Monthly Archives: February 2024

Olulisemad turvanõrkused 2024. aasta 8. nädalal

Enam kui 28 500 Microsoft Exchange’i serverit on turvanõrkuse tõttu ohus

Turvanõrkust tähisega CVE-2024-21410 on juba ka aktiivselt rünnetes ära kasutatud. Haavatavus võimaldab autentimata ründajatel saada ohvri süsteemis kõrgemad õigused.  Shadowserveri monitooringu alusel on ohustatud servereid kokku pea 100 000, kuid nimetatud Exchange’i turvanõrkusele on neist haavatavad 28 500. Hetkel ei ole veel turvaveale avaldatud kontseptsiooni tõendust, mistõttu võib eeldada, et rünnete arv võib edaspidi kasvada.

Kõigil Microsoft Exchange’i kasutajatel tuleks uuendada tarkvara esimesel võimalusel, veebruarikuu uuendustega paigati ka nimetatud haavatavus. Turvaviga on paigatud Exchange Server 2019 uuendusega 14 (CU14) (BC).

WordPressi veebilehti ohustab koodi kaugkäivitamist võimaldav turvanõrkus

Ründajad on võtnud sihikule turvanõrkuse WordPressi “Brick Builderi” nimelises teemas, mille eduka kuritarvitamise korral on võimalik haavataval veebilehel pahaloomulist PHP-koodi käivitada. Teemat kasutab umbes 25 000 WordPressi veebilehte. Viga on paigatud 13. veebruaril avaldatud tarkvara versioonis 1.9.6.1.

Patchstacki info kohaselt on haavatavust juba ära kasutatud. Nad on avaldanud postituse, kus kirjeldavad turvaviga tähisega CVE-2024-25600 täpsemalt.

Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (BC, HN, PS).

Chrome’i ja Firefoxi veebilehitsejates paigati kõrge mõjuga turvavead

Nii Google kui ka Mozilla andsid sel nädalal välja Chrome’i ja Firefoxi tarkvaravärskendused, et paigata mõlema veebilehitseja haavatavused. Mõlemas brauseris parandati kõrge mõjuga mälu ohutuse vead.

Google avaldas Chrome’i versiooni 122.0.6261.57 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 12 haavatavust. Mozilla avaldas Firefoxi versiooni 123, kus on samuti paigatud tosin turvaviga, nende hulgas ka neli kõrge mõjuga haavatavust.

Lisaks avaldati ka uued turvapaikadega versioonid veebilehitsejale Mozilla Firefox ESR 115.8 ja meiliprogrammile Thunderbird.

Kumbki ettevõte ei ole maininud turvavigade ärakasutamist. Soovitame nii Google Chrome kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Apple’i turvaviga võimaldab andmete vargust

Haavatavus tähisega CVE-2024-23204 mõjutab Apple’i populaarset rakendust Shortcuts ja selle kaudu võivad ründajad saada juurdepääsu ohvri seadmetes olevatele tundlikele andmetele, ilma et kasutaja selleks ise loa annaks. Näiteks on võimalik kurjategijal saada ligipääs fotodele, kontaktidele ja failidele. Bitdefenderi analüüsi kohaselt võimaldab haavatavus luua pahatahtliku Shortcutsi faili, mis suudab mööda minna Apple’i turvaraamistikust. Apple’i Transparency, Consent, and Control (TCC) turberaamistik peaks tagama, et rakendused küsiksid kasutajalt selgesõnaliselt luba enne teatud andmetele või funktsioonidele juurdepääsu andmist.

Viga mõjutab macOSi ja iOSi tooteid, mis kasutavad tarkvara versioone macOS Sonoma 14.3, iOS 17.3 ja iPadOS 17.3. Apple on vea paiganud ja soovitab kõigil uuendada tarkvara (DR, SW, BD).

Lunavararühmitustele meeldib kuritarvitada levinud kaughaldus- ja seiretarkvarasid

Erinevad kaughaldustarkvarad, nagu näiteks AnyDesk, TeamViewer, Atera ja Splashtop, on paljude IT-administraatorite töövahendiks ja kasutusel laialdaselt üle maailma. Kuna seadmed ja töötajad võivad olla eri asukohtades, siis on seadmete kaughaldamine saanud tänapäeval on möödapääsmatuks.

Kahjuks on erinevad lunavararühmitused leidnud selles soodsa variandi rünnete läbiviimiseks. Peamiselt kasutatakse järgnevaid strateegiad:

  • Saadakse ligipääs olemasolevale kaughaldustarkvarale. Kuna kaughaldustööriistad nõuavad süsteemile juurdepääsuks mandaate, siis on üheks enamlevinud ründevektoriks nõrgad või vaikimisi määratud paroolid ning paikamata tarkvara.
  • Teiseks variandiks on saada esmalt ligipääs ohvri süsteemile ja seejärel paigaldada sinna endale sobilik kaughaldustarkvara, mille kaudu saab edaspidi ründeid läbi viia.
  • Kolmandaks variandiks on sotsiaalne manipulatsioon, mille käigus saadetakse ettevõtte töötajale link pahatahtliku tarkvaraga ning suunatakse kasutaja seda paigaldama.

Malwarebytes’i analüüsi kohaselt on pea kõik suuremad lunavararühmitused kasutanud oma rünnete läbiviimisel just neid meetodeid ja kaughaldustarkvarasid.

Taoliste rünnete vältimiseks tuleks üle vaadata, kas kasutusel olevas kaughaldustarkvaras on kõik mittevajalikud funktsioonid keelatud. Lisaks tuleks kaughaldustarkvara tegevusi logida ja logisid regulaarselt monitoorida (MB).

Olulisemad turvanõrkused 2024. aasta 7. nädalal

Oht DNS-serveritele – teadurid leidsid 20 aastat vana disainivea DNSSECi spetsifikatsioonis

Teadurid avastasid uue DNS-iga seotud haavatavuse, mis sai nimeks KeyTrap. Vea (CVE-2023-50387) näol on tegemist Domain Name System Security Extensionsi (DNSSEC) disainiveaga. DNSSEC võimaldab tagada, et internetist domeeninime otsimisel saadav teave on autentne ja seda ei ole rikutud. Teisisõnu aitab lahendus suunata kasutajaid legitiimsetele veebilehtedele. KeyTrapi-nimelist turvanõrkust kasutades on võimalik peatada kõikide haavatavate DNSSECi kontrollivate DNS-serverite töö. See tähendab omakorda seda, et veebilehed, meiliserverid jms, mis nendest DNSSECi teenustest sõltuvad, ei pruugi tavapäraselt enam töötada. KeyTrapi rünnak võib vea avastanud teadlaste hinnangul mõjutada ka populaarseid avalikke DNSSECi valideerimisteenuste pakkujaid (Google ja Cloudflare). Täpsemalt saab turvanõrkuse kohta lugeda viidatult linkidelt (SW, TR, BC).

Microsoft parandas väga kriitilise turvanõrkuse

Microsoft parandas igakuiste tooteparanduste raames 73 haavatavust, nende hulgas kaks nullpäeva turvanõrkust. 73-st parandatud turvaveast hinnati viis haavatavust kriitiliseks. Üheks olulisemaks parandatud turvaveaks on haavatavus tähisega CVE-2024-21413 (tuntud ka kui MonikerLink), mis seab ohtu kõik aegunud Outlooki tarkvara kasutavad kasutajad. See võimaldab ründajal mööda minna “Office Protected View” turvaseadistusest. Ründaja võib ohvrile saata teatud kujul e-kirja ja kui ohver kasutab haavatavat versiooni tarkvarast ning kirja loeb, võib tema masinas käivituda halbade kokkusattumiste tagajärjel pahavara. Samuti on ründajal võimalik varastada ohvriga seotud NTLM-räsisid, mida on potentsiaalselt võimalik edasistes küberrünnetes kuritarvitada. Täpsema nimekirja parandustest leiab lisatud linkidelt (CP, BC, HN).

Adobe parandas enda toodetel vähemalt 30 turvanõrkust

Adobe on välja andnud värskendused, et parandada vähemalt 30 turvanõrkust mitmes laialdaselt kasutatavas tarkvaras, sealhulgas Adobe Acrobat, Reader, Commerce, Magento Open Source jpt. Need vead võivad lubada ründajatel käivitada kahjulikku koodi, turvameetmetest mööda minna või häirida rakenduste tööd. Adobe soovitab kasutajatel need värskendused kiiresti rakendada, et kaitsta end võimalike rünnakute eest. Ettevõtte sõnul ei ole hetkel informatsiooni, et turvanõrkusi oleks suudetud ära kasutada ka reaalsete rünnakute jaoks (SW, Adobe).

Zoomi tarkvaras parandati seitse turvaviga, sh üks kriitiline turvanõrkus

Zoom on parandanud oma Windowsi rakendustes kriitilise turvavea, mille abil võivad häkkerid saada ohvri arvutis kõrgemad õigused. Turvaviga tähistatakse kui CVE-2024-24691 ja see mõjutab mitut Windowsile mõeldud Zoomi rakendust, sealhulgas töölaua- ja VDI-kliente ning Meeting SDK-d. Täpsema nimekirja mõjutatud tarkvaraversioonidest leiab viidatud lingilt. Konkreetse turvavea ärakasutamiseks on vaja kasutajapoolset tegevust, näiteks seda, et kasutaja klõpsaks pahaloomulisel lingil. Lisaks sellele kriitilisele haavatavusele parandatakse Zoomi uusima värskendusegaka kuus muud turvanõrkust. Ettevõte soovitab tarkvara kasutajatel rakendada uuendused esimesel võimalusel (BC, Zoom).

ESET paikas Windowsile mõeldud tarkvaral kõrge mõjuga turvavea

ESET, kes arendab seadmetele viirusetõrjetarkvara, parandas Windowsi arvutitele mõeldud tarkvaral tõsise turvavea. Nimelt võimaldab CVE-2024-0353 tähisega haavatavus ründajatel saada volitamata juurdepääsu kohtadele, kuhu nad ei tohiks pääseda. Haavatavus leiti tarkvara sellest osast, mis kontrollib internetiga seotud võrguliiklust. Täpsem nimekiri mõjutatud tarkvaradest on toodud viidatud linkidel. Ettevõte soovitab rakendada parandused esimesel võimalusel. Viirusetõrjetarkvarades peituvad turvavead on üsna ohtlikud, kuna need tarkvarad vajavad enda tööks süsteemis tavaliselt kõrgendatud õiguseid. See tähendab, et kui ründajal õnnestub viirusetõrjetarkvara kompromiteerida, on tal potentsiaalselt võimalik kõrgendatud õigustega jätkata pahaloomulist tegevust süsteemis, suurendades ohtu lõppkasutajale (SA, ESET).   

Olulisemad turvanõrkused 2024. aasta 6. nädalal

Ivanti teatas uuest turvanõrkusest

Ivanti teatas uuest kõrge kriitilisuse tasemega turvanõrkusest (CVE-2024-22024).  Turvanõrkus võib lubada autentimata juurdepääsu teatud ressurssidele. Haavatavus mõjutab ainult teatud versioone Ivanti tarkvaradest – Ivanti Connect Secure’i versioone 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1, Ivanti Policy Secure versiooni 22.5R1.1 ja ZTA versiooni 22.6R1.3. Ettevõte pakub mõjutatud tarkvaradele turvaparandusi ja soovitab need esimesel võimalusel rakendada.

Ivanti toodetega seotud turvanõrkustest on viimastel nädalatel räägitud palju, näiteks eelmise nädala uudiskirjas kajastasime, kuidas turvavigu tähistega CVE-2024-21888 ja CVE-2024-21893 üritatakse juba rünnete läbiviimiseks ära kasutada. Seetõttu on kõikidel vastavate tarkvarade kasutajatel ääretult oluline jälgida, kas nad on mainitud turvanõrkuste vastu haavatavad. Kui jah, tuleks esimesel võimalusel rakendada avalikustatud turvaparandused (SW, RIA, HN, BC, SA).

Fortinet hoiatab kriitliste turvanõrkuste eest FortiOSi ja FortiSIEMi tarkvarades

Mitmes Fortineti tarkvaras tulid avalikuks kriitilised turvavead. Näiteks leiti FortiOSi tarkvarast kaks kriitilist koodi kaugkäivitamise viga tähistega CVE-2024-21762 ja CVE-2024-23113, mida on ettevõtte sõnul juba rünnetes kuritarvitatud. Turvanõrkus võimaldab autentimata ründajatel käivitada haavatavates süsteemides suvalist koodi. Järgnevatest tabelitest näete, milliseid süsteeme mõlemad turvanõrkused mõjutavad, ja versioone, kus haavatavus on parandatud. Esimene tabel on seotud turvanõrkusega CVE-2024-21762 ja teine tabel turvanõrkusega CVE-2024-23113.

Versioon Mõjutatud Lahendus
FortiOS 7.6 Ei ole mõjutatud
FortiOS 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiOS 7.2 7.2.0 kuni 7.2.6 Uuendage versioonile 7.2.7 või uuemale
FortiOS 7.0 7.0.0 kuni 7.0.13 Uuendage versioonile 7.0.14 või uuemale
FortiOS 6.4 6.4.0 kuni 6.4.14 Uuendage versioonile 6.4.15 või uuemale
FortiOS 6.2 6.2.0 kuni 6.2.15 Uuendage versioonile 6.2.16 või uuemale
FortiOS 6.0 Kõik 6.0 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiProxy 7.2 7.2.0 kuni 7.2.8 Uuendage versioonile 7.2.9 või uuemale
FortiProxy 7.0 7.0.0 kuni 7.0.14 Uuendage versioonile 7.0.15 või uuemale
FortiProxy 2.0 2.0.0 kuni 2.0.13 Uuendage versioonile 2.0.14 või uuemale
FortiProxy 1.2 Kõik 1.2 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 1.1 Kõik 1.1 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 1.0 Kõik 1.0 versioonid Uuendage ühele eelnevalt mainitud versioonile.
CVE-2024-21762 turvanõrkusest mõjutatud Fortineti tarkvarade versioonid
Versioon Mõjutatud Lahendus
FortiOS 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiOS 7.2 7.2.0 kuni 7.2.6 Uuendage versioonile 7.2.7 või uuemale
FortiOS 7.0 7.0.0 kuni 7.0.13 Uuendage versioonile 7.0.14 või uuemale
FortiPAM 1.2 1.2.0 Uuendage versioonile 1.2.1 või uuemale.
FortiPAM 1.1 1.1.0 kuni 1.1.2 Uuendage versioonile 1.1.3 võ uuemale
FortiProxy 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiProxy 7.2 7.2.0 kuni 7.2.8 Uuendage versioonile 7.2.9 või uuemale
FortiProxy 7.0 7.0.0 kuni 7.0.14 Uuendage versioonile 7.0.15 või uuemale
FortiSwitchManager 7.2 7.2.0 kuni 7.2.3 Uuendage versioonile 7.2.4 või uuemale versioonile
FortiSwitchManager 7.0 7.0.0 kuni 7.0.3 Uuendage versioonile 7.0.4 või uuemale versioonile
CVE-2024-23113 turvanõrkusest mõjutatud Fortineti tarkvarade versioonid

Lisaks avastati Fortineti FortiSIEMi tarkvaras samuti kaks kriitilist turvaviga, mille kaudu on võimalik pahaloomulist koodi käivitada. Haavatavused on tähistega CVE-2024-23108 ja CVE-2024-23109 ning on hinnatud suurima võimaliku CVSS skooriga 10/10.

Turvanõrkused on parandatud järgnevates FortiSIEMi versioonides:

FortiSIEMi versioon 7.1.2 või hilisem

FortiSIEMi versioon 7.2.0 või hilisem

FortiSIEMi versioon 7.0.3 või hilisem

FortiSIEMi versioon 6.7.9 või hilisem

FortiSIEMi versioon 6.6.5 või hilisem

FortiSIEMi versioon 6.5.3 või hilisem

FortiSIEMi versioon 6.4.4 või hilisem

Soovitame kõikidel, kes mõjutatud tarkvarasid kasutavad, turvauuendused esimesel võimalusel rakendada, sest haavatavad Fortineti süsteemid on tihti olnud ründajate sihtmärkideks (BC, BC, Fortinet, Fortinet).

Androidile avalikustatud tarkvarauuendus parandab kriitilise turvavea

Google on kõrvaldanud Androidi operatsioonisüsteemil 2024. aasta veebruari turvaparandustega 46 turvaauku, sealhulgas kriitilise koodi kaugkäitusega seotud vea (CVE-2024-0031), mis mõjutab Androidi versioone 11–14. See konkreetne süsteemi komponendis leitud viga võib anda ründajatele võimaluse koodi kaugkäivitada ilma kõrgendatud õiguseid omamata. Turvaparandused kõrvaldavad ka muid õiguste tõstmise ja võimalike andmeleketega seotud turvavigu. Uuenduste olemasolul soovitame need esimesel võimalusel rakendada (SW).

Avastatud turvanõrkuste hulk kasvas neljandat aastat järjest

Qualyse avaldatud ülevaatest selgub, et avastatud turvanõrkuste koguhulk kasvas 2023. aastal neljandat aastat järjest, ulatudes ligi 26 500ni. See number on 1500 võrra suurem kui 2022. aastal. Lisaks juhiti raportis tähelepanu sellele, et:

  • Vähem kui üks protsent haavatavustest olid suurima võimaliku riskiskooriga, kuid neid kuritarvitati siiski aktiivselt.
  • 97 kõrge riskiskooriga turvaauku, mida tõenäoliselt ära kasutatakse, ei kuulunud CISA ärakasutatud haavatavuste (KEV) andmekataloogi.
  • 25 protsenti nendest turvaaukudest üritati ära kasutada samal päeval, kui haavatavus ise avalikustati.
  • 1/3 kõrge riskiskooriga haavatavustest mõjutasid võrguseadmeid ja veebirakendusi.

Täpsemalt saab ülevaatega tutvuda siin.

Canoni printeritel parandati seitse kriitilist turvanõrkust

Canon on värskendanud printerite tarkvara, et parandada seitse kriitilist turvaauku erinevates kontorite jaoks mõeldud printerites. Turvanõrkused võivad võimaldada pahaloomulist koodi käivitada või printerite tööd häirida, kui need on otse internetiga ühendatud. Turvanõrkused mõjutavad printerite püsivara versiooni 03.07 ja varasemaid versioone. Ettevõte ei ole teadlik, et haavatavusi oleks suudetud ära kasutada, kuid palub printerite kasutajatel siiski seadmed esimesel võimalusel uuendada (Canon, SW).

Microsoft Azure’i HDInsight teenusel leiti kolm uut turvaviga

Teadlased leidsid Microsoft Azure’i HDInsighti teenuses kolm uut turvaviga, mis mõjutavad jõudlust ja võivad lubada volitamata kontrolli mõjutatud süsteemide üle. Üks haavatavus võib põhjustada teenuste töös tõrkeid ja kahe abil on võimalik suurendada mõjutatud süsteemis kasutajaõigusi või saada ligipääs tundlikele andmetele. Turvanõrkustele on olemas parandused, kuid HDInsight teenuse eripära tõttu on paranduste rakendamiseks vaja luua uusima versiooniga uus klaster (DR).

Cisco parandas võrguseadmetel kriitilised turvanõrkused

Cisco on parandanud Cisco Expresswayd kasutavatel võrguseadmetel kolm haavatavust, mis lubavad ründajatel petta legitiimseid kasutajaid tegema muudatusi, mida nad ei kavatsenud teha, nagu volitamata kasutajate lisamine või seadete muutmine seda mõistmata. Antud haavatavused on eriti salakavalad, kuna need tuginevad legitiimsete kasutajate usalduse ja lubade väärkasutamisel. Cisco soovitab mõjutatud seadmete kasutajatel värskendada need uusimale versioonile, et kaitsta end võimalike küberrünnakute eest (BP).