Monthly Archives: June 2024

Olulisemad turvanõrkused 2024. aasta 25. nädalal

VMware paikas oma toodetes haavatavusi

VMware paikas kaks kriitilist haavatavust, mis mõjutavad vCenter Serveri tarkvara. vCenter Server on haldustarkvara, mida kasutatakse VMware’i virtualiseeritud keskkondade haldamiseks. Mõlemad haavatavused tähistega CVE-2024-37079 ja CVE-2024-37080 on hinnatud kriitilise CVSS skooriga 9.8/10. Eduka ründe korral on võimalik nende abil koodi kaugkäivitada. Haavatavused on paigatud vCenteri versioonides 8.0 ja 7.0, samuti Cloud Foundationi versioonides 5.x ja 4.x.

Lisaks paikas ettevõtte ka kõrge mõjuga turvavea tähisega CVE-2024-37081, mille kaudu on autentimata ründajal võimalik saada juurkasutaja õigused vCenter Serveri tarkvaras.

Kuna erinevad VMware’i tooted on laialdaselt kasutusel, siis on need ka varasemalt osutunud ründajate sihtmärgiks. Nende haavatavuste kaudu on potentsiaalselt võimalik saada ligipääs ettevõtete tundlikule infole, mistõttu on oluline tarkvara värskendada esimesel võimalusel (SCM, SA).

Google avaldas uue Chrome’i versiooni

Google avaldas Chrome’i versiooni 126 Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Parandatud turvanõrkuste seas on neli kõrge mõjuga turvaviga. Üks neist on haavatavus tähisega CVE-2024-6100, mida esitleti TyphoonPWN 2024 häkkimisvõistlusel. Ettevõtte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada.

Soovitame uuendada Chrome’i esimesel võimalusel – Windowsi ja macOSi kasutajad versioonile 126.0.6478.114/115 ning Linuxi kasutajad 126.0.6478.114 (SA, SW).

Atlassian paikas oma toodetes mitmeid kõrge mõjuga haavatavusi

Atlassian parandas mitu kõrge mõjuga haavatavust, mis mõjutavad ettevõtte tarkvarasid Confluence, Crucible ja Jira.

Näiteks Confluence Data Center and Serveri tarkvaras paigati kuus turvaviga, mis on parandatud tarkvara versioonides 8.9.3, 8.5.11 (LTS) ja 7.19.24 (LTS).

Crucible Data Center and Server tuleks uuendada versioonile 4.8.15 või uuemale. Jira Data Center and Serveri vead on paigatud versioonides 9.16.0, 9.16.1, 9.12.8, 9.12.10 (LTS), 9.4.21 ja 9.4.23 (LTS).

Atlassian ei maini, et nimetatud turvanõrkusi oleks õnnestunud kuritarvitada. Soovitame samas kõigil Atlassiani toodete kasutajatel uuendada tarkvara viimasele versioonile, kuna need on olnud varasemalt ründajate sihtmärkideks (SW, SA, Atlassian).

Adobe Commerce’i ja Magento veebilehed on turvanõrkuse tõttu ohus

CosmicStingi-nimeline turvanõrkus mõjutab suurt osa Adobe Commerce’i ja Magento veebilehti – hetkel on arvatavalt ohus miljonid veebilehed. Nimetatud tarkvarasid kasutavad e-poed üle maailma ja kolm neljandikku neist ei ole veel turvauuendusi rakendanud. Haavatavus tähisega CVE-2024-34102 võimaldab koodi käivitada ja on hinnatud kriitilise CVSS skooriga 9.8/10. Sanseci hinnangul on tegemist ühe kriitilisema turvaveaga viimase kahe aasta jooksul, mis mõjutab Magento ja Adobe Commerce’i tarkvarasid.

Viga on paigatud järgmistes tarkvarade versioonides:

  • Adobe Commerce 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce Extended Support 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
  • Magento Open Source 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce Webhooks Plugin version 1.5.0

Kõigil Adobe Commerce’i ja Magento Open Source’i tarkvarade kasutajatel tuleks teha turvauuendus (BC, Sansec).

Ligikaudu 150 000 ASUSe ruuterit on turvanõrkuse tõttu ohus

Kriitiline turvanõrkus tähisega CVE-2024-3080 tuli avalikuks juuni keskpaigas ja see võimaldab ründajal autentimisest mööda minna. Kirjutasime turvaveast ka siin blogis. Veale on olemas parandus 14. juunist, kuid paljud ASUSe ruuterite kasutajad ei ole veel oma seadme tarkvara uuendanud. Vähemalt 150 000 ruuterit on uuendamata takrvaraga ja seetõttu kriitilisele turvanõrkusele haavatavad (CSD).

Olulisemad turvanõrkused 2024. aasta 24. nädalal

Microsoft paikas oma toodetes 51 haavatavust

Microsoft parandas kokku 51 haavatavust, mille hulgas oli 18 koodi kaugkäivitamist võimaldavat turvaviga. Parandatud turvanõrkustest on vaid üks hinnatud kriitilise mõjuga veaks.

Paigati ka üks nullpäeva turvanõrkus tähisega CVE-2023-50868, mis on seotud DNSSECi valideerimisega. Lisaks paigati seitse turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

Adobe paikas kriitilised turvavead oma tarkvarades

Adobe paikas oma toodetes kokku 166 turvaviga. Näiteks parandati üle kümne kriitilise ja olulise turvavea tarkvarades Adobe Commerce, Magento Open Source ja Adobe Commerce Webhooks Plugin.

Lisaks paigati ka mitmeid haavatavusi, mis mõjutavad tarkvarasid Adobe Photoshop, Adobe Audition, Adobe Media Encoder, Adobe FrameMaker Publishing Server, Adobe Commerce, Adobe ColdFusion, Adobe Substance 3D Stager, Adobe Creative Cloud Desktop ja Adobe Acrobat Android.

Ettevõte hoiatab, et turvanõrkuste ärakasutamine võib kaasa tuua suvalise koodi käivitamise Windowsi ja macOSi platvormidel. Adobe’i teatel pole haavatavusi rünnete läbiviimisel veel kuritarvitatud (SW).

Nvidia paikas suure mõjuga GPU-draiverite turvanõrkused

NVIDIA avalikustas turvauuendused, millega parandatakse kokku kümme haavatavust GPU-draiverite ja virtuaalse GPU (vGPU) tarkvarades. Nende hulgas on suure mõjuga vead, mis võimaldavad ründajal koodi käivitada, teenuse tööd häirida ja õigustega manipuleerida. Vead mõjutavad nii Windowsi kui ka Linuxi operatsioonisüsteeme. Turvavead on paigatud GPU-draiveri tarkvara versioonides R555, R550, R535 ja R470 ning kasutajatel soovitatakse tarkvara uuendada niipea kui võimalik (SW, Nvidia).

Fortinet paikas FortiOSi koodi käivitamise turvavea

Fortinet paikas oma toodetes mitmeid haavatavusi, mille hulgas ka suure mõjuga koodi käivitamise viga tähisega CVE-2024-23110. Ettevõtte sõnul võimaldab turvaviga autentimata ründajal suvalist koodi või käsklusi käivitada. Viga mõjutab FortiOSi versioone 6.x ja 7.x ning on parandatud FortiOS versioonides 6.2.16, 6.4.15, 7.0.14, 7.2.7 ja 7.4.3.

Ettevõte parandas ka keskmise mõjuga haavatavuse  tähisega CVE-2024-26010, mis mõjutab tarkvarasid FortiOS, FortiProxy, FortiPAM ja FortiSwitchManager. Selle kaudu on samuti võimalik ründajatel kaugelt suvalist koodi või käsklusi käivitada.

Soovitame kõigil Fortineti toodete kasutajatel tarkvara uuendada, kuna varasemalt on nende tarkvarade turvanõrkused olnud tihti ründajate sihtmärgiks (SW).

Apple paikas Vision Pro turvanõrkuse

Apple paikas eelmisel nädalal visionOSi turvanõrkuse tähisega CVE-2024-27812, mis mõjutab nende Vision Pro virtuaalreaalsuse peakomplekti. Tegemist võib olla esimese haavatavusega, mis taolisi seadmeid mõjutab. Nimetatud turvaviga koos paljude teistega on paigatud visionOSi versioonis 1.2.

VisionOS 1.2 parandab peaaegu kaks tosinat turvaauku. Suurem osa neist mõjutab komponente, mida visionOS jagab teiste Apple’i toodetega, nagu iOS, macOS ja tvOS. Haavatavused võivad kaasa tuua suvalise koodi käivitamise, teabe avaldamise, õigustega manipuleerimise ja teenuste tõkestamise (SW, Apple).

Google hoiatab Pixeli nutiseadmete turvanõrkuse eest

Google andis välja turvauuenduse, millega paigatakse 50 haavatavust Pixeli seadmetes. Ettevõtte teatel on nende hulgas ka nullpäeva turvanõrkus tähisega CVE-2024-32896, mida on õnnestunud rünnetes ära kasutada. Turvaviga võimaldab õigustega manipuleerida ja seda on hinnatud kõrge mõjuga haavatavuseks.

Google on märkinud, et nad näevad turvavea ärakasutamist sihitud rünnetes. Lisaks nimetatud nullpäeva turvaveale paigati veel mitmeid kriitilisi haavatavusi.

Turvauuendus on saadaval järgmistele Pixeli seadmetele: Pixel 5a with 5G, Pixel 6a, Pixel 6, Pixel 6 Pro, Pixel 7, Pixel 7 Pro, Pixel 7a, Pixel 8, Pixel 8 Pro, Pixel 8a ja Pixel Fold. Kõigil kasutajatel soovitatakse Pixeli seadmed uuendada versioonile 2024-06-05 (BC, HN, Android).

Ivanti turvanõrkusele avaldati kontseptsiooni tõendus

Teadurid avalikustasid kontseptsiooni tõenduse (proof-of-concept), mis näitab kuidas on võimalik Ivanti Endpoint Manageri tarkvaras olevat turvaviga tähisega CVE-2024-29824 rünnetes ära kasutada. Tõenäoliselt suurendab see rünnete arvu, mis nimetatud haavatavust ära kasutavad.

Haavatavus võimaldab autentimata ründajal käivitada pahaloomulisi SQLi käsklusi ja on seetõttu hinnatud kriitilise CVSS skooriga 9.8/10. Turvaveale on olemas parandus juba maikuust. Sel aastal on avalikuks tulnud mitmeid Ivanti nullpäeva turvanõrkusi ja ründajad on need ka korduvalt sihikule võtnud. Seetõttu soovitame kõigil Ivanti toodete kasutajatel tarkvara uuendada esimesel võimalusel (DR).

ASUS paikas ruuterites kriitilise turvavea

Turvaviga tähisega CVE-2024-3080 on hinnatud kriitilise CVSS skooriga 9.8/10, kuna see võimaldab ründajal autentimisest mööda minna. Turvaviga mõjutab seitset ASUSe ruuterit: XT8 (ZenWiFi AX XT8), XT8_V2 (ZenWiFi AX XT8 V2), RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U ja RT-AC68U. Lisaks paigati veel teine kriitiline haavatavus tähisega CVE-2024-3912, mille kaudu on võimalik pahaloomulist tarkvara üles laadida.

Ettevõte soovitab kõigil ASUSe ruuterite kasutajatel tarkvara uuendada. Kui see ei ole võimalik, siis tuleks tagada, et konto ja WiFi-paroolid oleksid tugevad (SA, BC).

Olulisemad turvanõrkused 2024. aasta 23. nädalal

Atlassian paikas suure mõjuga Confluence’i turvavea

Atlassiani tarkvarad Confluence Data Center ja Server on haavatavad suure mõjuga koodi kaugkäivitamise veale tähisega CVE-2024-21683. Viga on hinnatud CVSS skooriga 8.3/10 ja mõjutab kõiki Confluence Data Centeri versioone alates 5.2 kuni 8.9.0.

Turvaviga on võrdlemisi lihtne ära kasutada, kuna see ei vaja kasutajapoolset tegevust, kuid see ei ole hinnatud kriitiliseks, sest enne edukat rünnet on vaja täita mitu eeltingimust:

  • ründaja peab olema Confluence’i sisse logitud;
  • ründajal peab olema piisavalt õigusi, et lisada uusi makrokeeli;
  • pahatahtlikku koodi sisaldav JavaScripti fail tuleb üles laadida kindlasse jaotisesse (Configure Code Macro > Add a new language).

Haavatavus on paigatud Confluence Data Centeri versioonides 8.9.1, 8.5.9 LTS ja 7.19.22 LTS.

Veale on juba avaldatud ka kontseptsiooni tõendus ja seetõttu on eriti oluline kõigil kasutajatel tarkvara uuendada esimesel võimalusel. On tõenäoline, et nimetatud haavatavus satub peagi rünnete sihtmärgiks (HNS, SW).

Androidi seadmetes paigati 37 haavatavust

Androidi nutiseadmetes paigati 37 turvaviga, nende hulgas oli ka mitu kõrge mõjuga haavatavust, mis võivad kaasa tuua õigustega manipuleerimise. Hetkel teadaolevalt ei ole õnnestunud neid turvanõrkusi kuritarvitada. Soovitame Androidi nutiseadmete tarkvara uuendada siiski esimesel võimalusel. Pixeli ega Pixel Watchi seadmetes sel kuul haavatavusi ei parandatud. (SW, Android)

Zyxel paikas turvanõrkused NAS-seadmetes

Zyxel paikas viis kriitilist turvaviga NAS-seadmetes, mis on jõudnud oma kasutusea lõppu. Haavatavused mõjutavad NAS326 seadmeid tarkvara versiooniga V5.21(AAZF.16)C0 ja vanemad ning NAS542 seadmeid tarkvara versiooniga V5.21(ABAG.13)C0 ja vanemad.

Vead on paigatud tarkvara versioonides V5.21(AAZF.17)C0 ja V5.21(ABAG.14)C0. Eduka ründe korral võib autentimata kasutaja käivitada operatsioonisüsteemi käske ja suvalist koodi (HN).

Rünnakud Check Pointi VPNi vastu on tõusnud pärast nullpäeva haavatavuse avalikustamist

Mõned nädalad tagasi tuli avalikuks Check Pointi VPNi nullpäeva turvanõrkus, mida on nüüdseks aktiivselt ära kasutatud. Tegemist on suure mõjuga turvanõrkusega, mille kaudu on võimalik saada ligipääs tundlikule infole ja domeeni administraatori õigused.

Üks monitooringufirma nägi, et eelmisel nädalal prooviti haavatavust tähisega CVE-2024-24919 rünnata enam kui 780-lt erinevalt IP-aadressilt.

Turvanõrkus mõjutab Check Pointi CloudGuard Networki, Quantum Maestro, Quantum Scalable Chassisi, Quantum Security Gateway ja Quantum Sparki seadmete erinevaid tarkvara versioone. Kõik mõjutatud tooted on IPsec VPN-funktsiooniga Check Pointi turvalüüsid. WatchTowri teadurite hinnangul on viga lihtne leida ja väga lihtne ära kasutada, kuna selleks ei ole vaja eriõigusi ega kasutajapoolset sekkumist.

Check Point soovitab kõigil oma klientidel tarkvara uuendada (DR).

PHP paikas kriitilise turvavea, mis võimaldab koodi kaugkäivitada

Teadurid avastasid kriitilise koodi kaugkävitamise turvavea tähisega CVE-2024-4577 PHP-programmeerimiskeeles. Haavatavus mõjutab miljoneid servereid üle maailma ja võimaldab autentimata ründajal saada kontroll serveri üle. Turvaviga esineb kõigis PHP versioonides alates 5.x.

Erinevad küberturbega tegelevad ettevõtted on juba oma monitooringutes näinud katseid turvavea kuritarvitamiseks. Turvaveale on ka avaldatud kontseptsiooni tõendus, mis tõenäoliselt suurendab ründekatseid. Kuna tegemist on väga laialdaselt kasutusel oleva programmeerimiskeelega, siis võib eeldada, et turvauuenduste rakendamine võtab kaua aega ja suur hulk süsteeme on veel pikalt rünnakute suhtes haavatavad.

Turvaveale on olemas parandus alates 6. juunist ja kõigil kasutajatel soovitatakse PHP uuendada versioonidele 8.3.8, 8.2.20 ja 8.1.29. Kui ei ole võimalik tarkvara uuendada, siis on olemas ka leevendavad meetmed, mis on kirjeldatud lisatud lingil (SA, BC).

Synnovisi lunavararünnak häiris Londoni haiglate tööd

Mitmed Londoni suuremad haiglad kuulutasid välja kriitilise intsidendi pärast seda, kui küberrünnak tõi kaasa operatsioonide katkestamise ja erakorraliste patsientide mujale suunamise. Intsident mõjutas haiglaid, mille partneriks on Synnovis, kes pakub neile patoloogiateenuseid. Synnovist tabas lunavararünnak, mistõttu pidid haiglad end oma teenuspakkuja serverite küljest lahti ühendama.

NHSi (National Health Service) sõnul kiirabi ja erakorraline meditsiiniabi pakkumine jätkub, kuid nende töö on samuti häiritud, sest kiire vereanalüüsi teenus ei ole saadaval.

Ühendkuningriigi küberameti National Cyber Security Centre’i (NCSC) sõnul on ründe taga Vene päritolu küberrühmitus (BBC, BC, BC).