Category Archives: teek

OpenSSLi logo ühes tekstiga "Turvanõrkus OpenSSL teegis".

Olulised turvanõrkused OpenSSLi teegis

Taust

1. novembril avalikustasid OpenSSLi arendajad enda teegist versiooni 3.0.7, millega parandati kaks kõrge tasemega turvanõrkust (CVE-2022-3602 ja CVE-2022-3786). Algselt hinnati esimest nõrkust kriitiliseks, kuid OpenSSLi loojad alandasid kriitilisuse taset pärast arutelusid eri osapooltega[1].

OpenSSL on avaliku lähtekoodiga tarkvara, mida kasutatakse laialdaselt muuhulgas võrguliikluse krüpteerimiseks (sealhulgas VPNi lahenduste või HTTPSi protokolli puhul). OpenSSLi arendajad on varem hinnanud vaid üht nõrkust kriitilise tasemega (HeartBleed-nimeline haavatavus 2014. aastal). Tol korral oli ründajatel võimalik nõrkuse abiga varastada sessiooniküpsiseid, paroole ja muud tundlikku informatsiooni.

Mõju Eestis

Kogu maailmas ja ka Eestis on OpenSSLi kasutamine laialt levinud, kuid on keeruline hinnata, kui ulatuslikult kasutatakse Eestis teegi haavatavaid versioone (3.0.0–3.0.6).

Riigi Infosüsteemi Ameti CERT-EE osakonnale ei ole seni teada ühtegi juhtumit, kus haavatavust oleks suudetud ära kasutada. Arendaja kirjutas eilses blogipostituses, et neile ei ole samuti teada ainsatki sellist juhtumit1. Samas on nõrkused väga uued ja informatsiooni aina laekub. Internetist leiab juba esimesi CVE-2022-3602 nõrkuse kontseptsiooni tõendusi (POC).

Ärakasutamiseks on siiski vaja täita teatud eeltingimused (käsitleme neid allpool) ja nõrkuseid ei ole üleüldiselt lihtne kuritarvitada. Lisaks rõhutatakse, et maailmas kasutatakse hetkel rohkem OpenSSLi 1.x versioone kui 3.x.x versioone (Graafik 1).

Graafik 1: OpenSSLi versioonide kasutamise osakaalud pilveteenuste klientide näitel. Allikas: Wiz.io

Millised rakendused on haavatavad?

Haavatavad on kõik rakendused, mis kasutavad OpenSSLi versiooni 3.0.0–3.0.6. Haavatavad ei ole lahendused, mis kasutavad OpenSSLi 1.x.x versioone.

Nimekiri mõjutatud toodetest

Hollandi riiklik küberturvalisuse keskus (NCSC-NL) haldab koostöös partneritega GitHubi repositooriumi, kus on välja toodud nimekiri nõrkuse poolt mõjutatud tarkvaradest. Soovitame IT-ekspertidel ja CISOdel seda veebilehte jälgida.

Selle GitHubi põhjal ei saa teha siiski vettpidavaid järeldusi, et teised süsteemid ja tarkvarad ei ole haavatavad, sest organisatsioonid võivad kasutada lahendusi, mida ei ole nimekirjas välja toodud. Kõik oleneb sellest, kas kasutatakse teegi 3.x versioone või mitte.

Turvanõrkuste olemus

Haavatavused on seotud X.509 sertifikaatide verfitseerimisfunktsiooniga ning nõrkuste abil saab teostada puhvri üle täitumist (buffer overflow). Ründajad saavad nii põhjustada teenusekatkestusi. CVE-2022-3602 puhul on kirjutatud ka võimalusest käivitada pahaloomulist koodi, kuid see järeldus on hetkel teoreetilisel tasemel.

Eduka ärakasutamise jaoks on ründajal vaja, et vähemalt üks järgnevatest tingimustest on täidetud:

  • Pahaloomulise sertifikaadi olemasolu, mille on allkirjastanud usaldusväärne sertifitseerimiskeskus (Certificate Authority).
  • Süsteem, mis kontrollib pahaloomulist sertifikaati, ei valideeri ülemsertifikaate (parent certificates)

Pikem tehniline analüüs CVE-2022-3602 nõrkuse kohta on siin: https://securitylabs.datadoghq.com/articles/openssl-november-1-vulnerabilities/#vulnerability-description

Soovitused infoturbejuhtidele

1. Tuvasta, kas teie ettevõtte süsteemid on haavatavad siin kajastatud turvanõrkuste vastu. Kasulik on koostada nimekiri haavatavatest tarkvaradest ja plaan, millal ja kuidas mõjutatud komponendid paigata. Samuti tuleks veenduda, et ettevõtte partnerid, kellel on ligipääs teie süsteemidele, ei ole haavatavad nende turvanõrkuste vastu. Halbade asjaolude kokkulangemisel võib partneri süsteem mõjutada ka teie süsteemi.

2. Uuenda haavatavaid OpenSSLi versioone kasutavad rakendused esimesel võimalusel nii, et need kasutaksid vähemalt teegi versiooni 3.0.7. Kui uuendamine ei ole võimalik, soovitab arendaja ühe lahendusena TLS-serverite haldajatele keelata võimalusel TLS-kliendi autentimine seniks, kuni uuendused on rakendatud1.

3. Vaata üle, kas mõjutatud on teenused, mis on interneti kaudu ligipääsetavad. Kui jah, tuleks infoturbejuhtidel või süsteemihalduritel vajadusel hinnata, kas on võimalik ajutise meetmena (kuni paigatud versiooni või alternatiivsete lahenduste rakendamiseni) ligipääsu neile teenustele piirata (need internetist eemaldada, kui kübeintsidendi toimumise risk on suur).

4. Kui te ei ole seda veel teinud, soovitame liituda CERT-EE igahommikuse uudiskirjaga, mis toob teieni kõik olulisemad turvanõrkustega seotud uudised. Juhendi, kuidas uudiskirjaga liituda, leiate siit: https://www.ria.ee/et/kuberturvalisus/cert-ee.html. Samuti kajastame iganädalaselt olulisemaid turvanõrkustega seotud uudiseid RIA blogis.


[1] https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

Olulised turvanõrkused 2022. aasta 42. nädalal

Apache’i Commons Texti teegis paigati kriitiline turvaviga

Hiljuti avalikustati kriitiline turvaviga CVE-2022-42889 (9.8/10.0) Apache’i Commons Texti teegis. CVE-2022-42889 on nõrkus, mille abil õnnestub autentimata ründajal teostada koodi kaugkäitust. Apache Commons Text on teek, mis sisaldab kasulikke funktsioone sõnede (string) töötlemiseks. Nõrkuse kontseptsiooni tõendus ehk PoC (proof of concept) on avalikustatud (DRSABP).

Turvanõrkuse olemus

Turvaviga põhineb lihtsustatult sisendi ebakorrektsel töötlemisel. See tähendab, et ründajal on võimalik anda haavatava Commons Text teeki kasutava rakenduse kaudu serverile pahaloomuline sisend, mis seal käivitub. Selle tulemusena on ründajal võimalik andmeid varastada, paigaldada pahavara või teha muid pahaloomulisi tegevusi kompromiteeritud süsteemis.

Turvanõrkuse põhjalikuma tehnilise kirjeldusega saab tutvuda siin.

Kes ja mida peaks tegema?

Haavatavad on organisatsioonid, kes kasutavad mõjutatud Apache’i Commons Texti teeki kasutavaid rakendusi koos StringSubstitutor klassiga.  CVE-2022-42889 nõrkus ohustab teegi versioone 1.5-1.9. See on paigatud versioonis 1.10.0.

  • Esmalt tuleb kaardistada, et kas ja milliste rakenduste puhul Commons Text teeki organisatsioonis kasutatakse. Ühe võimalusena saab skaneerida ära kõik JAR failid, mis on seotud Apache Commons Text teegiga. Näiteks võib süsteemist otsida kõiki faile, mis vastavad otsingufraasile common-text*.jar. Tärn tähistab otsingufraasis teegi versiooni (1.10.0 versiooni puhul oleks faili nimi common-text-1-10.0.jar).
  • Samuti tuleb analüüsida, kas rakendatakse väliseid komponente, mis võivad kasutada haavatavat teegi versiooni.
  • Kui te kasutate mõjutatud Apache Common Texti versiooni (1.5-1.9), tuleb see uuendada vähemalt versioonile 1.10.0, mille leiate siit. Kui uuendamine ei ole võimalik, tuleb igal organisatsioonil tähelepanelikult teeki kasutavad funktsioonid üle kontrollida ja veenduda, et need ei aksepteeriks ebausaldusväärset sisendit.

Oracle paikas turvauuendustega 179 haavatavust

Ettevõte tuli välja 27 tootele mõeldud 370 turvauuendusega, millest 56 on kriitilised, 144 kõrge tasemega ja 163 keskmise tasemega turvauuendused (TenableOracle). 

Kes ja mida peaks tegema?

Organisatsioonid, kes kasutavad neid Oracle’i tooteid, tuleb veenduda, et kõik pakutavad turvauuendused oleks tehtud. Vastasel juhul säilib oht turvanõrkuste ära kasutamiseks. Täpsema ülevaate paigatud nõrkustest saab tootja kodulehelt siin.

MacOSi Zoomi tarkvara sisaldab kõrge riskiga turvaviga

Populaarses videokonverentsi tarkvaras Zoom avastati kõrge riskiga turvaviga (CVE-2022-28762), mida on hinnatud skooriga 7.3/10.0. Haavatavus mõjutab MacOSi Zoomi rakenduse kasutajaid, täpsemalt Zoom Client for Meetings for MacOS versioone 5.10.6 kuni 5.12.0 (SW).

Kes ja mida peaks tegema?

Turvaveale on olemas parandus. Mõjutatud tarkvara kasutavatel inimestel tuleb ennetusmeetmena Zoom uuendada.

Turvanõrkused Cisco Identity Services Engine teenuses

Cisco avaldas hoiatuse Identity Services Engine (ISE) teenuse kasutajatele kahe haavatavuse (CVE-2022-20822 ja CVE-2022-20959) osas, mis võimaldavad kompromiteeritud seadmes olevaid faile lugeda, kustutada ja selles käivitada pahatahtlikku koodi. Tootja ei ole teadlik, et turvanõrkuseid oleks üritatud veel ära kasutada (HNS).

CVE-2022-20822 (7.1/10.0)on path traversal tüüpi turvanõrkus, millega on ründajal võimalik pääseda kõrgema tasemega kataloogidesse, mis ei ole mõeldud kõigile ligipääsetavaks. Haavatavust saab kuritarvitada autentitud pahaloomuline kasutaja, kui ta saadab Cisco ISE veebiliidesele spetsiaalse HTTP-päringu.

CVE-2022-20959 (6.1/10.0) on skriptisüsti võimaldav turvanõrkus, mis mõjutab Cisco ISE ERS APIt. Haavatavuse ärakasutamiseks tuleb ründajal loota, et autentitud veebiliidese administraator klikib talle saadetud pahaloomulisel lingil. Õnnestunud rünne pakub pahalasele võimaluse käivitada liideses pahaloomulist koodi või pääseda ligi tundlikule informatsioonile.

Kes ja mida peaks tegema?

Hetkel on turvapaik CVE-2022-20959 nõrkuse jaoks avalikustatud üksnes ühe kindla ISE versiooni puhul. Alternatiivseid ennetusmeetmeid ei ole. Kui te kasutate Cisco Identity Services Engine teenust, tutvuge tootja ametliku informatsiooniga siin ja siin.

Zimbra tarkvara kriitiline turvanõrkus paigati

Kaks nädalat tagasi kirjeldas RIA turvanõrkuste ülevaade Zimbra Collaboration Suite tarkvara kriitilist turvanõrkust skooriga 9.8/10.0 (CVE-2022-41352), mis võimaldab koodi kaugkäitust. Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Nüüd on turvanõrkusele avalikustatud ka parandus ning see soovitatakse rakendada kõigil, kes mõjutatud tarkvara kasutavad. Täpsemalt saab selle kohta lugeda siit.

RIA analüüsi- ja ennetusosakond