Category Archives: Android

Olulised turvanõrkused 2023. aasta 6. nädalal

Illustratsioon: Andres Varustin

OpenSSL paikas kõrge mõjuga turvavead

OpenSSL paikas kokku kaheksa turvaviga, millest kõige suurema mõjuga haavatavus (CVE-2023-0286) võimaldab ründajal lugeda mälu sisu ja viia läbi teenusetõkestusründeid. Siiski juhivad tarkvara arendajad tähelepanu sellele, et haavatavus mõjutab tõenäoliselt ainult neid rakendusi, mis kasutavad tühistatud sertifikaatide loendi (Certificate Revocation List) võrgust kättesaamiseks spetsiaalseid lahendusi. Teised väiksema mõjuga turvanõrkused on välja toodud arendaja kodulehel (SW, OpenSSL).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad OpenSSLi versioone 3.0, 1.1.1 ja 1.0.2, soovitatakse see uuendada esimesel võimalusel.

OpenSSL 3.0 kasutajad peaksid uuendama tarkvara versioonini 3.0.8.

OpenSSL 1.1.1 kasutajad peaksid uuendama tarkvara versioonini 1.1.1t.

OpenSSL 1.0.2 kasutajad peaksid uuendama tarkvara versioonini 1.0.2zg (võimalik vaid eritingimustel) (OpenSSL).

OpenSSH uus versioon parandab mitu turvaviga

OpenSSH avaldas uue versiooni 9.2, kus on parandatud mitu turvaviga. Sealhulgas parandati ka turvaviga tähistusega CVE-2023-25136, mille abil on ründajal teoreetiliselt võimalik käivitada haavatavas süsteemis pahatahtlikku koodi või teostada selle vastu teenusetõkestusrünnak. Siiski märgivad tarkvara arendajad, et haavatavust ei ole lihtne ära kasutada tulenevalt sshd protsessi kaitsemeetmetest (HN, JFrog).

Kes ja mida peaks tegema?

CVE-2023-25136 mõjutab ainult OpenSSH versiooni 9.1p1 ja on parandatud versioonis  9.2p1. Kuigi nõrkust ei ole lihtne ära kasutada, soovitatakse OpenSSH uuendada kõige uuemale versioonile, et vältida võimalikku küberintsidenti (JFrog).

Turvanõrkus lubab häkkeritel muuta aega Dahua videovalvekaamerate süsteemides

Turvanõrkus tähisega CVE-2022-30564 avastati eelmisel aastal ja möödunud nädalal teavitas Dahua, et teatud nende tooteid see tõesti mõjutab. Selle abil on ründajal võimalik muuta aega mõjutatud seadmete süsteemides ja seda saab ründaja teha siis, kui ta saadab avalikult kättesaadavale süsteemile vastava päringu. Siiski on ründajal vaja teada spetsiaalseid rakendusliidese (API) parameetreid, et seda turvanõrkust ära kasutada (Redinent).

Turvanõrkuse avastanud ettevõtte sõnul on haavatavus eriti ohtlik just seetõttu, et internetist on avalikult kättesaadavad tuhanded sellised kaamerad. Kuna pahaloomulised osapooled saavad videosalvestiste aega muuta vastavalt vajadusele, avaldab turvaviga otsest mõju ka siis, kui videosalvestist on vaja uurimise käigus kasutada tõendina (Redinent).

Kes ja mida peaks tegema?

Nimekiri mõjutatud toodetest on avaldatud tootja kodulehel. Kui te neid kasutate, uuendage tooted esimesel võimalusel. Samuti ei tohiks videovalvekaamera süsteemi hoida internetist avalikult kättesaadavana.

Androidi uue versiooniga paigati 40 turvanõrkust

Google avalikustas eelmisel nädalal Androidi operatsioonisüsteemile turvauuendused, mis parandavad 40 turvanõrkust, millest 17 on kõrge mõjuga. Kõige kriitilisemaks parandatud haavatavuseks on turvaviga Frameworki komponendis, mille abil on ründajal võimalik mõjutatud süsteemis enda õiguseid suurendada. Kõik parandatud turvanõrkused on välja toodud siin.

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutavale seadmele pakutakse uuendusi, soovitame need rakendada (SW, Android).

Chrome’i uue versiooniga parandati 15 turvanõrkust

Google avalikustas uue Chrome’i versiooni tähisega 110, mis on mõeldud Windowsi, Mac OSi ja Linuxi operatsioonisüsteemidele. Uue versiooniga parandati 15 turvanõrkust, millest kolm on kõrge ja viis keskmise mõjuga. Kolme kõrge mõjuga haavatavust saab ära kasutada spetsiifiliste HTMLi lehtede abil. Google ei maininud, et nõrkuseid oleks jõutud ära kasutada (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada Chrome esimesel võimalusel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 1. nädalal

Fortinet paikas kaks kõrge mõjuga turvanõrkust

Esimene neist (CVE-2022-39947) mõjutab FortiADC veebiliidest ja on hinnatud skooriga 8.6/10.0. Tegemist on haavatavusega, mis võimaldab autentitud ründajal, kellel on ligipääs veebiliidesele, käivitada mõjutatud süsteemis pahatahtlikku koodi. Selleks tuleb tal saata spetsiaalne HTTP-päring. Turvanõrkus mõjutab FortiADC versioone 5.4.x, 6.0.x, 6.1.x, 6.2.x ja 7.0.x (Fortinet).

Teine haavatavus (CVE-2022-35845) mõjutab FortiTesteri versioone 2.x.x, 3.x.x, 4.x.x, 7.x ja 7.1.0 ning on hinnatud skooriga 7.6/10.0. Turvanõrkus võimaldab autentitud ründajal käivitada pahatahtlikke käsklusi (Fortinet).

Lisaks paikas tootja veel kolm madalama kriitilisuse tasemega turvanõrkust (SW).

Kes ja mida peaks tegema?

CVE-2022-39947 on parandatud FortiADC versioonides 7.0.2 või uuemas versioonis, 6.2.4 või uuemas versioonis ning 5.4.6 või uuemas versioonid.

CVE-2022-35845 on parandatud FortiTesteri versioonides 7.2.0 või uuemas versioonis, 7.1.1 või uuemas versioonis, 4.2.1 või uuemas versioonis ning 3.9.2 või uuemas versioonid.
Kui te mõjutatud versiooniga tooteid kasutate, tutvuge eelnevalt viidatud tootjapoolsete juhistega ja uuendage tarkvara esimesel võimalusel.

Synology paikas kriitilise turvanõrkuse

Synology paikas ruuteritel, mida kasutatakse VPNi toimimise jaoks mõeldud serveritena, turvavea, mis (CVE-2022-43931) on hinnatud kriitilisuse skooriga 10.0/10.0. Viga mõjutab VPN Plus Server tarkvara ning seda saab ründaja mõjutatud süsteemides kasutada pahatahtlikke käskude käivitamiseks (BP, Synology).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada vajadusel turvauuendused.

Üle 60 000 Exchange’i serveri on ohus ProxyNotShelli turvanõrkuse tõttu

Turvaviga 2022-41082 avaldati eelmise aasta sügisel ning pälvis toona laialdast tähelepanu. Tegu oli ühega kahest turvanõrkusest, mida kutsuti koondnimetusega ProxyNotShell. RIA kirjutas turvanõrkustest ka enda blogis. Haavatavus 2022-41082 mõjutab Microsoft Exchange servereid 2013, 2016 ja 2019, millele ei ole novembris avaldatud turvauuendusi rakendatud. Kui ründajatel õnnestub nõrkust kuritarvitada, siis on neil võimalik suurendada mõjutatud süsteemis enda õiguseid ning käivitada seal pahaloomulist koodi. Olukord on täna ekspertide hinnangul siiski parem võrreldes detsembriga, kuna siis oli 2022-41082 turvanõrkuse vastu haavatavaid servereid ligi 84 000 (BP).

Kes ja mida peaks tegema?

Kui te ei ole veel mõjutatud Exchange’i servereid uuendanud, tehke seda esimesel võimalusel. Juhised selleks leiate tootja veebilehelt siin.

Google paikas Androidi operatsioonisüsteemil mitu turvanõrkust

Google parandas Androidi operatsioonisüsteemil 60 turvaviga. Kõige kriitilisemad neist võimaldavad koodi kaugkäivitamist ilma täiendavate õigusteta (SW, Android).

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutav nutiseade pakub tarkvara uuendamise võimalust, soovitame uuendused rakendada esimesel võimalusel. Regulaarne uuendamine vähendab ohtu, et tarkvaras avastatud nõrkuseid oleks ründajatel võimalik ära kasutada.

Qualcommi kiibistikes avastati mitu turvaviga

Qualcommi kiibistikes avastati viis turvaviga, mis mõjutavad muuhulgas ka Lenovo ThinkPad X13s sülearvuteid. Kolm turvanõrkust on hinnatud kriitilisuse skooriga 8.4/10.0 ning kaks turvanõrkust skooriga 6.8/10.0. Lenovo avalikustas turvanõrkustest tulenevalt uuendused BIOSile. Turvanõrkuseid on võimalik teoreetiliselt kasutada informatsiooni kogumiseks ning mõjutatud seadme töö häirimiseks. Turvavigadele on olemas parandused (HN).

Kes ja mida peaks tegema?

ThinkPad X13 kasutajatel soovitatakse BIOS uuendada versioonini 1.47 või uuemale versioonile (Lenovo).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 49. nädalal

Fortinet paikas kõrge mõjuga haavatavuse

Fortinet teavitas eelmisel nädalal, et paikas mitu turvanõrkust enda toodetes. Kõige kõrgema kriitilisuse tasemega hinnati haavatavust CVE-2022-35843 (7.7/10.0). Turvaviga mõjutab FortiOSi SSH sisselogimisfunktsiooni, kuid seda saab ründaja ainult kasutada siis, kui sihtmärk kasutab ka Radiuse autentimislahendust. Haavatavuse abil on ründajal potentsiaalselt võimalik haavatava seadme süsteemi sisse logida. FortiOSi üritatakse sageli rünnata, kuna seda kasutatakse maailmas nii erasektoris kui ka avalikus sektoris (SW, Fortinet).

Kes ja mida peaks tegema?

Fortineti hinnangul mõjutab turvanõrkus CVE-2022-35843 FortiOSi versioone 7.2.x, 7.0.x, 6.4.x, 6.2.x ja 6.0.x ning FortiProxy versioone 7.0.x, 2.0.x ja 1.2.x.
Haavatavus on parandatud FortiOSi versioonides 7.2.2, 7.0.8 ja 6.4.10 ning FortiProxy versioonides 7.0.7 ja 2.0.11.
Haavatava tarkvara kasutamise korral soovitame see uuendada esimesel võimalusel.

Sophose tulemüüri tarkvaras avastati mitu olulist turvaviga

Sophos avalikustas, et tulemüüri tarkvarale tuli uus versioon 19.5, millega paigati mitu haavatavust. Versiooniuuendus parandab kokku seitse turvanõrkust, millest ühte hindas ettevõte kriitilise tõsidusastmega ning kolme haavatavust kõrge tõsidusastmega (SW, Sophos).

CVE-2022-3236 (9.8/10.0) on kriitiline turvanõrkus, mida on tootja hinnangul kasutatud küberrünnakutes septembrist alates. Peamiselt on sihtmärkideks olnud organisatsioonid, mis asuvad Lõuna-Aasias. Nõrkuse abil on ründajal võimalik teostada koodi kaugkäitust. Sophos on turvanõrkusest täpsemalt kirjutanud enda veebilehel.

Kolme kõrge kriitilisuse tasemega haavatavuse puhul on vaja ärakasutamiseks kõrgendatud õiguseid, kuid need võimaldavad ründajal samuti käivitada pahaloomulist koodi erinevates Sophose toodete komponentides. Ettevõte on detailsema nimekirja parandatud turvavigadest avalikustanud siin.

Kes ja mida peaks tegema?

Kui te kasutate ettevõtte tooteid, mis on turvanõrkustest mõjutatud, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada versioon 19.5 esimesel võimalusel.

Androidi operatsioonisüsteemil paigati üle 80 turvanõrkuse

Google avalikustas, et Androidi operatsioonisüsteemil parandati üle 80 haavatavuse.. Nendest neli on hinnatud kriitiliseks ja need mõjutavad Androidi versioone 10 kuni 13 (ZDNET, Android).

Kaks kriitilist nõrkust neljast (CVE-2022-20411 ja CVE-2022-20498) mõjutavad Androidi süsteemikomponenti ning ülejäänud kaks (CVE-2022-20472 ja CVE-2022-20473) Androidi raamistikku. Kolm turvanõrkust neljast lubavad ründajal teostada koodi kaugkäitust, nendest CVE-2022-20411 üle Bluetoothi, ning üks turvanõrkus neljast võimaldab ründajal lekitada informatsiooni haavatavast süsteemist. Google ei ole avalikkusega jaganud täpsemaid turvavigadega seotud tehnilisi detaile.

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga nutitelefone, veenduge, et teil oleksid alati kõik pakutavad uuendused esimesel võimalusel rakendatud.

Cisco IP-telefonidel avastati kõrge mõjuga nullpäeva turvanõrkus

Turvanõrkus (CVE-2022-20968) mõjutab Cisco 7800 ja 8800 seeria IP-telefone. Turvaviga on seotud sisendi ebapiisava kontrollimisega, mille abil on võimalik teostada koodi kaugkäitust või sooritada teenusetõkestusründeid (BP, Cisco).

Kes ja mida peaks tegema?

Haavatavus mõjutab Cisco 7800 ja 8800 seeria IP-telefone, mis kasutavad tarkvaraversiooni 14.2 või varasemat. Turvanõrkusele ei ole hetkel väljastatud turvapaika, kuid Cisco sõnul avalikustatakse see 2023. aasta jaanuaris. Siiski on Cisco avaldanud mõned juhised, kuidas haavatavaid seadmeid turvavea ärakasutamise eest kaitsta. Nendega saate vajadusel tutvuda siin.

RIA analüüsi- ja ennetusosakond