Author Archives: ria

Androidi operatsioonisüsteemil parandati kaks kriitilist turvanõrkust

Google avalikustas 6. märtsil, et selle kuu turvauuendustega parandatakse Androidi operatsioonisüsteemides mitukümmend turvaviga.

Nende seas on ka kaks koodi kaugkäitust võimaldavat turvanõrkust (CVE-2023-20951, CVE-2023-20954), mis on hinnatud kriitiliseks. Nende turvanõrkuste ärakasutamiseks pole vaja mitte mingit kasutajapoolset tegevust (nt linkidele klõpsamist, pahaloomuliste failide avamist vms).

Selliste tõsiste turvanõrkuste abil on ründajatel potentsiaalselt võimalik käivitada haavatavates seadmetes pahavara ja saada teatud tingimustel kontroll kogu seadme üle. Google ei ole turvanõrkuste kohta täpsemaid detaile jaganud.

Lisaks kahele kriitilisele turvanõrkusele paigati märtsi turvauuendustega veel mitukümmend madalama kriitilise tasemega nõrkust (BP, Android).


Kes ja mida peaks tegema?

Turvauuendusi pakutakse Androidi operatsioonisüsteemi versioonidele 11, 12 ja 13. Kui teie Androidi seade kasutab versiooni 10 või vanemat, siis sellele turvauuendusi enam ei pakuta, kuna vastavate versioonide tootjapoolne tugi on lõppenud. Selline seade tuleks võimalikult kiiresti uuema vastu vahetada!

Kui sinu Androidi operatsioonisüsteemi kasutav nutitelefon või tahvelarvuti pakub turvauuendusi, rakenda need palun esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kutsume kõiki üles suhtuma oma seadmetes pakutavatesse uuendustesse tõsiselt ning neid alati rakendama.

Värsket infot oluliste turvanõrkuste kohta leiab iganädalaselt RIA blogist https://blog.ria.ee/.

Analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 9. nädalal

Cisco paikas mitmel IP-telefonil koodi kaugkäitust võimaldava turvanõrkuse

Cisco teatas eelmisel nädalal, et parandas mitmete IP-telefonide administreerimisliidest (WebUI) mõjutava kriitilise turvavea (CVE-2023-20078). Haavatavus hinnati kriitiliseks, kuna selle abil on ründajal võimalik autentimata käivitada mõjutatud süsteemis juurõigustes pahaloomulisi käske. Lisaks paigati uuendustega ka üks kõrge mõjuga haavatavus (CVE-2023-20079), mis lubab ründajal IP-telefonide tavapärast tööd häirida (BP, Cisco).

Kes ja mida peaks tegema?

CVE-2023-20078 mõjutab järgnevaid mudeleid:
IP Phone 6800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 7800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 8800 seeria telefonid koos spetsiifilise püsivaraga (MPP).

CVE-2023-20079 mõjutab järgnevaid mudeleid:
IP Phone 6800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 7800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 8800 seeria telefonid koos spetsiifilise püsivaraga (MPP).

Unified IP Conference Phone 8831 telefonid.
Unified IP Conference Phone 8831 telefonid koos spetsiifilise püsivaraga (MPP).
Unified IP Phone 7900 seeria telefonid.

Tootja pakub tarkvarauuendusi turvavigade eemaldamiseks. Kui mainitud IP-telefone kasutatakse, soovitame esimesel võimalusel nende tarkvara uuendada. Rohkem infot leiate Cisco kodulehelt.

Booking.com kasutajakontosid oli võimalik turvanõrkuste tõttu üle võtta

Eelmisel nädalal avaldati artikkel, milles kirjeldatakse turvavigu, mis mõjutasid Booking.com majutuskeskkonna sisselogimisfunktsionaalsust (Salt). Täpsemalt olid vead seotud OAuthi raamistikuga, mida kasutavad väga paljud erinevad keskkonnad kasutajate autentimiseks. OAuthi abil saavad kasutajad näiteks enda Google’i või Facebooki kasutajakontoga teistesse keskkondadesse sisse logida. Uurimus leidis, et pahaloomulistel osapooltel oleks olnud võimalik turvavigade abil nende inimeste Booking.com kasutajakontod üle võtta, kes logivad keskkonda sisse Facebooki konto abil. Ettevõte parandas turvanõrkused kiiresti ja teateid nõrkuste edukast ärakasutamisest ei ole. Põhjalikum ülevaade haavatavustest koos tehnilise kirjeldusega on leitav siit (Salt).

TPM 2.0 teegis avastatud turvavead võivad ohustada miljardeid seadmeid

Trusted Platform Module ehk TPM on lahendus, mis pakub turvafunktsioone, sealhulgas krüptimisvõtmete loomist ja talletamist ning riistvara ja tarkvara muudatuste kontrolli. Hiljuti avastati TPM 2.0 spetsifikatsiooni puhul kaks turvanõrkust CVE-2023-1017 ja CVE-2023-1018. Mõlemad haavatavused on seotud sellega, kuidas TPM 2.0 teatud parameetreid töötleb. Ründajal, kellel on ligipääs TPMi käsuliidesele, on võimalik haavatavuste kaudu käivitada pahaloomulisi käske. Käskude abil on võimalik ligi pääseda tundlikele andmetele või kirjutada üle andmeid, mis on tavaliselt kättesaadavad ainult TPMile (näiteks krüptimisvõtmed) (BP, HN).

Kes ja mida peaks tegema?

Erinevate seadmete tootjad, kes TPM 2.0-i kasutavad, peavad rakendama versioonid, mille puhul on need turvanõrkused parandatud. Nendeks versioonideks on:

TPM 2.0 v1.59 Errata 1.4 või uuem
TPM 2.0 v1.38 Errata 1.13 või uuem
TPM 2.0 v1.16 Errata 1.6 või uuem

Tavakasutajatel soovitatakse piirata enda seadmetele füüsiline ligipääs vaid usaldusväärsetele isikutele, kasutada ainult usaldusväärseid rakendusi ja paigaldada tarkvarauuendused esimesel võimalusel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 8. nädalal

Hiljuti avalikustatud FortiNeti turvanõrkust üritatakse aktiivselt ära kasutada

Turvanõrkus tähisega CVE-2022-39952, mis mõjutab haavatavaid FortiNACi servereid, on kogumas ründajate seas populaarsust, kuna selle turvavea jaoks on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). Haavatavuse abil on ründajal võimalik spetsiifilise HTTP-päringu abil käivitada pahaloomulist koodi mõjutatud süsteemis. Ründaja ei pea sealjuures olema autentitud (SA). 

Kes ja mida peaks tegema?

Turvaviga mõjutab järgnevaid FortiNACi versioone:

FortiNACi versioon 9.4.0;
FortiNACi versioon 9.2.0 kuni 9.2.5;
FortiNACi versioon 9.1.0 kuni 9.1.7;
Kõik FortiNACi 8.8 versioonid;
Kõik FortiNACi 8.7 versioonid;
Kõik FortiNACi 8.6 versioonid;
Kõik FortiNACi 8.5 versioonid;
Kõik FortiNACi 8.3 versioonid;

Turvaviga on parandatud versioonides 7.2.0, 9.1.8, 9.2.6 ja 9.4.1.

Zyxel parandas 4G ruuteritel turvavea

Teatud Zyxeli 4G ruutereid mõjutab haavatavus, mis võimaldab ründajal Telneti kaudu ligi pääseda haavatavate ruuterite süsteemidesse. Turvanõrkus mõjutab 4G ruuterite mudeleid LTE3202-M437 ja LTE3316-M604 (Zyxel).

Kes ja mida peaks tegema?

Tootjapoolse info nõrkuse kohta leiate siit. Haavatavate seadmete kasutajad peaksid seadme uuendama esimesel võimalusel.

VMware paikas haldustarkvaral kõrge mõjuga turvanõrkuse

VMware paikas uuendusega kriitilise turvanõrkuse CVE-2023-20858, mis mõjutab Carbon Black App Control nimelist haldustarkvara. Haavatavus lubab ründajal, kellel on ligipääs tarkvara haldusliidesele, juurde pääseda operatsioonisüsteemile, millel tarkvara töötab (BP).

Kes ja mida peaks tegema?

Haavatavus mõjutab Windowsi operatsioonisüsteemile mõeldud VMware Carbon Black App Control tarkvara versioone 8.7.7 ja vanemaid, 8.8.5 ja vanemaid ning 8.9.3 ja vanemaid. Turvaviga on parandatud versioonides 8.9.4, 8.8.6 ja 8.7.8 (BP).

Kõikidel vastava tarkvara kasutajatel tuleks see uuendada esimesel võimalusel (VMware).

Cisco parandas kaks kõrge mõjuga haavatavust

Esimene haavatavus tähisega CVE-2023-20011 mõjutab APICi (Application Policy Infrastructure Controller) ja pilvevõrgukontrolleri haldusliidest. Ründaja (kes ei pea end sealjuures autentima) saab haavatavuse abil teostada CSRFi (cross-site request  forgery) ründeid. See tähendab, et kui tarkvara kasutaja klikib talle saadetud pahaloomulisel lingil, on ründajal võimalik ligi pääseda mõjutatud süsteemile kompromiteeritud kasutaja õigustes (Cisco).

Teine kõrge mõjuga haavatavus CVE-2023-20089 mõjutab Cisco Nexus 9000 ACI-režiimis olevaid võrgujaotureid ja selle abil on ründajal võimalik takistada haavatavate seadmete tavapärast tööd (Cisco).

Tootjale teadaolevalt ei ole neid turvanõrkuseid seni siiski kuritarvitatud.

Kes ja mida peaks tegema?

Soovitame tutvuda Cisco teabelehtedega, millele on viidatud ülal. Need kirjeldavad turvanõrkuste olemust ja aitavad kasutajatel vastavad tarkvarauuendused paigaldada.


RIA analüüsi- ja ennetusosakond