Olulisemad turvanõrkused 2024. aasta 35. nädalal

Google paikas Chrome’i veebilehitsejas taas nullpäeva turvanõrkuse

Tegemist on juba kümnenda sel aastal parandatud nullpäeva turvanõrkusega Chrome’i veebilehitsejas. Google’i teatel on turvaviga tähisega CVE-2024-7965 rünnetes ka ära kasutatud. Uuendusega paigati kokku 37 turvaviga, nende hulgas oli ka eelmisel nädalal avalikuks tulnud nullpäeva turvanõrkus CVE-2024-7971. Kuus turvaviga on hinnatud suure mõjuga haavatavuseks.

Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 (Linux) või 128.0.6613.84/.85 (Windows, Mac) esimesel võimalusel.

Eelmisel nädalal avaldati ka uudis, et Google maksab turvanõrkuste avastajatele kuni 250 000 USA dollari suurust preemiat (HN, BC, Chrome, BC).

Miljon WordPressi veebilehte on ohus turvanõrkuse tõttu

Kriitiline turvanõrkus tähisega CVE-2024-6386 mõjutab pistikprogrammi WPML multilingual plugin for WordPress, mis on kasutusel miljonil WordPressi veebilehel. Tegemist on populaarse pluginaga, mille kaudu saab luua 65 erinevas keeles veebilehti. Haavatavuse kaudu on võimalik ründajal pahaloomulist koodi kaugkäivitada ja seeläbi veebileht kompromiteerida. Turvaviga on hinnatud kriitilise CVSS skooriga 9.9/10 ja sellele on olemas ka kontseptsiooni tõendus, mis näitab, kuidas on võimalik turvaviga ära kasutada.

Viga on parandatud tarkvara versioonis 4.6.13. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW, SA).

Cisco paikas mitmeid turvanõrkuseid NX-OS tarkvaras

Cisco paikas oma toodetes kokku kuus haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2024-20446, mis võimaldab autentimata ründajal põhjustada teenusekatkestuse. DHCPv6-sõnumite konkreetsete väljade vale käsitlemine võimaldab ründajal saata pahaloomulisi pakette haavatava seadme IPv6-aadressile. Ettevõte sõnul mõjutab haavatavus vaid Nexus 3000, 7000 ja 9000 seeriate lüliteid ja seda teatud tingimuste täitmisel.

Lisaks paigati kaks keskmise mõjuga viga Application Policy Infrastructure Controlleri (APIC) tarkvaras. Hetkel teadaolevalt ei ole haavatavusi ära kasutatud (SW, Cisco).

Fortra paikas turvavead FileCatalyst Workflow tarkvaras

Fortra parandas FileCatalyst Workflow tarkvaras kaks haavatavust, millest üks on kriitilise mõjuga. Turvaviga tähisega CVE-2024-6633 on hinnatud kriitilise CVSS skooriga 9.8/10 ja selle kaudu on võimalik autentimata ründajal saada andmebaasile juurdepääs, muuta või filtreerida seal olevaid andmeid ning luua uusi administraatorikontosid. Teine paigatud viga tähisega CVE-2024-6632 võimaldab SQL-käsklusi käivitada.  

Vead mõjutavad  kõiki FileCatalyst Workflow versioone kuni 5.1.6. Fortra soovitab klientidel uuendada FileCatalyst Workflow versioonile 5.1.7 või uuemale. Hetkel ei ole teada, kas nimetatud vigasid on õnnestunud kuritarvitada (SA, SW).

Olulisemad turvanõrkused 2024. aasta 34. nädalal

Mitmed macOS-ile mõeldud Microsofti rakendused on haavatavad rünnakutele

Cisco Talose teadlased avastasid, et ründajad saavad kuritarvitada macOS-i jaoks mõeldud populaarsete Microsofti rakenduste haavatavusi video- ja heliklippide salvestamiseks, pildistamiseks, andmetele juurdepääsuks ning e-kirjade saatmiseks. Turvavead leiti tarkvarade Microsoft Teams, OneNote, Outlook, Word, Excel ja Powerpoint macOSi jaoks loodud versioonidest. Turvavead võimaldavad ründajatel sisestada rakenduse tööprotsessidesse pahatahtlikku teeki. Hetkel on paigatud Teamsi ja OneNote’i turvavead, kuid Microsofti sõnul ei ole tegemist tõsiste turvavigadega ja nad ei plaani teistes tarkvarades olevaid vigu parandada (HNS, DR).

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 100 000 WordPressi veebilehe on mõjutatud GiveWP pistikprogrammis olevast kriitilisest haavatavusest tähisega CVE-2024-5932, mille kaudu võib ründaja käivitada suvalist koodi ja kustutada veebilehel olevaid faile. Samuti on võimalik veebileht täielikult üle võtta ja kogu seal olev info kustutada. Haavatavus on hinnatud maksimaalse CVSS skooriga 10/10.

GiveWP puhul on tegemist populaarse annetamise ja raha kogumise pistikprogrammiga, millel on üle 100 000 aktiivse kasutaja.

Viga mõjutab kõiki plugina versioone kuni 3.14.1 ja on parandatud versioonis 3.14.2. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (SW).

Google paikas Chrome’i veebilehitsejas selle aasta üheksanda nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-7971 juba rünnetes ära kasutatud. Lisaks nullpäeva turvanõrkusele paigati veel 37 haavatavust. Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 esimesel võimalusel. Tegemist on üheksanda Chrome’i nullpäeva turvanõrkusega sel aastal (BC, Chrome).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-6800 on hinnatud kriitilise CVSS skooriga 9.5/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.14 ja on paigatud versioonides 3.13.3, 3.12.8, 3.11.14 ja 3.10.16. Lisaks nimetatud veale paigati veel kaks keskmise mõjuga haavatavust (CVE-2024-7711 ja CVE-2024-6337). Kõigist kolmest turvaprobleemist teatati GitHubi Bug Bounty programmi kaudu HackerOne’i platvormil.

FOFA otsingumootori andmetel on hetkel internetile avatud üle 36 500 GitHubi Enterprise Serveri rakenduse, aga ei ole teada, kui paljud neist kasutavad turvanõrkusega versiooni.

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada (BC, SW).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on üle viie miljoni veebilehe ohus

Turvanõrkus (CVE-2024-28000) mõjutab pistikprogrammiLitespeed Cacheja selle kaudu on võimalik autentimata ründajal saada administraatoriõigused ning võtta veebileht enda kontrolli alla.  Pistikprogrammi on alla laetud enam kui 5 miljonit korda ehk tegemist on väga laialdaselt kasutusel oleva tarkvaraga.

Haavatavus mõjutab kõiki pistikprogrammi versioone kuni 6.3.0.1. Turvanõrkus on paigatud tarkvara versioonis 6.4 ja kõigil kasutajatel tuleks uuendada pistikprogramm kõige uuemale versioonile.

Häkkerid alustasid juba päev pärast tehniliste üksikasjade avalikustamist haavatavuse ärakasutamist rünnete läbiviimisel. Reedese info põhjal oli vaid 30% protsenti kasutajatest pistikprogrammi uuendanud ja kasutas turvapaigatud versiooni. Wordfence’i sõnul tehti vaid ühe ööpäeva jooksul 48 500 ründekatset. See on tänavu teine ​​kord, kui häkkerid on sihikule võtnud LiteSpeed Cache’i plugina. Mais kasutasid ründajad haavatavust CVE-2023-40000, et luua administraatorikontosid ja võtta üle haavatavad veebisaidid (BC, BC).

Atlassian paikas turvavigu tarkvarades Bamboo, Confluence, Crowd ja Jira

Atlassian väljastas turvapaigad üheksa suure mõjuga haavatavuse jaoks enda toodetes Bamboo, Confluence, Crowd ja Jira.

Bamboo Data Center and Serveri tarkvaras paigati kaks suure mõjuga viga, millest üks võimaldab koodi kaugkäivitada. Confluence Data Center and Serveri tootes paigati samuti kaks suure mõjuga haavatavust. Täpsem nimekiri parandatud turvavigadest on Atlassiani kodulehel.

Kasutajatel soovitatakse tarkvara esimesel võimalusel uuendada, kuigi ettevõte ei maini, et neid vigu oleks õnnestunud ära kasutada (SW, Atlassian).

Häkkerid saavad üle võtta Ecovacsi robotseadmeid

Hiljuti tuli avalikuks turvanõrkus, mille kaudu saavad häkkerid luurata Ecovacsi robottolmuimejate ja -muruniidukite omanikke.

Teadlased analüüsisid järgmisi seadmeid: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat Z1, Air Ecova, Ecovacs Airbot AVA ja Ecovacs Airbot ANDY.

Eksperdid avastasid mitmeid haavatavusi, mis võimaldavad ründajatel Bluetoothi ​​kaudu seadmete kaameraid ja mikrofone üle võtta. Selgus, et seadmetel ei ole valgustust, mis näitaks, et nende kaamerad ja mikrofonid on sisse lülitatud. Ecovacs on lubanud turvavead paigata (SA, TC).

Olulisemad turvanõrkused 2024. aasta 33. nädalal

Microsoft hoiatab OpenVPNi haavatavuste eest

Microsoft hoiatas Black Hati turvalisuse konverentsil kasutajaid nelja turvavea eest (CVE-2024-27459, CVE-2024-24974, CVE-2024-27903, CVE-2024-1305), mis võimaldavad läbi viia koodi kaugkäivitamise ründeid. Ehkki vigu tutvustati kui nullpäeva turvanõrkusi, siis teadaolevalt ei ole õnnestunud neid kuritarvitada. Microsofti sõnul nõuab nende vigade ärakasutamine nii autentimist kui ka väga head arusaamist OpenVPN-i sisemisest tööst.

Vead on parandatud OpenVPN versioonis 2.6.10 ja ettevõte kutsub kõiki kasutajaid tarkvara uuendama esimesel võimalusel (SW).

Microsoft paikas oma toodetes 89 haavatavust

Microsoft parandas oma toodetes kokku 89 haavatavust, mille hulgas oli ka üheksa nullpäeva turvanõrkust. Paigatud vigadest kaheksa mõju on hinnatud kriitiliseks ja ettevõtte sõnul on kuut nullpäeva turvanõrkust rünnetes ära kasutatud. Täpsema nimekirja parandustest leiab lisatud lingilt (BC, SW).

Kriitiline turvanõrkus Ivanti Virtual Traffic Manageri tarkvaras

Ivanti paikas Virtual Traffic Manageri (vTM) kriitilise turvavea tähisega CVE-2024-7593 (CVSS skoor 9.8/10), mis võimaldab autentimisest mööda minna ja saada administraatori õigused.

Viga mõjutab järgnevaid vTMi versioone:

  • 22.2 (turvapaigatud versioon on 22.2R1)
  • 22.3 (turvapaigatud versioon on 22.3R3)
  • 22.3R2 (turvapaigatud versioon on 22.3R3)
  • 22.5R1 (turvapaigatud versioon on 22.5R2)
  • 22.6R1 (turvapaigatud versioon on 22.6R2)
  • 22.7R1 (turvapaigatud versioon on 22.7R2)

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada. Kui see ei ole mingil põhjusel võimalik, siis ajutise lahendusena võib ka piirata klientide ligipääsu haldusliidesele või anda ligipääsu ainult usaldusväärsetele IP-aadressidele.

Hetkel teadaoleva info alusel ei ole viga veel õnnestunud ära kasutada, kuid sellele on juba avaldatud kontseptsiooni tõendus. Eelmise aasta detsembrist alates rünnati paljusid organisatsioone Ivanti VPNi seadmete ja nendes olevate turvaaukude kaudu (HN, BC).

Adobe paikas suure hulga turvanõrkusi

Adobe paikas oma toodetes kokku 72 turvaviga ja hoiatab, et turvanõrkuste ära kasutamine võib kaasa tuua koodi käivitamise, mälulekked ja teenuste tõkestamise nii Windowsi kui ka macOSi platvormidel. Näiteks paigati 12 haavatavust populaarses PDFi lugeris Adobe Acrobat and Reader.

Mitmeid vigu paigati ka teistes Adobe’i tarkvarades nagu Adobe Illustrator, Adobe Photoshop, Adobe InDesign, Adobe Commerce ja Dimension. Adobe hoiatab, et kõige tõsisem turvaviga võimaldab ründajatel saada täieliku kontrolli ohvri seadme üle.

Adobe’i sõnul pole haavatavusi rünnete läbiviimiseks veel kuritarvitatud (SW).

SAP paikas oma toodetes kaks kriitilist turvanõrkust

SAP paikas 17 uut turvaviga ning uuendas kaheksat vana turvauuendust. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk CVSS skooriga 9.0/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid BusinessObjects, Business Intelligence ja Build Apps. Esimene neist on tähistatud CVE-2024-41730 (CVSS skoor 9.8/10) ning selle kaudu võib ründaja saada sisselogimiseks vajalikud õigused ja seeläbi kompromiteerida kogu süsteemi. Teine kriitiline turvaviga tähisega CVE-2024-29415 (CVSS skoor 9.1/10) mõjutab Node.js teeki ja Build Apps tarkvara.

SAP on üks maailma suuremaid ERP (Enterprise resource planning) tarkvarade tootjaid ja nende tooteid kasutab oluline osa ettevõtetest ning asutustest. Seetõttu on SAPi tarkvarade haavatavused ka pidevalt küberkurjategijate vaatluse all ja varasemalt on nende toodete kaudu saadud ligipääs paljude organisatsioonide süsteemidele. Soovitame kõigil SAPi tarkvarade kasutajatel tarkvara uuendada (SW, BC, SAP).