi pahavara (BC, SW, Microsoft).

Kes ja mida peaks tegema?

Turvaveale ei ole veel parandust, kuid ettevõte soovitab ajutise lahendusena kasutada Defender for Office lahendust ja lubada seal “Block all Office applications from creating child processes” valik.  Lisaks soovitame lugeda täiendavaid nõuandeid Microsofti blogist.

Apple paikas nullpäeva turvanõrkuse

Ettevõtte sõnul on turvanõrkust ära kasutatud Apple’i seadmete ründamiseks. Parandus avaldati juba eelmisel esmaspäeval, kuid vigade tõttu tuli see tagasi võtta ja uus versioon luua. Nullpäeva haavatavus tähisega CVE-2023-37450 mõjutab Apple’i WebKiti veebibrauseri mootorit. Viga on parandatud tarkvara versioonides iOS 16.5.1 (c), iPadOS 16.5.1 (c), macOS 13.4.1 (c) ja Safari 16.5.2. Paranduse näol on tegemist Rapid Security Response (RSR) tüüpi uuendusega, mida kasutatakse Apple’i seadmeid mõjutavate turbeprobleemide lahendamiseks ning rünnakutes aktiivselt ära kasutatud turvaaukude kiireks parandamiseks. Tegemist on kümnenda nullpäeva turvanõrkusega, mille ettevõte on paiganud sel aastal (BC, HN, Apple).

Kes ja mida peaks tegema?

Soovitame kõigil Apple’i seadmete kasutajatel teha tarkvarauuendus iOSi, iPadOSi ja macOSi operatsioonisüsteemidele.

Fortinet paikas kriitilise turvavea

Turvanõrkus (CVE-2023-33308) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahatahtlikku koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.8/10.

Turvaviga mõjutab FortiOSi ja FortiProxy järgmisi versioone:

  • FortiOS versioonid 7.2.0 kuni 7.2.3
  • FortiOS versioonid 7.0.0 kuni 7.0.10
  • FortiProxy versioonid 7.2.0 kuni 7.2.2
  • FortiProxy versioonid 7.0.0 kuni 7.0.9

Viga on parandatud FortiOS versioonides 7.4.0, 7.2.4 ning 7.0.11 ja FortiProxy versioonides 7.2.3 ja 7.0.10. Kuna Fortineti turvanõrkusi on varasemalt tihti rünnetes ära kasutatud, siis on tarkvara uuendamine eriti oluline (SW, BC, Fortinet).

Kes ja mida peaks tegema?

Kõik Fortineti teenuste FortiOS ja FortiProxy kasutajad võiks üle kontrollida, kas neil on kasutusel turvaveast mõjutatud versioon ja vajadusel tarkvara uuendada.

WordPressi pistikprogramm salvestas paroole lihttekstina

WordPressi AIOS-nimelises pistikprogrammis avastati haavatavus – see salvestas kõik kasutajate sisselogimiskatsed (sh paroolid) andmebaasi lihttekstina. AIOS ehk The All-In-One Security näol on tegemist lahendusega, mis pakub WordPressi lehtedele tulemüüri, sisu kaitset ja sisselogimise vahendeid. Kuna pluginat kasutab enam kui miljon WordPressi veebilehte, siis hakatakse tõenäoliselt turvanõrkust rünnetes ära kasutama. Esimest korda mainiti avastatud viga juba ligi kolm nädalat tagasi, seega võib eeldada et haavatavust on juba kuritarvitatud (BC, AIOS).

Kes ja mida peaks tegema?

Kõik WordPressi veebilehed, kus on kasutusel AIOS-plugin, peaks selle uuendama versioonile 5.2.0, kus on turvaviga parandatud.

Olulised turvanõrkused 2023. aasta 27. nädalal

Üle maailma on enam kui 330 000 seadet, mis on haavatavad Fortigate’i turvanõrkusele

Kirjutasime blogis juuni keskpaigas Fortineti kriitilisest turvanõrkusesest Fortigate’i SSL-VPN seadmetes. Kuigi Fortinet paikas kriitilise turvavea (CVE-2023-27997) juba ligi kuu aega tagasi, on endiselt sajad tuhanded FortiGate’i tulemüürid paikamata ja seetõttu haavatavad FortiOS tarkvaras olevale nõrkusele. Tegemist on veaga, mis on hinnatud kriitilise skooriga 9.8/10. Küberturvalisusega tegelev ettevõte Bishop Fox tegi Shodani päringu, mille tulemusel selgus et 69% internetis avalikult leitavatest FortiGate’i seadmetest on endiselt paikamata. Lisaks selgus, et paljude internetis avalikult leitavate Fortineti seadmete tarkvara ei ole juba 8 aastat uuendatud. Ettevõtte sõnul võib olla turvanõrkust rünnetes ära kasutatud ja seetõttu on eriti oluline tarkvara uuendada esimesel võimalusel.

Fortineti seadmed on maailmas väga laialdaselt kasutusel nii eraettevõtetes kui ka riigiasutustes ning seetõttu on need ka häkkeritele meeldivad sihtmärgid. Viimaste aastate jooksul on mitmed ründed toimunud Fortineti haavatavuste kuritarvitamisel. Näiteks selle aasta veebruaris rünnati erinevaid süsteeme kasutades FortiNACi kriitilist turvanõrkust, mis võimaldas ründajal paigaldada ohvri serverisse veebikest ja saada ligipääs kompromiteeritud süsteemidele (BC, HN, arstechnica).

Kes ja mida peaks tegema?

Kõigil Fortigate’i SSL-VPNi seadmete kasutajatel tuleks FortiOSi tarkvara uuendada. Turvaviga on parandatud FortiOSi versioonides 6.0.17, 6.2.15, 6.4.13, 7.0.12 ja 7.2.5.


Mozilla paikas Firefoxi veebilehitsejas mitu turvaviga

Mozilla Firefox versioonis 115 on parandatud neli kõrge ja seitse keskmise mõjuga turvaviga. Haavatavused võivad muuhulgas kaasa tuua mälupesa sisu soovimatu muutmise ja pahatahtliku koodi käivitamise (IM, Mozilla).

Kes ja mida peaks tegema?

Mozilla soovitab kõigil kasutajatel teha veebilehitseja tarkvarauuendus ja uuendada see kõige viimasele versioonile.

Google paikas 46 turvanõrkust Androidi operatsioonisüsteemis

Androidi nutiseadmetes paigati 46 turvaviga, millest kolme (CVE-2023-26083, CVE-2021-29256 ja CVE-2023-2136) on ettevõtte sõnul juba rünnetes ära kasutatud. Kõige suurema mõjuga parandatud vigadest on kriitiline haavatavus tähisega CVE-2023-21250, mis mõjutab Androidi versioone 11, 12 ja 13. Haavatavus võimaldab ründajal pahatahtlikku koodi kaugkäivitada nii, et seadme kasutaja ei pea enda poolt midagi tegema (BC, MB, Android).

Kes ja mida peaks tegema?

Soovitame Android nutiseadmete tarkvara uuendada esimesel võimalusel. Enamusel seadmetel tuleb selleks valida „About phone“ või „About device“ ning seejärel „Software updates“. Tarkvara on võimalik uuendada neil, kes kasutavad Androidi versioone 10, 11, 12, 12L and 13.

Cisco hoiatas Nexus 9000 seeria seadmetes oleva turvanõrkuse eest

Cisco Nexus 9000 seeria kommutaatorites (swtitch) avastati kõrge mõjuga turvaviga CVE-2023-20185, mis võimaldab autentimata ründajal lugeda või muuta krüpteeritud liiklust. Viga on hinnatud CVSS skooriga 7.4/10. Haavatavus mõjutab kommutaatorite mudeleid Nexus 9332C, Nexus 9364C ja Nexus 9500. Hetkel teadaolevalt ei ole haavatavust rünnete läbiviimisel ära kasutatud (BC, SA, Cisco).

Kes ja mida peaks tegema?

Hetkel veale parandust ei ole ja Cisco sõnul ei ole ka tulevikus plaanis seda viga

parandada. Ettevõte soovitab mõjutatud seadmete kasutajatel  välja lülitada

Cisco ACI Multi-Site CloudSec krüpteerimise funktsioon.

MOVEit Transfer kutsub oma kliente tarkvara uuendama

Juunis kirjutasime mitmel korral MOVEit failiedastustarkvaras olevatest turvanõrkustest. Nüüd on taas tarkvaras paigatud üks kriitilise ja kaks kõrge mõjuga turvaviga. Kriitiline haavatavus (CVE-2023-36934) võimaldab teostada autentimata ründajal SQL-süsti. Kõrge mõjuga turvavea (CVE-2023-36932) kaudu on samuti võimalik teostada SQL-süsti, kuid eelnevalt on vaja autentida. Kolmas parandatud viga (CVE-2023-36933) aga võimaldab ründajal programmi töö ootamatult lõpetada (BC, HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2023.0.4 (15.0.4), 2022.1.8 (14.1.8), 2022.0.7 (14.0.7), 2021.1.7 (13.1.7) ja 2021.0.9 (13.0.9). Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.