Category Archives: Android

Olulised turvanõrkused 2023. aasta 14. nädalal

Androidile avalikustatud turvauuendused paikavad 16 kriitilist turvaviga

Google avalikustas Androidi operatsioonisüsteemile turvauuendused, mis paikavad kokku 65 haavatavust, millest 16 on hinnatud kriitiliseks. Enamik turvanõrkusi võimaldavad haavatavas süsteemis õigusi suurendada või teabele ligi pääseda. Kõige murettekitavamad nõrkused on CVE-2023-21085 ja CVE-2023-21096. Haavatavused lubavad ründajal kõrgendatud õigusteta potentsiaalselt koodi kaugkäitada. Sealjuures ei ole ründajal vaja selleks kasutajapoolset sekkumist (SW).

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga seadet, kontrollige, kas süsteem pakub teile uuendusi. Kui jah, rakendage need esimesel võimalusel. Uuenduste kättesaadavus võib sõltuda tootjate lõikes.

Apple paikas kaks kriitilist nullpäeva turvanõrkust

Apple avalikustas 7. aprillil iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad kaks nullpäeva turvanõrkust tähistega CVE-2023-28205 ja CVE-2023-28206. Esimest haavatavust on ründajal võimalik ära kasutada pahaloomuliste rakenduste kaudu, teist haavatavust aga siis, kui ohver külastab selleks spetsiaalselt loodud veebilehte. Mõlema nõrkuse abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkuseid aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.4.1, iPadOS 16.4.1 ja macOS Ventura 13.3.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid hetkel ainult ühe nullpäeva turvanõrkuse eest kaitsta (CVE-2023-28205). Selleks on vaja uuendada Safari veebilehitseja versioonile 16.4.1 (Apple).

iOS 16.4.1 või iPadOS 16.4.1 on rakendatavad järgmistele mudelitele:

• iPhone 8 ja uuemad mudelid;

• iPad Pro (kõik mudelid);

• iPad Air 3 ja uuemad mudelid;

• iPadi viies generatsioon ja uuemad mudelid;

• iPad mini 5 ja uuemad mudelid.

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Kõikide Apple’i turvahoiatustega saate tutvuda veebileheküljel https://support.apple.com/en-us/HT201222.

Avalikustati kriitilise VM2 teegi turvavea kontseptsiooni tõendus

Hiljuti avalikustatud VM2 teegi kriitilisele turvaveale on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). VM2 on sandbox, mida kasutatakse koodi testimiseks turvalises keskkonnas. Selle abil on võimalik koodi osaliselt käivitada ja samuti takistab VM2 vajadusel käivitatud koodil volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused. Turvanõrkuse abil on võimalik VM2-e keskkonnast välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi (BP).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki VM2 tarkvara versioone, mis on versiooninumbriga 3.9.14 või vanem. Haavatavus on parandatud versioonis 3.9.15. Soovitame kõikidel teenuse- ja/või süsteemihalduritel kontrollida, kas haavatavat VM2 tarkvara kasutatakse. Kui jah, tuleks tarkvara uuendada esimesel võimalusel versioonini 3.9.15.

Autode varastamiseks kasutati uudset lähenemisviisi

Autode küberturvalisuse uurimisega seotud eksperdid avastasid uudse meetodi, kuidas saab autodesse sisse murda ja need potentsiaalselt varastada. Haavatavus on seotud ühe siini standardiga (Controller Area Network ehk CAN). CAN võimaldab sõidukis olevatel mikrokontrolleritel ja seadmetel omavahel juhtarvuti abita andmeid vahetada. Põhimõtteliselt on autos nii-öelda kohalik võrk, kuhu küberründajad saavad sisse tungida, et peatada ja käivitada auto, avada selle uksi ja aknaid, käivitada raadio jpm. 3. aprillil avaldatud blogipostitus kirjeldabki, kuidas ründajatel õnnestus ühe auto elektrooniline juhtseade (ECU) kompromiteerida, kasutades selleks just CANi siini. Siinile pääseti ligi esitulede kaudu. Sellist lähenemisviisi ei olnud eksperdid varem näinud. Täpsemalt saab avastuste kohta lugeda siit.

Internetiga on ühendatud 15 miljonit uuendamata ja haavatavat sihtmärki

Küberekspertide uurimuse kohaselt on internetiga ühendatud kokku rohkem kui 15 miljonit haavatavat arvutit, teenust kui ka muid seadmeid (nii virtuaalseid kui füüsilisi). Näiteks 2014. aastal avalikustatud Heartbleedi nime kandva turvanõrkuse vastu on haavatavad endiselt ligi 190 000 süsteemi. Eksperdid toonitasid taas üldlevinud tõde, et regulaarne uuendamine on äärmiselt oluline, sest haavatavaid süsteeme üritatakse pidevalt leida ning kompromiteerida. Täpsema ülevaate saate viidatud artiklist (DR).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 10. nädalal

Avalikustati Microsoft Wordi kriitilise turvavea kontseptsiooni tõendus

Microsoft parandas veebruari turvauuendustega Microsoft Wordi kriitilise turvavea tähisega CVE-2023-21716. Turvaviga on seotud wwlib.dll failiga ja võimaldab koodi kaugkäivitamist. Haavatavusel on ka väga kõrge kriitilisuse skoor (9.8/10), kuna seda ei ole keeruline ära kasutada ja selle jaoks ei ole vaja kõrgendatud õiguseid. Ründaja saab turvanõrkust ära kasutada pahaloomuliste RTF failide abil.

Nüüd on turvanõrkusele avalikult kättesaadav ka proof-of-concept (PoC) ehk kontseptsiooni tõendus. Microsofti hinnangul on haavatavuse kuritarvitamine hetkel siiski vähetõenäoline, kuid sellised kontseptsiooni tõendused muudavad pahaloomuliste failide loomise, mis turvanõrkust ära suudavad kasutada, kindlasti lihtsamaks (BC, Microsoft).

Kes ja mida peaks tegema?

Microsofton turvanõrkuse jaoks avalikustanud turvaparanduse ja samuti mõned alternatiivmeetmed, kui turvaparanduse rakendamine ei ole võimalik. Rohkem infot leiate Microsofti veebilehelt. Soovitame kindlasti turvaparanduse rakendamist.

Fortinet hoiatab uue kriitilise haavatavuse eest

FortiOS-i ja FortiProxy haldusliidese haavatavus CVE-2023-25610 (9.3/10.0) võib lubada ründajal käivitada haavatavas seadmes autentimata suvalist koodi ja/või teostada teenusetõkestusrünnak spetsiaalselt selleks loodud päringute kaudu. Fortinetile teadaolevalt ei ole seda haavatavust veel ära kasutatud (Fortinet).

Kes ja mida peaks tegema?

Haavatavus mõjutab järgnevaid FortiOSi ja FortiProxy versioone:

FortiOSi versioonid 7.2.0-7.2.3;
FortiOSi versioonid 7.0.0-7.0.9;
FortiOSi versioonid 6.4.0-6.4.11;
FortiOSi versioonid 6.2.0-6.2.12;
kõik FortiOSi 6.0 versioonid;
FortiProxy versioonid 7.2.0-7.2.2;
FortiProxy versioonid 7.0.0-7.0.8;
FortiProxy versioonid 2.0.0-2.0.11;
kõik FortiProxy 1.2 versioonid;
kõik FortiProxy 1.1 versioonid.

Fortinet on haavatavuse turvauuendustega parandanud. Rohkem infot versioonide kohta, milles on haavatavus parandatud, leiate siit.

Kui te kasutate ülal mainitud haavatavate versioonidega Fortineti tarkvarasid, rakendage turvauuendused esimesel võimalusel.

Androidi seadmetes paigati kaks kriitilist koodi kaugkäitust võimaldavat turvanõrkust

Google avalikustas 6. märtsil, et selle kuu turvauuendustega parandatakse Androidi operatsioonisüsteemides mitukümmend turvaviga.

Nende seas on ka kaks koodi kaugkäitust võimaldavat turvanõrkust (CVE-2023-20951, CVE-2023-20954), mis on hinnatud kriitiliseks. Nende turvanõrkuste ärakasutamiseks pole vaja mitte mingit kasutajapoolset tegevust (nt linkidele klõpsamist, pahaloomuliste failide avamist vms).

Selliste tõsiste turvanõrkuste abil on ründajatel potentsiaalselt võimalik käivitada haavatavates seadmetes pahavara ja saada teatud tingimustel kontroll kogu seadme üle. Google ei ole turvanõrkuste kohta täpsemaid detaile jaganud.

Lisaks kahele kriitilisele turvanõrkusele paigati märtsi turvauuendustega veel mitukümmend madalama kriitilise tasemega nõrkust (BP, Android).

Kes ja mida peaks tegema?

Turvauuendusi pakutakse Androidi operatsioonisüsteemi versioonidele 11, 12 ja 13. Kui teie Androidi seade kasutab versiooni 10 või vanemat, siis sellele turvauuendusi enam ei pakuta, kuna vastavate versioonide tootjapoolne tugi on lõppenud. Selline seade tuleks võimalikult kiiresti uuema vastu vahetada!

Kui sinu Androidi operatsioonisüsteemi kasutav nutitelefon või tahvelarvuti pakub turvauuendusi, rakenda need palun esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kutsume kõiki üles suhtuma oma seadmetes pakutavatesse uuendustesse tõsiselt ning neid alati rakendama.

Jenkinsi tarkvara mõjutavad koodi kaugkäitust võimaldavad nõrkused

Jenkins on avatud lähtekoodiga tarkvara, mida kasutatakse tarkvaraarenduses. Jenkins Server and Update Center keskkonnas, mille abil saab Jenkinsile alla laadida erinevaid pistikprogramme, avastati kaks haavatavust, mida nimetatakse koondnimetusega CorePlague. Haavatavused on seotud sellega, kuidas keskkond pistikprogramme töötleb. Kui ründaja pahaloomulise pistikprogrammi Jenkinsi Update Center keskkonda ülesse laeb ja ohver pistikprogrammide jaoks mõeldud halduskeskkonna avab, on võimalik teostada XSS (Cross Site Scripting) rünne. Eduka ärakasutamise korral võimaldavad haavatavused autentimata ründajal käivitada suvalist koodi ohvri Jenkinsi serveris, mille abil on tal võimalik server täielikult üle võtta (Aquasec).

Kes ja mida peaks tegema?

Haavatavad on Jenkinsi serverid versiooniga 2.270 kuni 2.393 (kaasaarvatud) ja LTS 2.277.1 kuni 2.375.3 (kaasaarvatud). Haavatavad on ka Jenkinsi Update Center versioonid 3.15 ja vanemad. Haavatavate tarkvarade kasutamise korral uuendage need esimesel võimalusel. Rohkem infot leiate Jenkinsi kodulehelt.

Joomla sisuhaldustarkvara turvanõrkust kuritarvitatakse üha aktiivsemalt

Kolm nädalat tagasi parandati Joomla sisuhaldustarkvaral, mida paljud veebilehed kasutavad, turvanõrkus, mis lubas ründajal ligi pääseda kasutajatunnuseid sisaldavale andmebaasile lihtsa päringu abil. Kuna haavatavuse ärakasutamine on suhteliselt kerge, on selle populaarsus ründajate seas ajas kasvanud (SANS).

Kes ja mida peaks tegema?

Haavatavad on Joomla tarkvara versioonid 4.0.0 kuni 4.2.7 (kaasaarvatud). Turvanõrkus on parandatud alates versioonist 4.2.8. Kui te haavatava versiooniga Joomla tarkvara kasutate, uuendage see esimesel võimalusel vähemalt versioonini 4.2.8. Sellisel juhul turvanõrkus teile ohtu ei kujuta (NSFOCUS).

Chrome’i uues versioonis on parandatud 40 turvanõrkust

Google avalikustas eelmisel nädalal Chrome’i uue -versiooni tähisega 111, milles on paigatud 40 turvanõrkust. 40-st nõrkusest kaheksa on kõrge mõjuga, 11 keskmise mõjuga ja viis madala mõjuga (SW, Google).

Kes ja mida peaks tegema?

Windowsile on uus versioon saadaval tähisega 111.0.5563.64/.65, Linuxile ja macOSile aga tähisega 111.0.5563.64. Soovitame kõikidel Chrome’i kasutajatel rakendada uus versioon esimesel võimalusel. Juhised, kuidas Chrome’i uuendada, leiate siit.

RIA analüüsi- ja ennetusosakond

Androidi operatsioonisüsteemil parandati kaks kriitilist turvanõrkust

Google avalikustas 6. märtsil, et selle kuu turvauuendustega parandatakse Androidi operatsioonisüsteemides mitukümmend turvaviga.

Nende seas on ka kaks koodi kaugkäitust võimaldavat turvanõrkust (CVE-2023-20951, CVE-2023-20954), mis on hinnatud kriitiliseks. Nende turvanõrkuste ärakasutamiseks pole vaja mitte mingit kasutajapoolset tegevust (nt linkidele klõpsamist, pahaloomuliste failide avamist vms).

Lisaks kahele kriitilisele turvanõrkusele paigati märtsi turvauuendustega veel mitukümmend madalama kriitilise tasemega nõrkust (BP, Android).

Kes ja mida peaks tegema?

Kui sinu Androidi operatsioonisüsteemi kasutav nutitelefon või tahvelarvuti pakub turvauuendusi, rakenda need palun esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kutsume kõiki üles suhtuma oma seadmetes pakutavatesse uuendustesse tõsiselt ning neid alati rakendama.

Värsket infot oluliste turvanõrkuste kohta leiab iganädalaselt RIA blogist https://blog.ria.ee/.

Analüüsi- ja ennetusosakond