Category Archives: Android

Olulised turvanõrkused 2023. aasta 23. nädalal

KeePassi uues versioonis on turvaviga paigatud

Mõned nädalad tagasi kirjutasime KeePassi turvaveast (CVE-2023-32784), mille abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna ehk master password. Kui kasutaja loob endale KeePassi konto, siis tuleb määrata parool, millega saab kõigile teistele salasõnadele ligi. Turvaveale avaldati ka kontseptsiooni tõendus (PoC). Eelmisel nädalal teavitas KeePass, et viga on parandatud versioonis 2.54 (BC, KeePass).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad mõnd KeePassi 2.x versiooni, on soovitatav tarkvara uuendada esimesel võimalusel. Uue versiooni saate alla laadida KeePassi kodulehelt.

KeePass 1.x, Strongbox või KeepassXC tarkvarade kasutajad ei ole veast mõjutatud.

Google paikas nullpäeva turvanõrkuse

Google Chrome’i uues versioonis 114.0.5735.110 (Windows) ja 114.0.5735.106 (Linux, Mac) on parandatud nullpäeva turvanõrkus tähisega CVE-2023-3079. Google’i sõnul on haavatavust rünnetes ära kasutatud, kuid täpsemat tehnilist infot turvavea kohta nad ei avaldanud.  Selline praktika on tavaline, et kaitsta neid kasutajaid, kes ei ole veel jõudnud tarkvara uuendada. Tegemist on kolmanda nullpäeva turvanõrkusega, mis sel aastal on Chrome’i brauseris leitud (BC, SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Androidi turvauuendus paikab Mali GPU draiveri turvavea

Google avaldas Androidi platvormi juunikuu turvauuendused, millega paigati kokku 56 haavatavust. Viis neist on hinnatud kriitiliseks ja üht on rünnetes ära kasutatud. Google’i sõnul on Mali GPU draiveri turvaviga tähisega CVE-2022-22706 kasutatud Samsungi telefonide vastu suunatud nuhkvarakampaanias. Turvaviga on hinnatud kõrge skooriga 7.8/10 ja see võimaldab ilma vajalike õigusteta kasutajal saada kirjutamisõigus lugemisõigusega lehtedele. Ühtlasi parandati viis kriitilise mõjuga turvaviga, millest kolm võimaldavad ründajal käivitada ohvri seadmes pahatahtlikku koodi. Turvauuendusi ei saa rakendada need, kes kasutavad Android 10 või vanemat versiooni (BC, SW, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks tegema tarkvarauuenduse esimesel võimalusel. Juhendi Androidi seadme uuendamiseks leiad siit.

Cisco paikas AnyConnecti turvavea, mis võimaldas ründajatel õigustega manipuleerida

Kõrge mõjuga turvaviga (CVE-2023-20178) mõjutab Cisco Secure Client tarkvara (varem nimetusega AnyConnect Secure Mobility Client) ja võimaldab ründajatel saada Windowsi süsteemikonto õigused. Haavatavuse põhjustab see, et uuendamise käigus loodud ajutisele kataloogile antakse valed õigused ja ründaja saab seetõttu installeerimise ajal teatud funktsioone kuritarvitada. Cisco Secure Client tarkvara kaudu saab luua kaugelt töötamiseks VPN-ühenduse. Viga on paigatud versioonides AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 (BC).

Kes ja mida peaks tegema?

Kõik AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 kasutajad peaks tarkvara uuendama.

Cisco sõnul ei mõjuta turvaviga Linuxi, MacOSi, Androidi ja iOSi operatsioonisüsteemide kasutajaid.

Gigabyte avaldas turvauuenduse emaplaatide tarkvarale

Taiwani tehnoloogiatootja Gigabyte avaldas tarkvarauuenduse, mis paikab haavatavuse mille kaudu on võimalik paigaldada pahavara. Haavatavus mõjutab enam kui 270 erinevat Gigabyte emaplaadi versiooni. Viga on parandatud Intel 400/500/600/700 ja AMD 400/500/600 seeriate emaplaatide tarkvaras (BC, Gigabyte).

Kes ja mida peaks tegema?

Ettevõte soovitab teha kõigil Gigabyte emaplaatide kasutajatel tarkvarauuendus esimesel võimalusel.

Fortinet paikas kriitilise turvanõrkuse Fortigate’i SSL-VPN seadmetes

Fortinet paikas kriitilise turvavea (CVE-2023-27997), mis võimaldab ründajal pahatahtlikku koodi kaugkäivitada. Turvanõrkus mõjutab Fortigate’i SSL-VPN seadmeid ja väidetavalt on seda võimalik ka siis kuritarvitada kui kaheastmeline autentimine on rakendatud. Hetkel teadaolevalt avaldatakse täpsem info vea kohta teisipäeval 13. juunil. Fortineti seadmed on maailmas ühed populaarseimad tulemüüri ja VPNi teenuste loomiseks, seetõttu on nende haavatavused ka head sihtmärgid. Turvaviga on parandatud FortiOSi versioonides 6.0.17, 6.2.15, 6.4.13, 7.0.12 ja 7.2.5 (BC, HNS).

Kes ja mida peaks tegema?

Kõigil Fortigate’i SSL-VPNi seadmete kasutajatel tuleks FortiOSi tarkvara uuendada.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 18. nädalal

Vähemalt kahte miljonit WordPressi veebilehte ohustab kõrge mõjuga turvanõrkus

Kahes laialdaselt kasutatavas WordPressi pistikprogrammis Advanced Custom Fields ja Advanced Custom Fields Pro avastati kõrge mõjuga turvaviga (CVE-2023-30777), mille abil saab ründaja teoreetiliselt lisada haavatavale veebilehele pahatahtlikke skripte. Turvavea kaudu on ründajal lisaks võimalik saada ligipääs veebilehega seotud tundlikele andmetele või veebilehega seotud süsteemis kasutajaõigusi suurendada. Haavatavust saab ründaja siiski kuritarvitada ainult kindla kasutaja kaudu, kellel on ligipääs haavatavatele pistikprogrammidele. See tähendab, et ründajal tuleb veebilehega seotud kasutajale (näiteks administraatorile) saata pahaloomuline veebilink. Kui kasutaja lingile klikib, õnnestub ründajal turvanõrkust ka ära kasutada (BC, HN).

Kes ja mida peaks tegema?

Turvaviga on parandatud pistikprogrammide versioonis 6.1.6. Kui te antud pistikprogramme kasutate, uuendage need esimesel võimalusel.

Androidi operatsioonisüsteemil paigati nuhkimiseks ära kasutatud turvanõrkus

Sel kuul välja antud Androidi turvavärskendused parandavad tõsise haavatavuse (CVE-2023-0266), mida kasutati ära nuhkvara paigaldamiseks haavatavatesse seadmetesse. Google’i raporti kohaselt kuritarvitasid ründajad seda turvanõrkust ühe osana keerukas ründeahelas, mille eesmärgiks oli paigaldada nuhkvara Samsungi nutitelefonidesse. Nuhkvara abil suudeti muuhulgas korjata infot nutitelefoni sirvikutest ja suhtlusrakendustest. Lisaks konkreetsele haavatavusele paigati Androidil veel hulga erinevaid turvanõrkuseid (BP).

Kes ja mida peaks tegema?

Kui te kasutate Androidi nutiseadmeid, uuendage operatsioonisüsteem esimesel võimalusel. RIA tuletab meelde, et regulaarne tarkvara uuendamine on üks oluline osa heast küberhügieenist.

Fortinet paikas kaks olulist turvanõrkust

Fortinet paikas üheksa turvaviga oma toodetes, neist kaks (CVE-2023-27999 ja CVE-2023-22640) on hinnatud kõrge mõjuga haavatavuseks. Turvanõrkused mõjutavad tarkvarasid FortiADC, FortiOS ja FortiProxy. Turvavigade abil on ründajal võimalik käivitada pahaloomulisi käske haavatavates süsteemides. Seni ei ole teada, et neid turvanõrkuseid oleks jõutud ära kasutada (SA, Fortinet, Fortinet).

Kes ja mida peaks tegema?

Nendest kahest turvanõrkusest on vähemalt ühe vastu haavatavad:

FortiOS-i versioonid 7.2.0 kuni 7.2.3;
FortiOS-i versioonid 7.0.0 kuni 7.0.10;
FortiOS-i versioonid 6.4.0 kuni 6.4.11;
FortiOS-i versioonid 6.2.0 kuni 6.2.13;
FortiOS-i 6.0 versioonid;
FortiProxy versioonid 7.2.0 kuni 7.2.1;
FortiProxy versioonid 7.0.0 kuni 7.0.7;
FortiProxy versioonid 2.0, 1.2, 1.1 ja 1.0.

Soovitame uuendada mõjutatud tarkvarad esimesel võimalusel. Kui uuendamine ei ole võimalik, pakub tootja ka alternatiivset kaitsemeedet, millest on täpsemalt kirjutatud siin.

Eksperdid avalikustasid BGP protokolliga seotud turvavead

Eksperdid avalikustasid BGP prokolliga seotud haavatavused (CVE-2022-40302, CVE-2022-40318 ja CVE-2022-43681), mida saab kasutada teenusetõkestusrünnakute teostamiseks. BGP on protokoll, mis on loodud autonoomsete süsteemide vahel marsruutimisega seotud teabe vahetamiseks. Seda kasutatakse võrguliikluse puhul kõige tõhusamate marsruutide leidmiseks. Kolm haavatavust on seotud Linuxi ja Unixi platvormidele marsruutimise jaoks mõeldud tarkvaraga FRRouting, täpsemalt selle tarkvara versiooniga 8.4. Pikema ülevaate nendest turvanõrkustest saate viidatud veebileheküljelt (FS).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 14. nädalal

Androidile avalikustatud turvauuendused paikavad 16 kriitilist turvaviga

Google avalikustas Androidi operatsioonisüsteemile turvauuendused, mis paikavad kokku 65 haavatavust, millest 16 on hinnatud kriitiliseks. Enamik turvanõrkusi võimaldavad haavatavas süsteemis õigusi suurendada või teabele ligi pääseda. Kõige murettekitavamad nõrkused on CVE-2023-21085 ja CVE-2023-21096. Haavatavused lubavad ründajal kõrgendatud õigusteta potentsiaalselt koodi kaugkäitada. Sealjuures ei ole ründajal vaja selleks kasutajapoolset sekkumist (SW).

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga seadet, kontrollige, kas süsteem pakub teile uuendusi. Kui jah, rakendage need esimesel võimalusel. Uuenduste kättesaadavus võib sõltuda tootjate lõikes.

Apple paikas kaks kriitilist nullpäeva turvanõrkust

Apple avalikustas 7. aprillil iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad kaks nullpäeva turvanõrkust tähistega CVE-2023-28205 ja CVE-2023-28206. Esimest haavatavust on ründajal võimalik ära kasutada pahaloomuliste rakenduste kaudu, teist haavatavust aga siis, kui ohver külastab selleks spetsiaalselt loodud veebilehte. Mõlema nõrkuse abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkuseid aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.4.1, iPadOS 16.4.1 ja macOS Ventura 13.3.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid hetkel ainult ühe nullpäeva turvanõrkuse eest kaitsta (CVE-2023-28205). Selleks on vaja uuendada Safari veebilehitseja versioonile 16.4.1 (Apple).

iOS 16.4.1 või iPadOS 16.4.1 on rakendatavad järgmistele mudelitele:

•             iPhone 8 ja uuemad mudelid;

•             iPad Pro (kõik mudelid);

•             iPad Air 3 ja uuemad mudelid;

•             iPadi viies generatsioon ja uuemad mudelid;

•             iPad mini 5 ja uuemad mudelid.

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Kõikide Apple’i turvahoiatustega saate tutvuda veebileheküljel https://support.apple.com/en-us/HT201222.

Avalikustati kriitilise VM2 teegi turvavea kontseptsiooni tõendus

Hiljuti avalikustatud VM2 teegi kriitilisele turvaveale on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). VM2 on sandbox, mida kasutatakse koodi testimiseks turvalises keskkonnas. Selle abil on võimalik koodi osaliselt käivitada ja samuti takistab VM2 vajadusel käivitatud koodil volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused. Turvanõrkuse abil on võimalik VM2-e keskkonnast välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi (BP).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki VM2 tarkvara versioone, mis on versiooninumbriga 3.9.14 või vanem. Haavatavus on parandatud versioonis 3.9.15. Soovitame kõikidel teenuse- ja/või süsteemihalduritel kontrollida, kas haavatavat VM2 tarkvara kasutatakse. Kui jah, tuleks tarkvara uuendada esimesel võimalusel versioonini 3.9.15.

Autode varastamiseks kasutati uudset lähenemisviisi

Autode küberturvalisuse uurimisega seotud eksperdid avastasid uudse meetodi, kuidas saab autodesse sisse murda ja need potentsiaalselt varastada. Haavatavus on seotud ühe siini standardiga (Controller Area Network ehk CAN). CAN võimaldab sõidukis olevatel mikrokontrolleritel ja seadmetel omavahel juhtarvuti abita andmeid vahetada. Põhimõtteliselt on autos nii-öelda kohalik võrk, kuhu küberründajad saavad sisse tungida, et peatada ja käivitada auto, avada selle uksi ja aknaid, käivitada raadio jpm. 3. aprillil avaldatud blogipostitus kirjeldabki, kuidas ründajatel õnnestus ühe auto elektrooniline juhtseade (ECU) kompromiteerida, kasutades selleks just CANi siini. Siinile pääseti ligi esitulede kaudu. Sellist lähenemisviisi ei olnud eksperdid varem näinud. Täpsemalt saab avastuste kohta lugeda siit.

Internetiga on ühendatud 15 miljonit uuendamata ja haavatavat sihtmärki

Küberekspertide uurimuse kohaselt on internetiga ühendatud kokku rohkem kui 15 miljonit haavatavat arvutit, teenust kui ka muid seadmeid (nii virtuaalseid kui füüsilisi). Näiteks 2014. aastal avalikustatud Heartbleedi nime kandva turvanõrkuse vastu on haavatavad endiselt ligi 190 000 süsteemi. Eksperdid toonitasid taas üldlevinud tõde, et regulaarne uuendamine on äärmiselt oluline, sest haavatavaid süsteeme üritatakse pidevalt leida ning kompromiteerida. Täpsema ülevaate saate viidatud artiklist (DR).


RIA analüüsi- ja ennetusosakond