Author Archives: ria

Olulised turvanõrkused 2023. aasta 36. nädalal

  • Androidi ja Apple’i seadmetele tulid olulised turvauuendused

Eelmisel nädalal avalikustas Google turvauuendused Andoridi operatsioonisüsteemile, samuti tulid turvauuendused Apple’i seadmete operatsioonisüsteemidele. Mõlemad ettevõtted paikasid sealjuures nullpäeva turvanõrkused. Nullpäeva turvanõrkuseks nimetatakse haavatavust, mille jaoks ei ole olemas turvapaika või mida on ära kasutatud juba siis, kui tarkvara valmistaja või tarnija ei ole veel nõrkusest teadlik.

Andoidi puhul paigati kokku 32 turvaviga, mille hulgas oli niisiis ka nullpäeva turvanõrkus (CVE-2023-35674). Google sõnul on antud turvanõrkust ka aktiivselt ära kasutatud. Turvavea kaudu on ründajal võimalik haavatavas süsteemis enda õiguseid suurendada. Lisaks parandati kolm kriitilist turvanõrkust, mille abil on ründajal võimalik pahaloomulist koodi käivitada. Kui teie Androidi nutitelefon pakub teile turvauuendusi, tehke seda esimesel võimalusel. Rohkem informatsiooni leiate viidatud linkidelt (Android, SA).

Apple avalikustas samuti turvauuendused, mis olid tingitud kahest nullpäeva turvanõrkusest (CVE-2023-41064, CVE-2023-41061). Mõlemad nõrkused annavad ründajale võimaluse käivitada pahaloomulist koodi ohvri seadmes. Esimese nõrkuse (CVE-2023-41064) võib käivitada pahatahtlikult loodud pildi töötlemisprotsess, teine nõrkus võib avalduda aga siis, kui haavatav seade töötleb spetsiaalselt selleks loodud pahaloomulist manust.

Väidetavalt on neid kahte turvanõrkust ära kasutatud, et paigaldada ohvrite seadmetesse Pegasuse nuhkvara. Konkreetne nuhkvara on kurikuulus, kuna seda on ajalooliselt kasutatud poliitikute, valitsusjuhtide, ajakirjanike jpt järel nuhkimiseks (SA, CL). 

Apple on need kaks viga kõrvaldanud macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 ja watchOS 9.6.2. Kui teil on võimalik enda Apple’i seadmele üks tarkvaraversioon eelnevatest rakendada, tehke seda esimesel võimalusel (SA). 

  • Vanad turvanõrkused on ründajate seas endiselt populaarsed

Eelmisel nädalal avalikustas üks küberturbeettevõte nimekirja 20st kõige enam ründajate poolt kuritarvitatavast turvanõrkusest. Nimekirjast selgub, et kõige hiljutisem haavatavus pärineb 2021. aastast, enamik on aga juba ligi viis aastat vanad (Qualys). Ründajate soovi vanu turvavigu ära kasutada ilmestab ka hiljutine pahavarakampaania, mille käigus üritati võimalike ohvrite seadmed nakatada Agent Tesla pahavaraga. Konkreetne kampaania kasutas kaht Microsoft Office turvanõrkust, mis pärinesid aastatest 2018 ja 2017 (Fortinet).

Eelneva põhjal on võimalik järeldada, et kuigi turvanõrkuseid tekib iga aasta üha juurde, eelistavad ründajad sageli endiselt teatud mitu aastat vanu nõrkuseid. Paraku on ka endiselt süsteeme, mis on selliste vanade nõrkuste suhtes ka haavatavad. Seetõttu on oluline omada enda seadmetest asjakohast ülevaadet, eelkõige infot, millist tarkvara nad kasutavad ja kas see on ka ajakohane.

  • ASUSe ruuterid on haavatavad kriitilise turvanõrkuste vastu

Kolm kriitilist koodi kaugkäitamise haavatavust mõjutavad ASUSe RT-AX55, RT-AX56U_V2 ja RT-AC86U ruutereid, mis võimaldavad ründajatel seadmed kompromiteerida. Kõik turvavead, mille kriitilisuse skoor on 9.8/10.0, on haavatavused, mida saab ära kasutada eemalt ja ilma autentimiseta (BP).

Haavatavustest on mõjutatud ASUS RT-AX55 püsivara versioon 3.0.0.4.386_50460, RT-AX56U_V2 püsivara versioon 3.0.0.4.386_50460 ja RT-AC86U püsivara versioon 3.0.0.4_386_51529 (BP).

Haavatavuste eemaldamiseks tuleks rakendada mudelil RT-AX55 püsivara versioon 3.0.0.4.386_51948 või uuem, mudelil RT-AX56U_V2 püsivara versioon 3.0.0.4.386_51948 või uuem ja mudelil RT-AC86U püsivara version 3.0.0.4.386_51915 või uuem (BP).

Samuti soovitatakse lisaks uuendamisele piirata ligipääsu ruuterite haldusliidesele(BP).

Olulised turvanõrkused 2023. aasta 35. nädalal

  • Küberrünnakud ohustavad avatud Microsoft SQL Serveri andmebaase

Hiljuti avalikustati raport, mis käsitleb küberrünnakuid avatud Microsoft SQL Serveri (MSSQL) andmebaaside vastu. Küberrünnakutele on antud koodnimetus DB#JAMMER. Raporti põhjal alustavad ründajad jõuründega internetist kättesaadavate MSSQL andmebaaside suunas. Kui sellega õnnestub ründajatel andmebaasidele ligipääs saada, üritavad nad kompromiteeritud süsteemis seda ka kindlustada. Lisaks paigaldatakse kompromiteeritud süsteemi erinevat tüüpi pahavara, luuakse ühendusi ründajate kontrollitud infrastruktuuriga, et vajalikke tööriistu andmete varastamiseks alla laadida ning krüpteeritakse võimalusel kogu ülevõetud süsteem. Raporti autorite hinnangul on tegu kõrgetasemeliste rünnetega, arvestades kasutatud pahavara, infrastruktuuri ja rünnete ülesehitust laiemalt.

Kuna rünnakud sihivad eelkõige avatud MSSQL servereid, tuleks avalik ligipääs neile võimalusel piirata. Samuti soovitatakse veenduda, et kasutajakontod kasutaksid piisavalt tugevaid paroole, sest nõrgad kasutajatunnused teevad ründajate elu palju lihtsamaks. Lisaks soovitatakse raportis organisatsioonidel monitoorida levinumaid pahavara paigaldamisega seotud katalooge („C:\Windows\Temp“) ja juurutada täiendavat protsessitasemel logimist (Sysmoni ja PowerShelli logimine), et logimise katvust laiendada (Securonix, DR).

  • WordPressi pistikprogrammi turvaviga võib kaasa tuua andmete lekkimise

Pistikprogrammil nimetusega All-In-One WP Migration avastati turvaviga, mis võib lubada ründajatel  ligi pääseda haavatava veebilehe tundlikele andmetele. Antud pistikprogrammi kasutab umbes viis miljonit WordPressi veebilehte. Viga, mida tähistatakse tähisega CVE-2023-40004, võimaldab autentimata kasutajatel suunata potentsiaalselt haavatava veebilehega seotud andmed kolmanda osapoole pilveteenustega seotud kontodele või kasutada pahaloomulisi varukoopiaid. Turvaprobleemi leevendab mõnevõrra asjaolu, et pistikprogrammi kasutatakse üldjuhul ainult veebilehe migratsiooniprojektide ajal ja see ei tohiks tavaliselt olla muul ajal aktiivselt kasutuses (BP).

Mõjutatud tasuliste kolmanda osapoole laienduste kasutajatel soovitatakse minna üle järgmistele fikseeritud versioonidele:

Box-nimeline laiendus: v1.54

Google Drive’i laiendus: v2.80

OneDrive’i laiendus: v1.67

Dropboxi laiendus: v3.76

Samuti soovitatakse kasutajatel kasutada pistikprogrammi All-in-One WP Migration uusimat versiooni v7.78.

  • Unarusse jäetud DNS-kirjeid on võimalik kasutada alamdomeenide kaaperdamiseks

IT-turbe konsultatsioonifirma töötajad viisid läbi uurimuse, et kaardistada unarusse jäetud DNS-kirjetega seonduvaid ohte. Täpsemalt keskenduti olukorrale, kui DNSi CNAME kirje osutab alamdomeenile, mida enam ei eksisteeri. Uurimistöö autorite sõnul õnnestus neil selliste DNS-kirjete abil üle võtta enam kui tosina suurorganisatsiooni alamdomeenid. Uurimistöö keskendus USA, Kanada, Ühendkuningriigi ja Austraalia valitsusorganisatsioonide alamdomeenidele, samuti uuriti erasektori ettevõtete kasutatavaid DNS-kirjeid. Tõenäoliselt on haavatavaid organisatsioone üle tuhande, selgub uurimusest (Certitude).

Pärast konfiguratsioonivea leidmist konfigureerisid autorid kaaperdatud alamdomeenid nii, et need suunaksid külastajad turvateadlikkuse teatise lehele, kus selgitatakse, kes nad on, mida nad on teinud ja kuidas nad seda tegid. Samuti andis leht juhised alamdomeeni kaaperdamise ärahoidmiseks ja alamdomeeni taastamiseks. Pahatahtlik osapool oleks võinud seda DNS-i konfiguratsiooniviga ära kasutada aga pahavara levitamiseks, valeinformatsiooni levitamiseks ja andmepüügirünnakuteks (Certitude).

Uurimuses kajastatud DNS-kirjetega seotud probleem tekib tihti pilveteenustega. Organisatsioonid seostavad kolmandate osapoolte pakutavaid pilvepõhiseid teenuseid DNS-kirjetega oma DNS-serveris. Kui aga pilveteenusest mingil hetkel loobutakse, võivad DNS-kirjed jätkuvalt jääda osutama sidusdomeenile (Certitude).

  • Lunavararühmitused ründavad mitmefaktorilise autentimiseta Cisco VPNe

Alates 2023. aasta märtsist on Akira ja LockBiti küberrühmitused rünnanud organisatsioone haavatavate Cisco ASA SSL VPN kaudu. Rünnakute õnnestumine on olnud tingitud nõrkadest või vaikeparoolidest, kuid samuti asjaolust, et tihti ei ole VPNide puhul rakendatud mitmefaktorilist autentimist (MFA) (Rapid7).

Analüüsist selgub, et kompromiteeritud Cisco VPNid on olnud erinevate versioonidega, rünnakud on olnud automatiseeritud ning sisse on üritatud saada erinevaid laialt levinud kasutajanimesid proovides. Analüüsi autorite sõnul ei olnud 40% kompromiteeritud VPNidest MFA-d rakendatud (Rapid7).

Selliste intsidentide vältimiseks ärgitatakse organisatsioone kasutama unikaalseid ja tugevaid paroole, uuendama tarkvara esimesel võimalusel ja analüüsima logisid, et tuvastada jõurünnete teostamist. Samuti tuleks alati võimalusel rakendada MFA-d (Rapid7). 

  • VMware’i virtualiseerimiskeskkondade haldustarkvara SSH-autentimisest on võimalik mööda pääseda

VMware Aria Operations for Networks (endine vRealize Network Insight) on haavatav kriitilise turvavea suhtes (tähisega CVE-2023-34039, kriitilisuse hinnang 9.8/10.0), mis võib võimaldada ründajatel haavatava süsteemi SSH-autentimisest mööda minna ja ligi pääseda privaatsetele lõpp-punktidele (private end-points).

CVE-2023-34039 kasutamine võib viia andmelekkeni või andmete muutmiseni mõjutatud süsteemis. Olenevalt konfiguratsioonist võib ründajal olla võimalik tekitada võrguhäireid, muuta süsteemi konfiguratsiooni, paigaldada pahavara või liikuda teistesse seotud süsteemidesse edasi.

Turvaviga mõjutab kõiki Aria tarkvara 6.x versioone. Hetkel on ainus viis kriitilise vea parandamiseks minna üle versioonile 6.11 või rakendada varasematele versioonidele turvapaika tähisega KB94152. Täpsemat infot saab viidatud linkidelt (VMware, BP).

Olulised turvanõrkused 2023. aasta 34. nädalal

Turvanõrkused Jupiter X Core WordPressi pistikprogrammis ohustavad veebilehti

Kaks haavatavust, mis mõjutavad WordPressi ja WooCommerce’i veebilehtede seadistamiseks mõeldud pistikprogrammi Jupiter X Core teatud versioone, võimaldavad kontode kaaperdamist ja haavatavasse süsteemi failide laadimist ilma autentimiseta.

Esimene haavatavus CVE-2023-38388 lubab faile ilma autentimiseta üles laadida, mis võib viia serveris suvalise koodi käivitamiseni.

Turvavea kriitilisuse tasemeks on märgitud 9.0/10.0 ja see mõjutab kõiki JupiterX Core’i versioone, mis on 3.3.5 või vanemad. Arendaja parandas haavatavuse pistikprogrammi versioonis 3.3.8.

Teine haavatavus CVE-2023-38389 võimaldab autentimata ründajatel võtta kontrolli suvalise WordPressi kasutajakonto üle tingimusel, et nad teavad kontoga seotud meiliaadressi. Haavatavuse kriitlisuse tasemeks on märgitud 9.8/10.0 ja see mõjutab kõiki Jupiter X Core’i versioone, mis on 3.3.8 või vanemad. Turvanõrkus on parandatud pistikprogrammi versioonis 3.4.3.

Kõigil pistikprogrammi kasutajatel soovitatakse tarkvara värskendada uusimale versioonile (BP, Patchstack).

Nutipirnide haavatavused võimaldavad häkkeritel varastada kasutajate WiFi-paroole

Catania ja Londoni ülikooli teadlased avastasid neli turvaauku, mis mõjutavad TP-Link Tapo L530E nutipirni ja mobiilirakendust TP-Link Tapo. Kuna teadlaste hinnangul on autentimine nõrgalt rakendatud, saab ründaja kontrollida kõiki Tapo seadmeid, mis kasutaja on sidunud enda Tapo kontoga. Samuti on tal võimalik haavatavuste abil teada saada ohvri WiFi parool, laiendades seeläbi enda häkkimisvõimalusi. Kõige kriitilisemat haavatavust on hinnatud skooriga 8.8/10.0. Teadlased jagasid enda uurimuse tulemusi ettevõttega, kes lubas haavatavused kõrvaldada. Lisaks tuleks teadlaste hinnangul avastatud leidude tõttu nõuda null-usaldusmudeli täielikumat rakendamist asjade interneti seadmete puhul (SA, DMI).

Üle 3000 Openfire’i serveri on haavatavad kriitilise turvanõrkuse vastu

Tuhanded Openfire’i serverid on ohus turvanõrkuse CVE-2023-3231 tõttu, mida on rünnete läbiviimisel ära kasutatud. Haavatavus võimaldab luua autentimata ründajal administraatorikontosid ja samuti haavatavatesse serveritesse pahaloomulisi pistikprogramme üles laadida. Openfire on laialdaselt kasutatav Java-põhine avatud lähtekoodiga sõnumivahetusserver (XMPP), mida on alla laetud üheksa miljonit korda. Viga on parandatud Openfire’i versioonides 4.6.8, 4.7.5 ja 4.8.0 (BP, VulnCheck).

Cisco paikas turvanõrkused, mis võivad kaasa tuua teenustõkestusründed

Cisco paikas oma toodetes kuus haavatavust, mille hulgas olid ka kõrge mõjuga vead NX-OS ja FXOS tarkvarades. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-20200, mis võimaldab ründajal saata ohvri seadmele SNMP-päringuid ja põhjustada selle taaskäivitamise ning teenuse katkemise. Hetkel teadaolevalt ei ole haavatavusi ära kasutatud. Täpne nimekiri mõjutatud seadmetest on lisatud linkidel (SW, SA, Cisco).

Ivanti Sentry kriitilise turvanõrkuse jaoks avalikustati tehniline analüüs

Hiljuti avalikustas tarkvaraettevõte Ivanti turvapaigad, et kõrvaldada kriitilise raskusastmega haavatavus CVE-2023-38035, mis mõjutab Ivanti Sentry tarkvara (tuntud ka kui MobileIron Sentry). Nüüd on kübereksperdid turvanõrkuse jaoks avalikustanud ka tehnilise algpõhjuse analüüsi.

Haavatavust saab kasutada tundlikele API andmetele ja konfiguratsioonidele juurdepääsemiseks, süsteemikäskude käivitamiseks või failide süsteemi kirjutamiseks. See mõjutab Sentry versiooni 9.18 ja varasemaid. Kuigi haavatavus on kriitiline, on nende klientide jaoks, kellel ei ole port 8443 avalikult kättesaadav, oht pigem väike.

Ettevõte märkis, et on teadlik piiratud arvust klientidest, keda see haavatavus otseselt mõjutab (SA, Horizon3, Ivanti).

Kolm haavatavust Nvidia graafikadraiveril võivad põhjustada mälu sisu soovimatut muutumist

Hiljuti avalikustati kolm NVIDIA graafikakaartidega töötava NVIDIA D3D10 draiveri haavatavust. Kõik kolm haavatavust on hinnatud kriitilisuse skooriga 8.5/10.0 (Talos).

Ründaja võib potentsiaalselt neid turvaauke ära kasutada virtuaalmasinates, mis töötavad virtualiseerimiskeskkondades (nt VMware, QEMU ja VirtualBox), et keskkondadest välja pääseda. Samuti leiti, et ründajal võib õnnestuda neid haavatavusi ära kasutada veebibrauseris, mis kasutab WebGL-i ja WebAssemblyt (Talos).

Haavatavused on parandatud turvauuendusega, mille kohta leiab täpsemat informatsiooni siit.