Monthly Archives: August 2023

Olulised turvanõrkused 2023. aasta 31. nädalal

Canon hoiatab tindiprinterite äraviskamisel tekkivate turvariskide eest

Canon hoiatab tindiprinterite kasutajaid, et nende seadmete mällu salvestatud Wi-Fi-ühenduse sätted ei pruugi kustuda, võimaldades kolmandatel osapooltel potentsiaalset juurdepääsu andmetele. Kui remonditehnikud, ajutised kasutajad või tulevased seadmete ostjad eraldavad printeri mälu, võib see viga põhjustada turva- ja privaatsusriski, kuna kolmandatel osapooltel on võimalik kätte saada eelmise kasutaja Wi-Fi-võrgu ühenduse üksikasjad (võrgu SSID-d, parooli, võrgu tüübi (WPA3, WEP jne), määratud IP-aadressi, MAC-aadressi ja võrguprofiili). Kokku on veast mõjutatud 196 tindiprinteri mudelit. Tootja on avalikustanud eraldi dokumendi, mis aitab tuvastada, kas tindiprinter on probleemist mõjutatud või mitte. Samuti on Canon avaldanud juhised, kuidas talletatud Wi-Fi andmed printerist eemaldada. Kõikide nende materjalidega on võimalik tutvuda viidatud linkidelt (Canon, Canon, BP).

Chrome’i veebilehitsejal paigati mitu kõrge mõjuga turvanõrkust

Google avaldas uue Chrome’i versiooni Windowsi, macOSi ja Linuxi operatsioonisüsteemidele tähistusega 115.0.5790.170/.171. Kokku parandati uue versiooniga 17 turvanõrkust, millest seitse on hinnatud üsna kriitiliseks (CVSSv3 8.8/10.0). Kõigi seitsme turvanõrkuse abil (CVE-2023-4068, CVE-2023-4069, CVE-2023-4070, CVE-2023-4071, CVE-2023-4074, CVE-2023-4075 ja CVE-2023-4076) on ründajal võimalik käivitada pahaloomulist koodi haavatavas süsteemis. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome). Juhised selleks leiate siit.

Mozilla paikas Firefoxi brauseril mitu turvaviga

Firefoxi uues versioonis 116 on parandatud mitu kõrge mõjuga turvaviga. Kokku parandati 14 haavatavust, millest üheksa on hinnatud kõrge tasemega turvavigadeks. Nendest üheksast turvanõrkusest viis said üsna kriitilise mõjuhinnangu (CVSSv3 8.8/10.0). Haavatavused võivad muuhulgas kaasa tuua pahatahtliku koodi käivituse või lubada veebilehitseja teatud turbefunktsioonidest möödapääsemist. Mozilla soovitab kõigil kasutajatel teha brauserile tarkvarauuendus (SW, Mozilla).

Avalikustati nimekiri 2022. aastal enim kuritarvitatud turvanõrkustest

3. augustil avalikustasid USA, Austraalia, Kanada, Uus-Meremaa ja Ühendkuningriik ühistööna valminud ülevaate 2022. aastal enim ära kasutatud kõige turvanõrkustest. Ülevaates järeldati, et 2022. aastal kasutasid pahatahtlikud osapooled rohkem ära vanemaid turvanõrkuseid kui uuemaid avaldatud haavatavusi. Üllatusteta rünnati paikamata avalikust võrgust kättesaadavaid süsteeme. All on kuvatud tabel kaheteistkümnest kõige populaarsemast turvaveast, mida eelmisel aastal ründajad ära kasutasid (CISA).

CVE tähisTootjaMõjutatud toodeMõju
CVE-2018-13379FortinetFortiOS ja FortiProxySSL VPN kasutaja tunnuste lekkimine
CVE-2021-34473 (Proxy Shell)MicrosoftExchangeKoodi kaugkäivitamise võimalus
CVE-2021-31207 (Proxy Shell)MicrosoftExchangeKaitsemeetmetest möödapääsemine
CVE-2021-34523 (Proxy Shell)MicrosoftExchangeÕiguste suurendamine
CVE-2021-40539ZohoADSelfService PlusKoodi kaugkäivitamise võimalus / autentimisest möödapääsemine
CVE-2021-26084AtlassianConfluenceKoodi käivitamise võimalus
CVE-2021- 44228 (Log4Shell)ApacheLog4j2Koodi kaugkäivitamise võimalus
CVE-2022-22954VMwareWorkspace ONEKoodi kaugkäivitamise võimalus
CVE-2022-22960VMwareWorkspace ONEÕiguste suurendmine
CVE-2022-1388F5 NetworksBIG-IPAutentimisest möödapääsemine
CVE-2022-30190MicrosoftMitmed erinevad tootedKoodi kaugkäivitamise võimalus
CVE-2022-26134AtlassianConfluenceKoodi kaugkäivitamise võimalus

Allikas: CISA

Kes ja mida peaks tegema?

Alati on soovituslik uuendada tarkvara õigeaegselt. Kui turvaparandust ei ole võimalik kohe paigaldada, võib tootja olla välja pakkunud alternatiivseid kaitsemeetmeid, mida saab rakendada. Organisatsioonidel tuleks hoida samuti ajakohast tervikpilti kõikidest IT-süsteemidega seotud varadest, nende seisukorrast, omadustest ja sõltuvustest. Lisaks eelnevale tuleb kasuks, kui tehakse regulaarselt varukoopiaid. Kindlasti tuleks ka üle vaadata, millised süsteemid on avalikud kättesaadavad ja nendele ligipääsu võimalusel piirata.

Olulised turvanõrkused 2023. aasta 30. nädalal

Teadlased leidsid kriitilised nõrkused operatiivraadioside standardist TETRA

Hollandi teadlased avastasid TETRA operatiivraadioside standardist viis haavatavust, millest kaks on kriitilised. Turvanõrkustele on antud koodnimetus TETRA:BURST. Avastused on olulised, kuna TETRAt kasutavad mitmete riikide korrakaitseüksused ning samuti kasutatakse seda kriitilise taristu haldamiseks. Haavatavuste tõttu saaksid kolmandad osapooled kuulata pealt operatiivraadiosidet või seda segada. Täpsemad tehnilised detailid avalikustatakse augustis toimuvatel küberturbekonverentsidel (SW,Wired,Tetraburst).

Apple paikas veel ühe nullpäeva turvanõrkuse

Parandatud haavatavus on uus kerneli viga tähisega CVE-2023-38606, mida on Apple’i sõnul kuritarvitatud juba vanemate seadmete (iOS versioon vanem kui 15.7.1) ründamiseks. Küberekspertide sõnul on antud turvanõrkuse abil paigaldatud haavatavatesse seadmetesse nuhkvara. Haavatavus on parandatud macOS Ventura 13.5, iOS ja iPadOS 16.6, tvOS 16.6, watchOS 9.6 ja Safari 16.6 versioonides (BP, Apple).

Kes ja mida peaks tegema?

Soovitame kõigil Apple’i seadmete kasutajatel vastavad tarkvarauuendused rakendada.

Ubuntu kasutajad võivad olla uue turvavea suhtes haavatavad

Hiljuti Ubuntus avastatud turvaauk võimaldab pahaloomulistele kasutajatel saada suurel hulgal seadmetel kõrgendatud õigused. Ubuntu on üks enim kasutatavaid Linuxi distributsioone. Turvanõrkus tähisega CVE-2023-2640 mõjutab täpsemalt OverlayFS moodulit ja tegu on kõrge tasemega haavatavusega (CVSS v3 skoor 7.8/10.0). Turvanõrkusele on olemas ka kontseptsiooni tõendus, mis tõstab selle kuritarvitamise tõenäosust. (BP, Ubuntu, Wiz).

Kes ja mida peaks tegema?

Saadaval on turvauuendus, mille kohta leiab täpsemat informatsiooni tootja kodulehelt (Ubuntu). Soovitame selle vajadusel rakendada esimesel võimalusel.

OpenSSH haavatavus võimaldab koodi kaugkäitust

OpenSSH uus turvaviga võimaldab potentsiaalselt käivitada pahaloomulisi käske haavatavates süsteemides. Turvanõrkus CVE-2023-38408 mõjutab OpenSSH võtmete haldamisega seotud lahendust ssh-agent. Haavatavust saab siiski ära kasutada ainult siis, kui haavatavaid versioone käitavatesse süsteemidesse on installitud teatud teegid ja SSH autentimisagent edastatakse ründaja juhitavale süsteemile.

Kes ja mida peaks tegema?

Konkreetne haavatavus mõjutab kõiki OpenSSH-i versioone, mis on vanemad kui 9.3p2 (SA, Qualys).

Austraalia ja USA hoiatavad uues ülevaates veebirakendustega seotud turvanõrkuste eest

Austraalia küberkaitsekeskus (ACSC), USA kübeturvalisuse ja infrasturktuuri agentuur (CISA) ja USA riiklik julgeolekuagentuur avaldasid ühiselt ülevaate, mis käsitleb veebirakendustega seotud spetsiifilisi haavatavusi (insecure direct object reference ehk IDOR). IDOR tüüpi turvanõrkused võimaldavad pahatahtlikel osapooltel muuta või kustutada andmeid või tundlikele andmetele ligi pääseda, saates veebilehele või veebirakenduse programmeerimisliidesele (API) kindlat tüüpi päringuid (CISA).

Ülevaates tuuakse välja, et selliseid turvaauke on sageli kasutatud andmeleketega seotud küberintsidentide puhul, sest need on levinud ja nende mõjuulatus on lai. Väidetavalt on IDOR tüüpi haavatavused põhjustanud miljonite kasutajate ja tarbijate isikliku, finants- ja terviseteabe ohtu sattumise. Turvavigadele on olemas standardsed vastumeetmed, mille kohta saab täpsemalt lugeda avaldatud ülevaatest siin.