Monthly Archives: October 2023

RIA ohuhinnang: kriitiline turvanõrkus Cisco IOS XE tarkvaral

Lühikirjeldus

Cisco avalikustas 16. oktoobril, et Cisco IOS XE tarkvara veebiliidest (webUI) mõjutab väga kriitiline turvanõrkus (CVE-2023-20198), mida on ettevõtte sõnul juba kuritarvitatud. Lisaks on ka CERT-EE näinud selle turvanõrkuse kuritarvitamist Eesti küberruumis.

Ohustatud on eriti need haavatavad Cisco võrguseadmed, mille webUI veebiliidesed on Internetist kättesaadavad. Hetkel ei ole turvanõrkusele turvaparandust saadaval, kuid haavatavuse saab eemaldada alternatiivse lahenduse abil (kirjeldatud allpool).

Miks on haavatavus kriitiline?

Konkreetne haavatavus on kriitiline (hinnatud maksimaalse kriitilisuse skooriga CVSS 10.0/10.0), sest see võimaldab ründajal luua mõjutatud süsteemis kõrgendatud õigustega kasutaja, mida saab seejärel kasutada haavatava võrguseadme üle täieliku kontrolli saamiseks. Sealjuures on ründajal võimalik turvanõrkust ära kasutada autentimata.

Kes ja mida peaks tegema?

Ohus on kõik need võrguseadmed, mis kasutavad Cisco IOS XE tarkvara ja millel on veebiliidese funktsioon lubatud. See funktsioon aktiveeritakse ip http server või ip http secure-server käskude kaudu.

Selleks, et kontrollida, kas HTTP Server funktsioon on süsteemis lubatud, tegutsege järgnevalt:

  • Logige süsteemi sisse ja kasutage käsureal käsku show running-config | include ip http server|secure|active
  • Eelneva käsu abil saab kontrollida, kas ip http server või ip http secure-server on lubatud.
  • Kui jah, siis on ka veebiliidese funktsioon kasutusel ja seega võguseade haavatav.

Cisco soovitab klientidel tungivalt HTTP-serveri funktsioon kõigis internetiühendusega süsteemides keelata. HTTP-serveri funktsiooni keelamiseks kasutage globaalses konfiguratsioonirežiimis käsku no ip http server või no ip http secure-server. Kui kasutusel on nii HTTP-server kui ka HTTPS-server, on HTTP-serveri funktsiooni keelamiseks vaja mõlemat käsku.

Cisco avaldas enda ohuteates ka järgneva otsustuspuu, mis võib teid aidata:

Kas kasutate IOS XE-d?

  • Ei. Süsteem ei ole haavatav. Pole vaja reageerida.
  • Jah. Kas tarkvaral on ip http server või ip http secure-server kasutusel?
    • Ei. Haavatavust ei saa ära kasutada. Pole vaja reageerida
    • Jah. Kas kasutate selle võrguseadmel teenuseid, mis nõuavad HTTP/HTTPSi (nt eWLC)?
      • Ei. Keelake HTTP-serveri funktsioon (vt eelnevaid nõuandeid, kuidas).
      • Jah. Võimaluse korral piirake juurdepääs neile teenustele usaldusväärsetest võrkudest.

NB! Kui olete konfiguratsioonis vajalikud muudatused teinud, soovitab ettevõte veenduda, et need ka seadme taaskävitamisel endiselt alles on. Selleks tuleks kasutada käsku copy running-configuration startup-configuration, et jooksev konfiguratsioon peale muudatuste tegemist ka püsivalt salvestada.

Cisco lisas ka enda ohuteatele juurde juhised, kuidas tuvastada, kas seade on juba potentsiaalselt kompromiteeritud või mitte. Juhised leiate siit, alapeatükist Indicators of Compromise.

Cisco ohuteate täisteksti leiate siit.

Ohuhinnangu koostas RIA analüüsi- ja ennetusosakond koostöös CERT-EE-ga.

Olulisemad turvanõrkused 2023. aasta 41. nädalal

  • Uus “HTTP/2 Rapid Reset” nullpäeva turvanõrkus võimaldab läbi viia suuremahulisi DDoS-ründeid

Eelmisel  nädalal avalikustati uus teenusetõkestusrünnete läbiviimise meetod, mida nimetatakse “HTTP/2 Rapid Reset”. Rünnetes kasutatakse ära HTTP/2 protokolli haavatavust, mille kaudu on võimalik teha väga suure mahuga hajusaid teenusetõkestusründeid. Meetodit on juba augustikuust alates kasutatud DDoS-rünnete läbiviimiseks ja Clouflare’il on õnnestunud leevendada juba enam kui tuhandet “HTTP/2 Rapid Reset” DDoS-rünnet.

Cloudflare’i sõnul on uue tehnikaga läbiviidud ründed kolm korda suurema võimsusega kui oli möödunud aasta rekord. Kui varasemalt oli rekordiline rünne 71 miljonit päringut sekundis, siis nüüd viiakse läbi ründeid mahuga 200 miljonit päringut sekundis. Google’i sõnul on nemad tegelenud ka ründega, mille maht oli ligi 400 miljonit päringut sekundis.

Nii Amazon Web Services, Cloudflare kui ka Google on kasutusele võtnud meetodid, mis aitavad ründeid leevendada (BC, Cloudflare, Google).

  • Microsoft paikas oma toodetes 104 viga

Microsoft parandas kokku 104 haavatavust, nende hulgas oli kolm nullpäeva turvanõrkust, mida on rünnetes ära kasutatud. Parandatud vigadest võimaldavad koodi kaugkäivitada 45 haavatavust ja 12 neist on hinnatud kriitilise mõjuga veaks.

Parandatud nullpäeva turvanõrkustest esimene (CVE-2023-41763) mõjutab Skype for Business tarkvara ja selle kaudu on võimalik saada kõrgemad õigused. Teine haavatavus (CVE-2023-36563) on Microsofti Wordpad tarkvaras ja see võimaldab ründajal saada ligipääsu ohvri süsteemile.  Kolmas nullpäeva turvanõrkus (CVE-2023-44487) on seotud eelmises lõigus kirjeldatud „HTTP/2 Rapid Reset“ haavatavusega.

Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Google Chrome’i uues versioonis on parandatud 20 turvanõrkust

Google avaldas Chrome’i versiooni 118.0.5993.70 Windows, Mac ja Linux seadmetele. Parandatud turvanõrkuste seas on üks kriitilise ja kaheksa keskmise mõjuga haavatavust. Hetkel teadaolevalt ei ole haavatavusi rünnete läbiviimisel ära kasutatud. Soovitame uuendada Google Chrome’i esimesel võimalusel (SW, Chrome).

  • Juniper paikas rohkem kui 30 turvaviga operatsioonisüsteemis Junos OS

Juniper Networks paikas üle 30 turvavea, mis mõjutavad Junos OS ja Junos OS Evolved operatsioonisüsteeme. Nende hulgas oli ka üheksa kõrge mõjuga haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-44194, mille kaudu võib autentimata ründaja saada juurkasutaja õigustega ligipääsu. Vead on paigatud Junos OS ja Junos OS Evolved versioonides 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4, 23.1, 23.2 ja 23.3.

Ettevõtte sõnul ei ole teada, et parandatud haavatavusi oleks rünnetes ära kasutatud. Arvestades seda, kui tihti proovitakse võrguseadmete turvanõrkusi rünnete läbiviimisel kuritarvitada, soovitab tootja uuendada tarkvara esimesel võimalusel (SW).

  • Adobe paikas turvavead Adobe Commerce, Magento Open Source ja Photoshop tarkvarades

Adobe paikas kokku 13 haavatavust, mis mõjutavad tarkvarasid Adobe Commerce, Magento Open Source ja Adobe Photoshop. Eduka ründe korral on võimalik õigustega manipuleerida, turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada.

Turvavead mõjutavad Adobe Commerce ja Magento Open Source versioone 2.4.7-beta1 ja vanemaid. Lisaks paigati ka vead Adobe Photoshop 2022 ja Photoshop 2023 tarkvarades. Täpsem nimekiri mõjutatud tarkvarade versioonidest on lisatud linkidel.

Kuna Adobe toodete turvanõrkused on tihti rünnakute sihtmärgiks, siis soovitab tootja kõigil kasutajatel nimetatud tarkvara uuendada (SW, Adobe, Adobe).

  • D-Linki WiFi signaalivõimendi on haavatav koodi kaugkäivitamisele

Populaarne WiFi signaalivõimendi D-Link DAP-X1860 WiFi 6 on haavatav turvanõrkusele CVE-2023-45208, mis võib kaasa tuua teenuse tõkestamise ja pahatahtliku koodi kaugkäivitamise. Hetkel ei ole veale parandust ja D-Link DAP-X1860 seadme kasutajatel soovitatakse piirata käsitsi võrguskaneerimise lubamist ning lülitada seade välja, kui seda parajasti ei kasuta (BC).

Olulisemad turvanõrkused 2023. aasta 40. nädalal

  • Confluence’i mõjutab väga oluline turvanõrkus

Atlassiani arendatud Confluence’i tarkvaras avastati kriitiline turvaviga, mille kohta andis ettevõtte välja ka hoiatuse. Turvanõrkus tähisega CVE-2023-22515 võimaldab ründajal saada haavatavas süsteemis administraatoriõigused. Ettevõte kinnitas, et piiratud arv klientide süsteeme on langenud ka seda turvanõrkust kuritarvitatavate rünnakute ohvriks (Atlassian).

Atlassiani sõnul mõjutab viga Confluence Server ja Confluence Data Center versioone alates 8.0.0. Turvanõrkus on paigatud versioonides 8.3.3 või uuemates, 8.4.3 või uuemates või 8.5.2 või uuemates. Turvaveast ei ole mõjutatud Atlassiani pilveteenust kasutavad Confluence’i süsteemid, ehk kui Confluence’i lehele pääseb ligi atlassian.net domeeni kaudu, siis ei ole see ka mõjutatud (Atlassian).

Atlassian rõhutab, et lisaks uuendamisele on oluline veenduda, et haavatavat süsteemi ei jõutud kompromiteerida. Selleks tõi ettevõte enda hoiatusteavituses välja ka mõned näpunäited, kuidas seda kindlaks teha (Atlassian).

  • Apple’i seadmed said tarkvarauuendused, parandati muuhulgas nullpäeva turvanõrkus

Apple avalikustas enda toodetud seadmetele turvavärskendused, et kõrvaldada uus nullpäeva haavatavus tähisega CVE-2023-42824, mida on ära kasutatud iPhone’i ja iPadi seadmete vastu suunatud rünnakutes (Apple).

Turvanõrkus on seotud kerneliga ja lubab juba haavatavas süsteemis oleval ründajal enda õiguseid seal tõsta. Apple’i sõnul võidi seda nõrkust ära kasutada iPhone’idel, mis kasutasid vanemat iOSi versiooni kui 16.6. Haavatavus mõjutab iPhone XS-i ja uuemaid versioone ning erinevaid iPadi mudeleid. See on parandatud iOS ja iPadOS versioonis 17.0.3 (Apple).

Turvavärskendustega parandati ka nõrkus, mida tähistatakse kui CVE-2023-5217 ning mille abil on võimalik käivitada suvalist koodi. Kui kasutate iPhone’i või iPadi, soovitame tarkvarauuendused rakendada esimesel võimalusel (Apple).

  • Androidile avalikustatud turvauuendused paikavad mitu nullpäeva turvanõrkust

Google avalikustas Androidi operatsioonisüsteemile 2023. aasta oktoobri turvavärskendused, mis parandavad 54 turvanõrkust. Nende hulgas on kaks turvaviga, mida on teadaolevalt aktiivselt ära kasutatud. Nendeks on haavatavused tähistega CVE-2023-4863 ja CVE-2023-4211 (BC, Android).

CVE-2023-4863 on puhvri ületäitumise haavatavus laialt kasutuses olevas teegis libwebp, mis mõjutab paljusid tarkvaratooteid, sealhulgas Chrome’i, Firefoxi, iOSi, Microsoft Teamsi jpt. RIA kajastas seda nõrkust ka eelmise nädala ülevaates (39. nädal). CVE-2023-4211 mõjutab aga Arm Mali GPU draiverite mitut versiooni, mida kasutatakse paljudes Androidi operatsioonisüsteemiga seadmete mudelites. Haavatavus võib võimaldada ründajatel tundlikele andmetele ligi pääseda (BC, Android).

Kui kasutate Androidi operatsioonisüsteemiga seadmeid, rakendage uuendused esimesel võimalusel (BC, Android).

  • TorchServe’i raamistikus avastati kriitilised haavatavused

TorchServe’i raamistikus avastati kriitilised haavatavused, mis kujutavad tehisintellekti mudelitele olulist ohtu. Haavatavused avastanud ekspertide hinnangul näitavad need turvanõrkused, et AI-rakendused on avatud lähtekoodiga vigadele vastuvõtlikud sarnaselt paljudele muudele tarkvaradele (Oligio).

TorchServe’i, mida haldavad Amazon ja Meta, kasutatakse tootmiskeskkondades PyTorchil põhinevate süvaõppemudelite rakendamiseks ja seda rakendatakse laialdaselt, sealhulgas sellistes suurtes ettevõtetes nagu Amazon, Google ja Walmart (Oligio).

Haavatavuste ärakasutamine võib anda ründajatele juurdepääsu tehisintellekti kasutavate mudelite andmetele, võimaluse sisestada pahatahtlikke mudeleid tootmiskeskondadesse, muuta AI tulemusi või võtta serverite üle täielik kontroll (Oligio).

Kõik TorchServe’i versioonid kuni versioonini 0.8.1 on haavatavad. Haavatavused, mida ühiselt nimetatakse ShellTorchiks, hõlmavad muuhulgas kriitilist SSRF-i haavatavust, mis viib koodi kaugkäitamiseni (RCE) ja Javaga seotud RCE-d. Ekspertide sõnul rõhutavad need haavatavused vajadust AI infrastruktuuri tugevdatud turvameetmete järele, et kaitsta tehisintellekti mudeleid võimaliku väärkasutuse eest (Oligio).

  • Looney Tunables nimelise haavatavuse jaoks avalikustati kontseptsiooni tõendus

Kübereksperdid juhtisid eelmisel nädalal tähelepanu turvanõrkusele, mida tuntakse Looney Tunables nime all ja mis mõjutab üht olulist Linuxi kernel komponenti (glibc) (Qualys).

Haavatavus võib võimaldada ründajal oma õigusi suurendada, et saada süsteemi üle täielik kontroll juurõiguste abil. Turvanõrkuse olemasolu on tuvastatud erinevate Linuxi distributsioonide seas, sealhulgas Fedora 37 ja 38, Ubuntu 22.04 ja 23.04 ning Debian 12 ja 13 vaikeinstallatsioonides (Qualys).

Parim viis selle haavatavuse leevendamiseks on paikamine. Kui CVE-2023-4911 teid mõjutab, peaksite oma süsteemi parandama vastavalt mõjutatud distributsioonile. Täpsemat informatsiooni turvanõrkuse tuvastamise ja paikamise kohta leiate ka näiteks siit.