Category Archives: turvanõrkus

Olulised turvanõrkused 2023. aasta 33. nädalal

Adobe Magento 2 tarkvara vana turvaviga kasutatakse ründekampaanias

Kübereksperdid avalikustasid raporti, milles analüüsiti alates selle aasta jaanuarist toimunud ründeid Magento 2 tarkvara kasutavate e-poodide vastu. Ründekampaaniat tuntakse nimetuse all Xurum ja selle käigus on ära kasutatud turvanõrkust CVE-2022-24086 (Akamai, HN).

CVE-2022-24086-nimelise turvanõrkuse abil saab autentimata ründaja veebilehe kompromiteerida ja kasutada seda edasiseks pahatahtlikuks tegevuseks – näiteks on võimalik veebilehele lisada pahaloomulist koodi, mis suunab külastaja edasi petulehtedele, samuti on oht andmelekkeks.

Raportist järeldus, et ründajad on eelkõige huvi tundnud haavatavate Magento poodide viimase 10 päeva jooksul tehtud tellimuste maksestatistika vastu. Samuti on täheldatud, et mõned veebisaidid on nakatunud lihtsate JavaScripti-põhiste pahavaradega, mis on loodud krediitkaarditeabe kogumiseks ja juhtserverisse edastamiseks (Akamai, HN). Turvanõrkus on parandatud kõigis hiljuti avaldatud Adobe Commerce ja Magento tarkvara versioonides. Raportiga on võimalik tutvuda siin ja tootja teabelehega siin.

WinRARi tarkvaras leiti koodi käivitamise haavatavus

Hiljuti avastati WinRARi arhiveerimistarkvarast turvaauk, mille abil on ründajatel võimalik pahaloomulist koodi käivitada. Turvanõrkust tähistatakse tähisega CVE-2023-40477 ja see on hinnatud suhteliselt kõrge CVSSi[1] skooriga (7.8/10.0). Turvanõrkuse kasutamiseks tuleb ründajal veenda ohvrit avama selle jaoks spetsiaalselt loodud pahaloomulist faili või peab ohver külastama selleks pahaloomulist veebilehte. Tarkvarale on olemas uuendus, mille soovitame esimesel võimalusel rakendada. Rohkem informatsiooni uuenduse kohta saab viidatud linkidelt (ZDI, WinRAR).

Peaaegu kõik VPN-id on haavatavad TunnelCrack-nimeliste rünnakute suhtes

New Yorgi ja KU Leuveni ülikoolide teadlased avastasid mitu turvaviga, mida ründajad saavad kasutajate võrguliikluse lugemiseks või kasutajateabe varastamiseks. Avastatud haavatavusi tähistatakse CVE-2023-36672, CVE-2023-35838, CVE-2023-36673 ja CVE-2023-36671. Esimest kahte nõrkust saab ära kasutada siis, kui ohver loob ühenduse ründaja loodud Wi-Fi või Etherneti võrguga, viimast kahte nõrkust aga saavad kasutada ründajad, kes kasutavad ebausaldusväärset Wi-Fi/Etherneti võrku, või pahatahtlikud internetiteenuse pakkujad (ISP) (HNS, Usenix).

Teadlased testisid paljusid VPN-lahendusi ja avastasid, et enamik Apple’i , Windowsi ning Linuxi seadmetele mõeldud VPNe on ühe või mõlema rünnaku suhtes haavatavad. Windowsi, macOS-i ja iOS-i sisseehitatud VPN-kliendid on samuti haavatavad.

Teadlased on VPN lahenduste tootjatele turvanõrkustest teada andnud ja mõned neist on juba ka parandused rakendanud (HNS, Usenix). 

Chrome’i uues versioonis parandati 26 turvanõrkust

Google avaldas uue Chrome’i versiooni 116 Windowsi, macOSi ja Linuxi operatsioonisüsteemidele, milles on võrreldes eelmiste versioonidega parandatud 26 turvanõrkust. Nendes seas on kaheksa kõrge mõjuga haavatavust. Google’i sõnul hakatakse nüüd turvauuendusi väljastama iganädalaselt, et turvavigade parandused jõuaksid kiiremini kasutajateni (SW, Chrome).

Juniperi Networksi võrguseadmeid ohustavad neli turvanõrkust

Võrguseadmeid tootev ettevõte Juniper Networks avalikustas turvauuenduse, et kõrvaldada Junos OS-i J-Webi komponenti mõjutavad turvavead. J-Webi liidese abil saavad kasutajad Junos OS-i seadmeid konfigureerida, hallata ja jälgida.

Turvavigu saab omavahel kombineerida, et käivitada pahaloomulist koodi haavatavates süsteemides ja need mõjutavad kõiki Junos OS-i versioone SRX ja EX seeria mudelitel.

Kasutajatel soovitatakse rakendada vajalikud turvauuendused, et ennetada võimalikke turvanõrkustega seotud ohte. Kui uuendamine ei ole võimalik, soovitab tootja alternatiivsete lahendusmeetmetena J-Webi kasutamine peatada või piirata sellele ligipääsu (HN, Juniper).


[1] Rahvusvaheliselt tuntud turvanõrkuste kriitilisuse määramiseks kasutatav mudel.

Olulised turvanõrkused 2023. aasta 29. nädalal

Tuhanded Citrixi serverid on haavatavad kriitilise turvanõrkuse vastu

Tuhanded avalikust võrgust kättesaadavad Citrixi Netscaler ADC ja Gateway serverid on haavatavad rünnakute suhtes, mis kasutavad ära kriitilist koodi kaugkäivitamise (RCE) viga CVE-2023-3519. Praeguseks on välja tulnud, et ründajatel on õnnestunud juba ka haavatavaid organisatsioone edukalt rünnata. Näiteks avalikustas USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) möödunud neljapäeval, et seda haavatavust kuritarvitati ühe USA kriitilise infrastruktuuri organisatsiooni vastu. Konkreetse intsidendi käigus paigaldati haavatavasse süsteemi pahavara, mille abil üritati erinevaid andmeid koguda ja nii teistesse süsteemidesse edasi liikuda (CISA).

Kes ja mida peaks tegema?

Haavatavus mõjutab NetScaler Application Delivery Controlleri (ADC) ja NetScaler Gateway tooteid.  Haavatavad versioonid on välja toodud tootja kodulehel. Kui te antud tooteid kasutate, veenduge, et need kasutaksid vastavat turvaparandustega tarkvara.

Apache OpenMeetings tarkvarast leiti kõrge mõjuga turvavead

Kokku avalikustati kolm haavatavust, mis lubavad ründajatel käivitada haavatavates süsteemides pahaloomulist koodi. Turvanõrkuseid tähistatakse nimetustega CVE-2023-28936, CVE-2023-29023 ja CVE-2023-29246. OpenMeetings on rakendus, mida saab kasutada näiteks videokõnede või esitluste tegemiseks. Seda on alla laaditud rohkem kui 50 000 korda ja seda pakutakse pistikprogrammina ka sellistele tarkvaradele nagu Jira, Confluence või Drupal. Kõik eelnev ning asjaolu, et seda võidakse kasutada tundlikeks aruteludeks või koosolekuteks, muudavad konkreetsete turvanõrkuste vastu haavatavad süsteemid ründajatele atraktiivseteks sihtmärkideks (Sonar).

Kes ja mida peaks tegema?

Kui te antud tarkvara kasutate, siis veenduge, et teie tarkvara kasutaks vähemalt versiooni 7.1.0. Sellisel juhul haavatavused teile ohtu ei kujuta.

Oracle parandas üle 75 kriitilise turvanõrkuse

Oracle avalikustas erinevatele tarkvaradele juulikuu turvauuendused, mille abil parandati 508 turvanõrkust, nendest vähemalt 75 kriitilist haavatavust. Turvavigade seas on rohkem kui 350 viga, mida saab ründaja kasutada autentimata. Parandused said muuhulgas nii MySQLiga kui ka finantsteenustega seotud tarkvarad (SW, Oracle).

Kes ja mida peaks tegema?

Kõik turvauuendused saanud tarkvarad on välja toodud tootja kodulehel siin. Kui te antud ettevõtte tooteid kasutate, soovitame nimekirjaga tutvuda ja kontrollida, kas teie tarkvarad vajavad uuendamist.

Mitmed robotvõrgustikud üritavad aktiivselt kompromiteerida Zyxeli võrguseadmeid

Lähikuudel on robotvõrgustikud üritanud üha aktiivsemalt kompromiteerida haavatavaid Zyxeli võrguseadmeid (Fortinet, Rapid7, SA). Robotvõrgustikud koosnevad komrpomiteeritud seadmetest, mida kasutatakse erinevatel pahaloomulistel eesmärkidel, sageli ka ummistusrünnakute (DDoS-rünnakute) teostamiseks. Robotvõrgustike haldurid otsivad järjepidevalt aga üha uusi haavatavaid seadmeid, mida võrgustikega liita.

Zyxel avalikustas paar kuud tagasi, et mitmeid nende pakutavaid tulemüüre ohustab kriitiline haavatavus CVE-2023-28771, mille abil on võimalik pahaloomulist koodi käivitada. Haavatavus mõjutab Zyxeli ZyWALL/USG seeria püsivara versioone 4.60 kuni 4.73, VPN-seeria püsivara versioone 4.60 kuni 5.35, USG FLEX seeria püsivara versioone 4.60 kuni 5.35 ja ATP seeria püsivara versioone 4.60 kuni 5.35.

Kuna haavatavuse jaoks on kättesaadav kontseptsiooni tõendus (PoC), siis ongi robotvõrgustikud üritanud leida just selle turvavea vastu haavatavaid seadmeid, eriti Kesk-Ameerikas, Põhja-Ameerikas ja Aasias. Põhjalikumalt on võimalik selle teema kohta lugeda eelmisel nädalal avaldatud analüüsist siin.

Kes ja mida peaks tegema?

Kui te vastavaid Zyxeli võrguseadmeid kasutate ning need kasutavad haavatavat tarkvara, uuendage need esimesel võimalusel. Täpsema ülevaate parandatud versioonidest leiate tootja kodulehelt siit.

Olulised turvanõrkused 2023. aasta 28. nädalal

Microsoft hoiatab Office’i paikamata nullpäeva turvanõrkusest

Turvaviga (CVE-2023-36884) mõjutab mitmeid Microsofti Windowsi ja Office’i tarkvarasid ning sellele ei ole hetkel parandust. Haavatavus võimaldab pahavaraga Office’i dokumentide abil koodi kaugkäivitada. Eduka ründe korral saab häkker ligipääsu tundlikule infole, lülitada välja süsteemi kaitse ja keelata juurdepääs kompromiteeritud süsteemile. Ründe läbiviimiseks tuleb luua spetsiaalne pahavaraga Microsoft Office’i dokument, mille avamisel käivitatakse pahatahtlik kood ohvri seadmes.

Microsofti sõnul on haavatavust juba rünnetes ära kasutatud. Näiteks kasutati sihtmärkidena oganisatsioone, kes osalesid NATO tippkohtumisel Leedus. Ründajad saatsid näiliselt organisatsiooni “Ukrainian World Congress” nimel pahatahtlikke dokumente, mille avamisel laeti ohvri seadmesse erinevat tüüpi pahavara (BC, SW, Microsoft).

Kes ja mida peaks tegema?

Turvaveale ei ole veel parandust, kuid ettevõte soovitab ajutise lahendusena kasutada Defender for Office lahendust ja lubada seal “Block all Office applications from creating child processes” valik.  Lisaks soovitame lugeda täiendavaid nõuandeid Microsofti blogist.

Apple paikas nullpäeva turvanõrkuse

Ettevõtte sõnul on turvanõrkust ära kasutatud Apple’i seadmete ründamiseks. Parandus avaldati juba eelmisel esmaspäeval, kuid vigade tõttu tuli see tagasi võtta ja uus versioon luua. Nullpäeva haavatavus tähisega CVE-2023-37450 mõjutab Apple’i WebKiti veebibrauseri mootorit. Viga on parandatud tarkvara versioonides iOS 16.5.1 (c), iPadOS 16.5.1 (c), macOS 13.4.1 (c) ja Safari 16.5.2. Paranduse näol on tegemist Rapid Security Response (RSR) tüüpi uuendusega, mida kasutatakse Apple’i seadmeid mõjutavate turbeprobleemide lahendamiseks ning rünnakutes aktiivselt ära kasutatud turvaaukude kiireks parandamiseks. Tegemist on kümnenda nullpäeva turvanõrkusega, mille ettevõte on paiganud sel aastal (BC, HN, Apple).

Kes ja mida peaks tegema?

Soovitame kõigil Apple’i seadmete kasutajatel teha tarkvarauuendus iOSi, iPadOSi ja macOSi operatsioonisüsteemidele.

Fortinet paikas kriitilise turvavea

Turvanõrkus (CVE-2023-33308) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahatahtlikku koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.8/10.

Turvaviga mõjutab FortiOSi ja FortiProxy järgmisi versioone:

  • FortiOS versioonid 7.2.0 kuni 7.2.3
  • FortiOS versioonid 7.0.0 kuni 7.0.10
  • FortiProxy versioonid 7.2.0 kuni 7.2.2
  • FortiProxy versioonid 7.0.0 kuni 7.0.9

Viga on parandatud FortiOS versioonides 7.4.0, 7.2.4 ning 7.0.11 ja FortiProxy versioonides 7.2.3 ja 7.0.10. Kuna Fortineti turvanõrkusi on varasemalt tihti rünnetes ära kasutatud, siis on tarkvara uuendamine eriti oluline (SW, BC, Fortinet).

Kes ja mida peaks tegema?

Kõik Fortineti teenuste FortiOS ja FortiProxy kasutajad võiks üle kontrollida, kas neil on kasutusel turvaveast mõjutatud versioon ja vajadusel tarkvara uuendada.

WordPressi pistikprogramm salvestas paroole lihttekstina

WordPressi AIOS-nimelises pistikprogrammis avastati haavatavus – see salvestas kõik kasutajate sisselogimiskatsed (sh paroolid) andmebaasi lihttekstina. AIOS ehk The All-In-One Security näol on tegemist lahendusega, mis pakub WordPressi lehtedele tulemüüri, sisu kaitset ja sisselogimise vahendeid. Kuna pluginat kasutab enam kui miljon WordPressi veebilehte, siis hakatakse tõenäoliselt turvanõrkust rünnetes ära kasutama. Esimest korda mainiti avastatud viga juba ligi kolm nädalat tagasi, seega võib eeldada et haavatavust on juba kuritarvitatud (BC, AIOS).

Kes ja mida peaks tegema?

Kõik WordPressi veebilehed, kus on kasutusel AIOS-plugin, peaks selle uuendama versioonile 5.2.0, kus on turvaviga parandatud.