Monthly Archives: August 2023

Olulised turvanõrkused 2023. aasta 34. nädalal

Turvanõrkused Jupiter X Core WordPressi pistikprogrammis ohustavad veebilehti

Kaks haavatavust, mis mõjutavad WordPressi ja WooCommerce’i veebilehtede seadistamiseks mõeldud pistikprogrammi Jupiter X Core teatud versioone, võimaldavad kontode kaaperdamist ja haavatavasse süsteemi failide laadimist ilma autentimiseta.

Esimene haavatavus CVE-2023-38388 lubab faile ilma autentimiseta üles laadida, mis võib viia serveris suvalise koodi käivitamiseni.

Turvavea kriitilisuse tasemeks on märgitud 9.0/10.0 ja see mõjutab kõiki JupiterX Core’i versioone, mis on 3.3.5 või vanemad. Arendaja parandas haavatavuse pistikprogrammi versioonis 3.3.8.

Teine haavatavus CVE-2023-38389 võimaldab autentimata ründajatel võtta kontrolli suvalise WordPressi kasutajakonto üle tingimusel, et nad teavad kontoga seotud meiliaadressi. Haavatavuse kriitlisuse tasemeks on märgitud 9.8/10.0 ja see mõjutab kõiki Jupiter X Core’i versioone, mis on 3.3.8 või vanemad. Turvanõrkus on parandatud pistikprogrammi versioonis 3.4.3.

Kõigil pistikprogrammi kasutajatel soovitatakse tarkvara värskendada uusimale versioonile (BP, Patchstack).

Nutipirnide haavatavused võimaldavad häkkeritel varastada kasutajate WiFi-paroole

Catania ja Londoni ülikooli teadlased avastasid neli turvaauku, mis mõjutavad TP-Link Tapo L530E nutipirni ja mobiilirakendust TP-Link Tapo. Kuna teadlaste hinnangul on autentimine nõrgalt rakendatud, saab ründaja kontrollida kõiki Tapo seadmeid, mis kasutaja on sidunud enda Tapo kontoga. Samuti on tal võimalik haavatavuste abil teada saada ohvri WiFi parool, laiendades seeläbi enda häkkimisvõimalusi. Kõige kriitilisemat haavatavust on hinnatud skooriga 8.8/10.0. Teadlased jagasid enda uurimuse tulemusi ettevõttega, kes lubas haavatavused kõrvaldada. Lisaks tuleks teadlaste hinnangul avastatud leidude tõttu nõuda null-usaldusmudeli täielikumat rakendamist asjade interneti seadmete puhul (SA, DMI).

Üle 3000 Openfire’i serveri on haavatavad kriitilise turvanõrkuse vastu

Tuhanded Openfire’i serverid on ohus turvanõrkuse CVE-2023-3231 tõttu, mida on rünnete läbiviimisel ära kasutatud. Haavatavus võimaldab luua autentimata ründajal administraatorikontosid ja samuti haavatavatesse serveritesse pahaloomulisi pistikprogramme üles laadida. Openfire on laialdaselt kasutatav Java-põhine avatud lähtekoodiga sõnumivahetusserver (XMPP), mida on alla laetud üheksa miljonit korda. Viga on parandatud Openfire’i versioonides 4.6.8, 4.7.5 ja 4.8.0 (BP, VulnCheck).

Cisco paikas turvanõrkused, mis võivad kaasa tuua teenustõkestusründed

Cisco paikas oma toodetes kuus haavatavust, mille hulgas olid ka kõrge mõjuga vead NX-OS ja FXOS tarkvarades. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-20200, mis võimaldab ründajal saata ohvri seadmele SNMP-päringuid ja põhjustada selle taaskäivitamise ning teenuse katkemise. Hetkel teadaolevalt ei ole haavatavusi ära kasutatud. Täpne nimekiri mõjutatud seadmetest on lisatud linkidel (SW, SA, Cisco).

Ivanti Sentry kriitilise turvanõrkuse jaoks avalikustati tehniline analüüs

Hiljuti avalikustas tarkvaraettevõte Ivanti turvapaigad, et kõrvaldada kriitilise raskusastmega haavatavus CVE-2023-38035, mis mõjutab Ivanti Sentry tarkvara (tuntud ka kui MobileIron Sentry). Nüüd on kübereksperdid turvanõrkuse jaoks avalikustanud ka tehnilise algpõhjuse analüüsi.

Haavatavust saab kasutada tundlikele API andmetele ja konfiguratsioonidele juurdepääsemiseks, süsteemikäskude käivitamiseks või failide süsteemi kirjutamiseks. See mõjutab Sentry versiooni 9.18 ja varasemaid. Kuigi haavatavus on kriitiline, on nende klientide jaoks, kellel ei ole port 8443 avalikult kättesaadav, oht pigem väike.

Ettevõte märkis, et on teadlik piiratud arvust klientidest, keda see haavatavus otseselt mõjutab (SA, Horizon3, Ivanti).

Kolm haavatavust Nvidia graafikadraiveril võivad põhjustada mälu sisu soovimatut muutumist

Hiljuti avalikustati kolm NVIDIA graafikakaartidega töötava NVIDIA D3D10 draiveri haavatavust. Kõik kolm haavatavust on hinnatud kriitilisuse skooriga 8.5/10.0 (Talos).

Ründaja võib potentsiaalselt neid turvaauke ära kasutada virtuaalmasinates, mis töötavad virtualiseerimiskeskkondades (nt VMware, QEMU ja VirtualBox), et keskkondadest välja pääseda. Samuti leiti, et ründajal võib õnnestuda neid haavatavusi ära kasutada veebibrauseris, mis kasutab WebGL-i ja WebAssemblyt (Talos).

Haavatavused on parandatud turvauuendusega, mille kohta leiab täpsemat informatsiooni siit.

Olulised turvanõrkused 2023. aasta 33. nädalal

Adobe Magento 2 tarkvara vana turvaviga kasutatakse ründekampaanias

Kübereksperdid avalikustasid raporti, milles analüüsiti alates selle aasta jaanuarist toimunud ründeid Magento 2 tarkvara kasutavate e-poodide vastu. Ründekampaaniat tuntakse nimetuse all Xurum ja selle käigus on ära kasutatud turvanõrkust CVE-2022-24086 (Akamai, HN).

CVE-2022-24086-nimelise turvanõrkuse abil saab autentimata ründaja veebilehe kompromiteerida ja kasutada seda edasiseks pahatahtlikuks tegevuseks – näiteks on võimalik veebilehele lisada pahaloomulist koodi, mis suunab külastaja edasi petulehtedele, samuti on oht andmelekkeks.

Raportist järeldus, et ründajad on eelkõige huvi tundnud haavatavate Magento poodide viimase 10 päeva jooksul tehtud tellimuste maksestatistika vastu. Samuti on täheldatud, et mõned veebisaidid on nakatunud lihtsate JavaScripti-põhiste pahavaradega, mis on loodud krediitkaarditeabe kogumiseks ja juhtserverisse edastamiseks (Akamai, HN). Turvanõrkus on parandatud kõigis hiljuti avaldatud Adobe Commerce ja Magento tarkvara versioonides. Raportiga on võimalik tutvuda siin ja tootja teabelehega siin.

WinRARi tarkvaras leiti koodi käivitamise haavatavus

Hiljuti avastati WinRARi arhiveerimistarkvarast turvaauk, mille abil on ründajatel võimalik pahaloomulist koodi käivitada. Turvanõrkust tähistatakse tähisega CVE-2023-40477 ja see on hinnatud suhteliselt kõrge CVSSi[1] skooriga (7.8/10.0). Turvanõrkuse kasutamiseks tuleb ründajal veenda ohvrit avama selle jaoks spetsiaalselt loodud pahaloomulist faili või peab ohver külastama selleks pahaloomulist veebilehte. Tarkvarale on olemas uuendus, mille soovitame esimesel võimalusel rakendada. Rohkem informatsiooni uuenduse kohta saab viidatud linkidelt (ZDI, WinRAR).

Peaaegu kõik VPN-id on haavatavad TunnelCrack-nimeliste rünnakute suhtes

New Yorgi ja KU Leuveni ülikoolide teadlased avastasid mitu turvaviga, mida ründajad saavad kasutajate võrguliikluse lugemiseks või kasutajateabe varastamiseks. Avastatud haavatavusi tähistatakse CVE-2023-36672, CVE-2023-35838, CVE-2023-36673 ja CVE-2023-36671. Esimest kahte nõrkust saab ära kasutada siis, kui ohver loob ühenduse ründaja loodud Wi-Fi või Etherneti võrguga, viimast kahte nõrkust aga saavad kasutada ründajad, kes kasutavad ebausaldusväärset Wi-Fi/Etherneti võrku, või pahatahtlikud internetiteenuse pakkujad (ISP) (HNS, Usenix).

Teadlased testisid paljusid VPN-lahendusi ja avastasid, et enamik Apple’i , Windowsi ning Linuxi seadmetele mõeldud VPNe on ühe või mõlema rünnaku suhtes haavatavad. Windowsi, macOS-i ja iOS-i sisseehitatud VPN-kliendid on samuti haavatavad.

Teadlased on VPN lahenduste tootjatele turvanõrkustest teada andnud ja mõned neist on juba ka parandused rakendanud (HNS, Usenix). 

Chrome’i uues versioonis parandati 26 turvanõrkust

Google avaldas uue Chrome’i versiooni 116 Windowsi, macOSi ja Linuxi operatsioonisüsteemidele, milles on võrreldes eelmiste versioonidega parandatud 26 turvanõrkust. Nendes seas on kaheksa kõrge mõjuga haavatavust. Google’i sõnul hakatakse nüüd turvauuendusi väljastama iganädalaselt, et turvavigade parandused jõuaksid kiiremini kasutajateni (SW, Chrome).

Juniperi Networksi võrguseadmeid ohustavad neli turvanõrkust

Võrguseadmeid tootev ettevõte Juniper Networks avalikustas turvauuenduse, et kõrvaldada Junos OS-i J-Webi komponenti mõjutavad turvavead. J-Webi liidese abil saavad kasutajad Junos OS-i seadmeid konfigureerida, hallata ja jälgida.

Turvavigu saab omavahel kombineerida, et käivitada pahaloomulist koodi haavatavates süsteemides ja need mõjutavad kõiki Junos OS-i versioone SRX ja EX seeria mudelitel.

Kasutajatel soovitatakse rakendada vajalikud turvauuendused, et ennetada võimalikke turvanõrkustega seotud ohte. Kui uuendamine ei ole võimalik, soovitab tootja alternatiivsete lahendusmeetmetena J-Webi kasutamine peatada või piirata sellele ligipääsu (HN, Juniper).

[1] Rahvusvaheliselt tuntud turvanõrkuste kriitilisuse määramiseks kasutatav mudel.

Olulised turvanõrkused 2023. aasta 32. nädalal

Microsoft paikas kaks aktiivselt kuritarvitatud nullpäeva turvanõrkust

Microsoft parandas augustikuu turvauuendustega 87 turvaviga, millest kuus on hinnatud kriitiliseks. Parandatud turvanõrkuste seas oli ka kaks nullpäeva haavatavust. Microsoft liigitab haavatavuse nullpäevaks, kui see on avalikustatud või seda on aktiivselt ära kasutatud ilma ametliku paranduseta. Esimest nullpäeva haavatavust CVE-2023-36884 saavad ründajad kuritarvitada selleks, et käivitada ohvri seadmes pahaloomulist koodi. See on võimalik, kuna antud turvanõrkus võimaldab ühest Microsoft Office’i turvameetmest (MoTW) mööda pääseda. Teise nullpäeva turvavea abil (tähistusega CVE-2023-38180) saab ründaja teostada teenusetõkestusründe .NET ja Visual Studio rakenduste vastu. Kui mõni Microsofti tarkvara uuendust pakub, soovitame selle esimesel võimalusel rakendada. Nimekirja kõikidest paigatud turvanõrkustest näete viidatud allikates (BP, SW, SA).

Codesysi tarkvaras peituvad vead ohustavad tööstusseadmeid

Microsoft avastas Codesysi tarkvaras üle 12 turvaaugu, mida saab ära kasutada tööstusseadmete töö segamiseks või tundliku teabe varastamiseks. Codesys toodab juhtimissüsteemide automatiseerimistarkvara ja ettevõtte tooteid kasutavad mõned maailma suurimad tööstuslike juhtimissüsteemide (ICS) tootjad. Kokku leiti Codesys Control V3 versioonides, mis on vanemad kui 3.5.19.0, 16 turvaauku. Kõigile haavatavustele on määratud suhteliselt kõrge raskusastme tase (maksimaalselt CVSSv3 8.8/10.0).

Ründajad võivad neid haavatavusi ära kasutada programmeeritavate loogikakontrollerite (PLC) ja muude ICS-seadmete sihtimiseks. Microsofti keskendus enda uurimuses Schneider Electricu ja Wago valmistatud PLC-dele. Siiski nõuab avastatud haavatavuste ärakasutamine kasutajapoolset autentimist, samuti põhjalikke teadmisi Codesys v3 protokolli ja seda kasutavate erinevate teenuste struktuuri kohta.

Microsoft on avalikustanud põhjaliku blogipostituse, millega saab tutvuda siin. Blogipostituses soovitatakse muuhulgas mõjutatud seadmed esimesel võimalusel uuendada, samuti tuleb veenduda, et kõik kriitilised seadmed (nagu näiteks PLC-d) ei oleks avalikult kättesaadavad, hoolimata sellest, kas need kasutavad Codesysi tarkvara või mitte. Samuti pakutakse avatud lähtekoodiga tööriista, mille abil on võimalik kasutajatel mõjutatud seadmed tuvastada. Täpsemalt saab selle kohta lugeda viidatud linkidelt (MS, SW).  

Adobe paikas enda toodetel mitukümmend turvanõrkust

Adobe paikas kokku 30 haavatavust, mis mõjutavad tarkvarasid Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Eduka ründe korral on võimalik turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada. Soovitame kõigil kasutajatel Adobe tarkvara uuendada (SW, Adobe).

Uued protsessorite vastu suunatud ründemeetodid võivad paljastada tundlikku teavet

Esimese uue ründemeetodi avastas Google ja seda tuntakse nimetuse all Downfall. Konkreetse ründe käigus kasutatakse ära turvanõrkust CVE-2022-40982. Sarnaselt muudele protsessori vastu suunatud ründemeetoditele võib Downfalli ära kasutada süsteemile ligipääsu saanud ründaja või pahavara, et hankida seadme kasutajaga seotud tundlikku teavet, näiteks paroole. Antud ründemeetod töötab avastajate sõnul ka pilvekeskkondade vastu. Inteli sõnul kasutati ründemeetodi tõestamiseks spetsiifilisi tingimusi ja seda meetodit on väga keeruline ilma nende tingimusteta kasutada. Siiski pakub ettevõte mõjuatud platvormidele uuenduse. Ründemeetodi vastu on kaitstud hiljutised Inteli protsessorid nagu Alder Lake, Raptor lake ja Sapphire Rapids (SW).

Hiljuti avalikustas Google ka Zenbleedi-nimelise haavatavuse, mis mõjutab AMD Zen 2 protsessoreid ja lubab ründajal tundlikule teabele ligi pääseda. Samuti teavitasid ETH Zürichi ülikooli teadlased avalikkust veel ühest protsessorite vastu suunatud ründemeetodist, mille abil on võimalik tundlikule informatsioonile ligi pääseda ja mis mõjutab AMD Zeni protsessoreid (SW).