Monthly Archives: July 2024

Olulisemad turvanõrkused 2024. aasta 27. nädalal

Miljonid OpenSSH serverid on koodi kaugkäivitamise veale haavatavad

Qualysi küberturbeteadurite sõnul on potentsiaalselt 14 miljonit OpenSSH serverit ohus koodi kaugkäivitamist võimaldava vea tõttu, mida nimetatakse regreSSHion. Shodani ja Censys andmete põhjal on internetile avatud enam kui 14 miljonit seadet. Turvaviga tähisega CVE-2024-6387 võimaldab autentimata ründajal saada juurõigused ja käivitada pahaloomulisi käske ning seejärel võtta kontrolli kogu süsteemi üle. Lisaks on võimalik eduka ründe korral ohvri süsteemi paigaldada pahavara ja tagauksi. Turvaviga on võrreldud ka 2021. aastal avalikuks tulnud Log4Shell haavatavusega – teadurite sõnul on regreSSHion sama tõsise ja kriitilise mõjuga.

Viga mõjutab OpenSSH versioone 8.5p1 kuni 9.7p1 ning on parandatud versioonis 9.8p1. Täpsemalt mõjutab haavatavus glibc-põhiseid Linuxi süsteeme ning hetkel ei ole teada, et seda oleks võimalik kuritarvitada Windowsi või macOSi süsteemides.

Qualys on küll avaldanud tehnilist teavet turvavea kohta, kuid kontseptsiooni tõendust ei ole avalikuks tehtud, et vältida rünnete kasvu (SA, SW, ZDNET).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 25 turvaviga, nende hulgas oli kriitiline haavatavus Frameworki komponendis. Turvaviga tähisega CVE-2024-31320 võib kaasa tuua õigustega manipuleerimise ja mõjutab Androidi versioone 12 ning 12L. Suurem osa vigadest on hinnatud suure mõjuga haavatavusteks.

Sel korral ei avaldatud koos turvauuendusega Pixeli seadmete paikasid – ka eelmisel kuul said need avalikuks umbes kaks nädalat peale Androidi seadmete uuendamist.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Cisco paikas nullpäeva turvanõrkuse

Cisco parandas NX-OS tarkvaras nullpäeva turvanõrkuse tähisega CVE-2024-20399, mis võimaldab ründajal käivitada operatsioonisüsteemis suvalisi käsklusi.

Viga mõjutab järgmisi Cisco seadmeid:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode.

Kuna turvanõrkuse ärakasutamiseks peavad ründajal olema administraatoriõigused, siis on seda hinnatud keskmise mõjuga haavatavuseks CVSS skooriga 6.0/10.

Hiinast pärit häkkerite rühmitus Velvet Ant on juba asunud haavatavust kuritarvitama ning kõik Cisco seadmete kasutajad peaks tarkvara uuendama (DR).

Polyfill[.]io rünnak mõjutab ligi 400 000 hosti

Juuni lõpus avalikuks tulnud Polyfill[.]io tarneahela rünnak on palju laiema ulatusega kui esialgu arvati. Nüüdseks on selgunud, et enam kui 380 000 hosti suunavad kasutajaid pahaloomulisele domeenile. Nende hulgas on ka suurte ettevõtete nagu Mercedes-Benz ja WarnerBros domeenid.

Juuni lõpus tuli avalikuks info, et Hiina ettevõte Funnull on ostnud Polyfill.io teenuse ja muutnud seal kasutusel olevat JavaScripti teeki nii, et veebilehtede kasutajad suunatakse ümber pahatahtlikele või kelmusega tegelevatele saitidele. Kuna Polyfill.js on populaarne avatud lähtekoodiga teek vanemate brauserite toetamiseks, siis mõjutab see suurt hulka kasutajaid.

Turvaeksperdid soovitavad veebisaitide omanikel ettevaatusabinõuna oma koodibaasist eemaldada kõik viited hostile polyfill.io ja sellega seotud domeenidele (HN, Censys).

Apache parandas kriitilise turvavea Apache HTTP Serveris

Viga tähisega CVE-2024-39884 mõjutab Apache HTTP Serveri tarkvara ning selle kaudu on võimalik saada ligipääs lähtekoodile. Lisaks paigati veel mitmeid teisi haavatavusi, mis võimaldavad ründajatel teenuseid tõkestada, koodi kaugkäivitada ja saada volitamata juurdepääsu süsteemidele.

Apache Foundation soovitab kasutajatel uuendada tarkvara versioonile 2.4.61, kus turvavead on paigatud (SA).

Olulisemad turvanõrkused 2024. aasta 26. nädalal

Google Chrome parandas neli kriitilist haavatavust

Google andis välja neli Chrome’i turbeuuendust, parandamaks turvanõrkused tähistega CVE-2024-6290 kuni CVE-2024-6293. Haavatavused mõjutavad populaarse brauseri Dawni ja Swiftshaderi komponente. Ettevõtte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada, ent soovitame uuendada Chrome’i esimesel võimalusel. Google Chrome tuleks Windowsi ja macOSi kasutajatel uuendada versioonile 126.0.6478.126/127 ja Linuxi kasutajatel versioonile 126.0.6478.126 (SW).

Juniper Networks paikas kriitilise turvavea

Juniper Networks paikas kriitilise turvavea tähisega CVE-2024-2973, mis võimaldab ründajal autentimisest mööda minna ja saada kontroll seadme üle. Viga on paigatud Session Smart Routeri versioonides 5.6.15, 6.1.9-lts ja 6.2.5-sts ning WAN Assurance Routersi versioonides SSR-6.1.9 ja SSR-6.2.5.

Kuna Juniperi seadmed ja haavatavused on varasemalt olnud ründajate sihtmärgiks, siis soovitame tarkvara uuendada niipea kui võimalik. Näiteks eelmisel aastal rünnati sama ettevõtte haavatavusi, mis mõjutasid EXi lüliteid ja SRXi tulemüüre (BC, Juniper).

Apple paikas AirPodside turvanõrkuse, mis võimaldab pealtkuulamist

Turvaviga tähisega CVE-2024-27867 mõjutab Apple Airpodsi kõrvaklappide versioone AirPods (2nd generation ja uuemad), AirPods Pro, AirPods Max, Powerbeats Pro ja Beats Fit Pro. Turvavea eduka ärakasutamise korral võib ründaja võltsida ühendatavat Bluetoothi seadet ja saada ligipääsu ohvri kõrvaklappidele ning seejärel kõnesid pealt kuulata. Kõigil Apple’i kõrvaklappide kasutajatel tuleks tarkvara uuendada. Haavatavuse parandamiseks tuleks rakendada AirPodsi tarkvara uuendus 6A326 või 6F8 ja Beatsi tarkvara uuendus 6F8 (HN, Apple).

Rünnak nimega GrimResource kasutab võrkude murdmiseks MSC-faile ja Windows XSS-i viga

GrimResource’i rünnak algab pahatahtliku MSC (Microsoft Saved Console)-failiga, mis kasutab ära juba aastast 2018 teada olevat XSS-i haavatavust ‘apds.dll’ teegis. MSC (.msc) failitüüpi kasutatakse Microsofti halduskonsoolis (MMC) operatsioonisüsteemi haldamiseks või tööriistade kohandatud vaadete loomiseks. Ründajate levitatav pahatahtlik MSC-fail sisaldab StringTable-viidet haavatavale APDS-i ressursile ning kui sihtmärk selle avab, on võimalik käivitada URL-i kaudu suvalist JavaScripti (BC).

Ollama tehisintellekti infrastruktuuri tööriistas avastati kriitiline koodi kaugkäivitamist võimaldav haavatavus

Ollama on teenus suurte keelemudelite (LLM) pakendamiseks, juurutamiseks ja käitamiseks Windowsi, Linuxi ja macOSi seadmetes. Kriitiline haavatavus tähisega CVE-2024-37032 võimaldab ründajal kirjutada üle suvalisi serveris olevaid faile ning kaugkäivitada koodi. Viga on paigatud tarkvara versioonis 0.1.34 (HN).

Kriitiline GitLabi turvaviga võimaldab ründajal saada kõrgemad õigused

Kriitiline GitLabi turvaviga mõjutab teatud GitLab Community ja Enterprise Editioni tooteid ning võimaldab kasutajal saada kõrgemad õigused. Turvanõrkus tähisega CVE-2024-5655 on hinnatud kriitilise CVSS skooriga 9.6/10. Haavatavus mõjutab GitLabi versioone CE/EE alates 15.8 kuni 16.11.4, 17.0.0 kuni 17.0.2 ja 17.1.0 kuni 17.1.0. Viga on parandatud GitLabi versioonides 17.1.1, 17.0.3 ja 16.11.5. Lisaks nimetatud haavatavusele paigati veel 13 turvaviga, millest kolm on hinnatud suure mõjuga nõrkuseks. GitLab soovitab kõigil kasutajatel uuendada tarkvara esimesel võimalusel (BC).