Olulisemad turvanõrkused 2024. aasta 15. nädalal

Microsoft paikas oma toodetes 150 turvaviga

Microsoft parandas kokku 150 haavatavust, mille hulgas oli 67 koodi kaugkäivitamist võimaldavat turvaviga. Paigati ka 31 õigustega manipuleerimise viga ja 29 turvafunktsioonide viga. Parandatud haavatavustest on vaid kolm hinnatud kriitilise mõjuga veaks. Turvauuendusega paigati kaks nullpäeva haavatavust tähistega CVE-2024-26234 ja CVE-2024-29988, mida on ära kasutatud pahavara-rünnetes. Lisaks paigati ka viis turvaviga Microsoft Edge’i veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud linkidelt (BC, BC).

Cisco hoiatab turvavea eest ruuterites, mille tarkvara enam ei uuendata

Turvaviga tähisega CVE-2024-20362 mõjutab väikeettevõtete ruutereid RV016, RV042, RV042G, RV082, RV320 ja RV325, mille tootmine on lõpetatud ja mis ei saa enam turvapaiku. Haavatavust on võimalik autentimata ründajal kaugteel ära kasutada.

Cisco sõnul ei tea nad, et turvanõrkust oleks ära kasutatud, aga kuna haavatavusele ei ole ega tule turvaparandust, siis soovitatakse kasutajatel üle minna toetatud seadmetele. Varasemalt on rünnakutes kuritarvitatud Cisco võrguseadmeid, mille tootmine on lõpetatud.

Lisaks paigati Cisco toodetes ka mitmeid teisi haavatavusi, näiteks parandati kõrge mõjuga turvaviga Nexus Dashboard Fabric Controlleris (NDFC) (SW, Cisco).

Fortinet paikas oma toodetes mitmeid haavatavusi

Fortinet parandas oma toodetes tosin turvaviga, mille hulgas oli ka FortiClientLinuxi tarkvaras olev kriitilise mõjuga koodi kaugkäivitamise viga tähisega CVE-2023-45590 (CVSS skoor 9,4). Eduka ründe korral võib autentimata ründaja käivitada suvalist koodi ja suunata FortiClientLinuxi kasutaja spetsiaalselt loodud pahaloomulisele veebilehele.

Viga mõjutab järgmisi FortiClientLinux versioone:

  • FortiClientLinux 7.2.0,
  • FortiClientLinux 7.0.6 kuni 7.0.10,
  • FortiClientLinux 7.0.3 kuni 7.0.4.

Viga on paigatud alates tarkvara versioonidest 7.0.11 ja 7.2.1.

Lisaks väljastati ka turvauuendus FortiOSi ja FortiProxy tarkvaradele. Kuna Fortineti tooted on olnud tihti ründajate sihtmärgiks, siis soovitame tarkvara uuendada nii kiiresti kui võimalik (SA, CISA).

Üle 90 000 LG nutiteleri võib kaugründe alla sattuda

Bitdefenderi teadurid avastasid neli haavatavust, mis mõjutavad LG nutitelerites kasutatava operatsioonisüsteemi WebOS mitut versiooni. Vead võimaldavad volitamata juurdepääsu ja kontrolli mõjutatud seadmete üle, sealhulgas autoriseerimisest möödaminekut, õiguste suurendamist ja käskude sisestamist.

Vead mõjutavad järgmisi webOSi versioone ja telerimudeleid:

  • webOSi versioonid 4.9.7 kuni 5.30.40, teler LG43UM7000PLA,
  • webOSi versioonid 04.50.51 kuni 5.5.0, teler OLED55CXPUA,
  • webOSi versioonid 0.36.50 kuni 6.3.3-442, teler OLED48C1PUB,
  • webOSi versioonid 03.33.85 kuni 7.3.1-43, teler OLED55A23LA.

Shodani monitooringu andmeil on enam kui 91 000 LG nutitelerit internetile avatud ja turvavea tõttu ohus.

Ehkki LG telerid hoiatavad kasutajaid, kui olulised WebOSi värskendused on saadaval, saab neid määramata ajaks edasi lükata. Seetõttu peaksid nimetatud LG telerite kasutajad ise üle vaatama, kas telerile pakutakse tarkvarauuendust. Seda saab teha, kui avada teleri menüüs “Seaded” – “Tugi” – “Tarkvaravärskendus” ja valida „Otsi värskendusi”.

Teleris oleva turvanõrkuse kaudu võib saada kurjategija ligipääsu teistele võrgus olevatele seadmetele, samuti erinevatele kasutajakontodele (näiteks Youtube, Netflix vms) ja lisaks on võimalik, et seadet kasutatakse ära robotvõrgustikus, mis aitab kaasa teenusetõkestusrünnete läbiviimisele (BC, TR).

Tuhandetele WordPressi veebilehtedele on lisatud krüptoraha varastav pahavara

Ligi 2000 häkitud WordPressi veebilehte kuvavad külastajatele võltsitud NFT (non-fungible token ehk unikaalvara) ja allahindluste hüpikaknaid. Kasutajad meelitatakse oma krüptorahakotti pahavaraga ühendama ja kui see õnnestub, siis varastatakse kogu kasutaja krüptoraha. Selleks, et vältida oma digitaalsete varade kaotamist küberkurjategijatele, tuleks alati üle kontrollida ja ühendada oma krüptorahakott ainult usaldusväärsete platvormidega. Eriti ettevaatlik tasub olla just hüpikakendega, mis pakuvad erinevaid investeerimisvõimalusi või soodustusi (BC).

Palo Alto Networks hoiatab kriitilise haavatavuse eest

Palo Alto PAN-OSi GlobalProtecti tarkvaras tuvastati turvaviga tähisega CVE-2024-3400, mis on hinnatud kriitilise CVSS skooriga 10/10. Turvanõrkus võimaldab autentimata ründajal koodi kaugkäivitada juurkasutaja õigustes.

Nimetatud turvanõrkust on teadaolevalt ka juba alates 26. märtsist küberrünnakutes kuritarvitatud ning selle kaudu on saadud ligipääs sisemistele võrkudele, andmetele ja mandaatidele.

Haavatavus mõjutab PAN-OSi versioone 10.2, 11.0 ja 11.1. Turvapaigad said avalikuks 14. aprillil. Soovitame kõigil PAN-OSi kasutajatel uuendada tarkvara versioonidele 10.2.9-h1, 11.0.4-h1 ja 11.1.2-h3 (SW, BC, SW).

Olulisemad turvanõrkused 2024. aasta 14. nädalal

WordPressi populaarsest LayerSlideri pistikprogrammist leiti kriitiline turvaviga

WordPressi pistikprogrammist LayerSlider leitud kriitiline haavatavus tähisega CVE-2024-2879 võimaldab ründajal teostada pahatahtlikke SQL-päringuid ning hankida seeläbi tundlikku teavet veebilehe andmebaasidest. Haavatavus on hinnatud kriitilise CVSS-skooriga 9.8/10.

LayerSlideri pistikprogramm võimaldab luua liugureid, pildigaleriisid ja animatsioone WordPressi saitidel ning see on kasutusel enam kui miljonil veebilehel. Haavatavus mõjutab plugin’i versioone 7.9.11 kuni 7.10.0 ning eduka ründe korral on võimalik saada kontroll kogu veebilehe üle. Kasutajatel soovitatakse uuendada pistikprogramm turvapaigatud versioonile 7.10.1. Kuna WordPressi haavatavused on tihti ründajate sihtmärkideks, siis tuleks veebilehtede haldajatel regulaarselt uuendada tarkvara, eemaldada need pistikprogrammid, mida ei ole vaja ja kasutada tugevaid paroole (SWBC).

Ivanti parandas VPN-lüüsi haavatavuse

Ivanti avaldas turvauuenduse, mis paikab neli turvaviga Connect Secure’i ja Policy Secure’i tarkvarades. Kõige suurema mõjuga neist on kriitiline haavatavus tähisega CVE-2024-21894,  mis võimaldab autentimata ründajatel koodi kaugkäitada. Ivanti väitel on koodi kaugkäitamise riskid piiratud teatud tingimustega, ent ettevõte ei esitanud haavatavate konfiguratsioonide üksikasju.

Shodani monitooringu kohaselt on üle 29 000 internetile avatud seadme, mis kasutavad Ivanti Connect Secure’i VPNi. Umbes 16 500 seadet on internetile avatud ja turvanõrkuse tõttu ohus. Kuna Ivanti haavatavusi on riiklikud küberrühmitused sel aastal juba ära kasutanud, siis on eriti oluline tarkvara uuendada niipea kui võimalik. Hetkel teadaolevalt ei ole nimetatud turvanõrkusi õnnestunud ära kasutada (BC, HN, BC)

Google parandas Chrome’i nullpäeva turvanõrkuse

Nullpäeva haavatavust tähisega CVE-2024-3159 kasutati ära eelmisel kuul Pwn2Own häkkimisvõistluse ajal. Turvanõrkus mõjutab Chrome V8 JavaScripti mootorit ning võimaldab kasutada loodud HTML-lehti, et pääseda ligi andmetele väljaspool mälupuhvrit. Nädal tagasi parandas Google veel kaks Chrome’i nullpäeva turvanõrkust (CVE-2024-2887 ja CVE-2024-2886), mida kasutati edukalt ära Pwn2Own võistlusel. Sel aastal on Chrome’i veebilehitsejas paigatud juba neli nullpäeva turvanõrkust (BC).

Kriitilist Magento turvanõrkust kasutatakse ära rünnete läbiviimisel

Magento tarkvaras olev kriitiline turvaviga tähisega CVE-2024-20720 on saanud ründajate sihtmärgiks. Turvanõrkus on hinnatud kriitilise CVSS skooriga 9.1/10 ja võimaldab veebilehtedel käivitada pahatahtlikku koodi. Haavatavus on ohtlik, kuna selle ärakasutamiseks ei pea kasutaja midagi täiendavalt tegema. Adobe paikas turvavea nii Adobe Commerce’i kui ka Magento tarkvarades. Kõigil Magento tarkvara kasutajatel on

soovitatav uuendada tarkvara versioonidele 2.4.6-p4, 2.4.5-p6 või 2.4.4-p7. Magento on vabavaraline platvorm, mida kasutab 170 000 e-poodi üle maailma (SA, SW).

Enam kui 92 000 D-Linki NAS-seadet on turvanõrkuse tõttu ohus

Küberturbe teadur avastas mitmetes D-Linki NAS-seadmetes turvanõrkuse, mille abil saab ohvri seadmes suvalisi käske käivitada. Eduka ründe korral on võimalik hankida ligipääs tundlikule teabele, muuta süsteemi seadeid ja teenuseid tõkestada. Turvanõrkus tähisega CVE-2024-3273 mõjutab järgmisi D-Linki seadmeid:

  • DNS-320L (versioonid 1.11; 1.03.0904.2013 ja 1.01.0702.2013)
  • DNS-325 (1.01)
  • DNS-327L (1.09 ja 1.00.0409.2013)
  • DNS-340L (1.08)

Netsecfishi monitooringu kohaselt on enam kui 92 000 haavatavat D-Linki NAS-seadet, mis on internetile avatud ja turvavigade tõttu ohus. Nimetatud seadmetele enam uuendusi ei pakuta, kuna need on jõudnud tööea lõppu. D-Link soovitab seadmed välja vahetada uuemate vastu, millele on olemas tarkvara värskendused (BC).

Olulisemad turvanõrkused 2024. aasta 13. nädalal

300 000 IP-d on haavatavad uue Loop DoS-i ründetehnika vastu

Ligikaudu 300 000 internetis avalikult kättesaadavat serverit või seadet on haavatavad uue ummistusrünnakute tehnika vastu. See meetod töötab UDP-põhiste rakenduskihi teenuste vastu, kasutades ära kindlaid TFTP, DNSi ja NTP teenuseid ning samuti aegunud protokolle, nagu Echo, Chardgen ja QOTD (TR).

Oma olemuselt on käesolev ründemeetod küllaltki triviaalne – ründajad saadavad vigase päringu näiteks haavatavale serverile A, spoof’ides haavatavat serverit B. Nõnda hakkavad serverid A ja B üksteisele lõputult päringuid saatma, muutes teenused kättesaamatuks.

Loop DoS-i eelis on see, et seda kasutades ei pea ründajad serveri teenuse töö häirimiseks pidevalt suurtes mahtudes päringuid saatma – pärast rünnaku algust DoS-ivad kaks haavatavat serverit üksteist ise ja see kestab niikaua, kuni keegi selle ahela peatab.

Apple paikas koodi kaugkäitust võimaldava turvanõrkuse

Apple väljastas värsked turvapaigad iOS-i ja MacOs-i seadmetele, et parandada CVE-2024-1580 koodi kaugkäitust võimaldav turvanõrkus (SW). Antud turvanõrkus kasutab ära iOS-i CoreMedia ja WebRTC komponente, mis vastutavad multimeedia (nt pildid ja videod) töötlemise eest.

See turvanõrkus ei mõjuta mitte ainult Apple’i, vaid ka kõiki teisi seadmeid, mis kasutavad dav1d tarkvara. Seda tarkvara kasutatakse multimeedia dekodeerimiseks AV1 formaadis, kuid eriti suurte failide puhul võib tekkida täisarvu ületäitumine (integer overflow), mille abil saab panna tarkvara kirjutama andmeid väljapoole ettenähtud mälu. Nõnda saavad ründajad CVE-2024-1580 abil jooksutada koodi kellegi teise seadmes, kasutades selle jaoks pahaloomulisi pilte või videoid.

Häkkerid kasutavad serverite kompromiteerimiseks ära Ray raamistiku turvanõrkust

Uus ShadowRay-nimeline kampaania sihib haavatavaid Ray raamistike (populaarne avatud lähtekoodiga AI-raamistik). Sedalaadi ründeid on esinenud juba 2023. aasta septembri algusest ning ründajate põhilisteks sihtmärkides on olnud hariduse, krüptoraha ja biofarmakoloogia sektorid, aga puudutatud on olnud ka muud eluvaldkonnad (BC).

2023. aasta novembris teavitas Anyscale viiest Ray turvanõrkusest (CVE-2023-6019, CVE-2023-6020, CVE-2023-6021 ja CVE-2023-48023), millest neli said ka paigatud. Samas viies turvanõrkus (CVE-2023-48023), mis võimaldas koodi kaugkäitust, jäi paikamata (BC). Selle põhjuseks on Anyscale’i seisukoht, et autentimisvõimaluse puudumine Rays on osa selle disainist ja turvanõrkust saab ära kasutada vaid juhul, kui Ray kasutajad ignoreerivad projekti dokumentatsioonis rõhutatud soovitusi.

Kuna Anyscale CVE 2023-48023 turvanõrkuseks ei pea, siis on paljude Ray kasutajate ja staatiliste skaneerimistööriistade jaoks jäänud antud turvanõrkus märkamata, mistõttu on ründajatel võimalik haavatavaid teenuseid kompromiteerida.

Linuxi turvaviga laseb ründajatel ohvrite paroole varastada

Linuxi operatsioonisüsteemis kasutatav wall-käsk sisaldab turvanõrkust (CVE-2024-28085), mida saab ära kasutada ohvrite paroolide varastamiseks või lõikelaua (clipboard) sisu muutmiseks.

Wall-käsk kuulub util-linuxi paketti, mis on osa Linuxi operatsioonisüsteemist. Antud käsku kasutatakse Linuxi süsteemides selleks, et saata sõnumeid kõikidesse samasse süsteemi (näiteks serverisse) sisse logitud kasutajate terminalidesse (BC).

Wall-käsu turvaviga seisneb selles, et kui kasutaja saadab teistele kasutajatele laiali mingi teksti, siis sealt ei filtreerita välja paojärjestusi (escape secuence ehk sümbolite kombinatsioon, mille abil saab terminalile käske anda). Nõnda saab administraatori õigusteta kasutaja samas süsteemis olevatelt administraatori õigustega kasutajatelt  paroolid välja petta, saates neile wall-käsu abil spetsiaalseid sümboleid sisaldava sõnumi, mis loob nende terminali võltsitud SUDO-rea.