Category Archives: turvanõrkus

Olulisemad turvanõrkused 2024. aasta 4. nädalal

Apple paikas selle aasta esimese nullpäeva turvanõrkuse

Apple paikas turvanõrkuse tähisega CVE-2024-23222, mis mõjutab kõiki Apple’i nutitelefone, sülearvuteid  ja Apple TV seadmeid. Haavatavus paikneb Apple Webkiti komponendis ja eduka ründe korral on võimalik ohvri seadmes pahatahtlikku koodi käivitada. Viga on paigatud iOSi versioonis 17.3, macOS Sonoma versioonis 14.3 ning macOS Ventura versioonis 13.6.4. Ettevõtte sõnul on haavatavusi juba rünnetes ära kasutatud, mistõttu on eriti oluline kõik mõjutatud Apple’i seadmed uuendada (BC, SW).

Häkkerid kasutavad ära kriitilist Confluence’i turvaviga

16. jaanuaril avalikustatud kriitilist turvaviga tähisega CVE-2023-22527 proovitakse aktiivselt rünnetes kuritarvitada, selgub Shadowserveri andmetest. Turvaviga võimaldab autentimata ründajal käivitada pahatahtlikku koodi ja see mõjutab kõiki Confluence Data Centeri ja Serveri versioone, mis on väljastatud enne 5. detsembrit 2023. Shadowserveri sõnul on nad näinud juba üle 40 000 ründekatse. Kõikidel Confluence’i kasutajatel soovitame uuendused rakendada esimesel võimalusel, kui seda ei ole veel tehtud (SW, BC).

Enam kui 5300 GitLabi serverit ohustab kontode ülevõtmist võimaldav turvaviga

Sel kuul avaldati GitLabi turvaviga tähisega CVE-2023-7028, mis võimaldab ründajal keskkonna kasutajate kontod üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile. Shadowserveri sõnul on haavatavuse tõttu ohus enam kui 5300 internetile avatud GitLabi serverit. Praeguse informatsiooni põhjal ei ole turvaviga veel kuritarvitatud, kuid kõik GitLabi kasutajad peaksid tarkvara uuendama esimesel võimalusel (BC).

Kriitilised turvanõrkused ohustavad Jenkinsi tarkvara kasutavaid servereid

SonarSource kirjutas hiljuti kahest Jenkinsi tarkvara mõjutavast kriitilisest turvanõrkusest. Neid tähistatakse vastavalt  CVE-2024-23897 ja CVE-2024-23898. Esimene neist võimaldab autentimata ründajatel lugeda andmeid haavatavatest serveritest. Kogutud teabe abil saab mõjutatud keskkonnas potentsiaalselt käivitada pahaloomulist koodi. Teise turvanõrkuse puhul aga on ründajatel võimalik käivitada suvalisi CLI käske juhul, kui neil õnnestub ohvreid veenda klikkama spetsiifilisel veebilingil. Ühe kriitilise Jenkinsi tarkvara turvanõrkuse jaoks on juba avalikustatud mitu kontseptsiooni tõendust (PoCi). Jenkins on tarkvara, mida kasutatakse sageli tarkvaraarenduses ülesannete automatiseerimiseks. Turvanõrkused on parandatud Jenkinsi versioonides 2.442 ja LTS 2.426.3. Soovitame kõigil kasutajatel uuendada tarkvara esimesel võimalusel (SonarSource, BC).

Cisco hoiatab kriitilise turvanõrkuse eest sidetarkvaras

Cisco sõnul on mitmed tooted, mis kasutavad tarkvarasid Unified Communications Manager (CM) ja Contact Center Solutions, haavatavad kriitilise turvaveale tähisega CVE-2024-20253. Turvaviga võimaldab autentimata ründajal käivitada suvalisi käske ja saada juurkasutaja õigused. Täpsem nimekiri mõjutatud toodetest ja neile olemasolevatest turvapaikadest on lisatud linkidel (BC, HN, Cisco).

Pwn2Own Automotive’i üritusel demonstreeriti 49 uut nullpäeva turvaauku

Pwn2Own on tuntud häkkimisvõistlus, mis kutsub eetilisi häkkereid üles avastama ja ära kasutama tarkvara- ja riistvarasüsteemide haavatavusi. Osalejad demonstreerivad oma oskusi erinevate süsteemide peal, Pwn2Own Automotive’i üritusel on fookusteemaks aga sõidukid ja nendega seotud seadmed (elektrisõidukite laadijad, multimeediasüsteemid jms). Lisaks sellele, et üritusel näidati 49 uut nullpäeva turvaauku, demonstreeriti ka kaht erinevat viisi, kuidas Tesla autode süsteemidesse on võimalik sisse murda. Pwn2Own Automotive’i leiud juhivad tähelepanu sellele, kui vajalik on keskenduda küberturvalisusele ka autotööstuses (BC).

Olulisemad turvanõrkused 2024. aasta 3. nädalal

VMware parandas Aria Automation tarkvaral kriitilise turvanõrkuse

Virtuaalmasinate loomise ja haldamise tarkvara pakkuv ettevõte VMware parandas hiljuti tõsise turbeprobleemi oma tootes nimega Aria Automation (varem tuntud kui vRealize Automation). Turvanõrkuse abil oli võimalik volitamata pääseda erinevatesse tarkvaraga seotud süsteemidesse ja protsessidesse,  juhul kui ründajal on haavatavale VMware’ile juba teatud tasemel juurdepääs (THN).

Turvaviga kannab tähist CVE-2023-34063 ja see on hinnatud kriitilisuse tasemega 9.9/10, mis näitab, et tegemist on väga tõsise haavatavusega.

Mõjutatud tarkvara versioonid:

VMware Aria Automation (versioonid 8.11.x, 8.12.x, 8.13.x ja 8.14.x)

VMware Cloud Foundation (versioonid 4.x ja 5.x)

Ettevõte juhib enda ametlikus teadaandes tarkvara kasutajate tähelepanu sellele, et pärast turvapaiga rakendamist peaksid kliendid uuendama oma süsteemid ainult versioonile 8.16. Kui nad lähevad üle versioonile, mis on mõjutatud versioonide ja versiooni 8.16 vahel, võib turvanõrkus uuesti ilmneda, mis nõuab teist parandust (VMware).

Atlassian parandas Confluence’il tõsiste tagajärgedega haavatavuse

Atlassian on hiljuti parandanud oma toodetes suurel hulgal turvanõrkuseid, sealhulgas ühe väga tõsise nõrkuse Confluence Data Center ja Confluence Server toodetes. Haavatavus on koodi kaugkäivitamise (RCE) viga, mis tähendab, et see võib lubada kellelgi, kellel pole volitatud juurdepääsu, tarkvaraga seotud süsteemile käske anda või seda muul moel mõjutada (Atlassian).

Turvanõrkusetähis on CVE-2023-22527 ja seda on hinnatud kõrgeima kriitilisuse skooriga 10.0/10.0. Haavatavus mõjutab tarkvara versioone 8.0.x kuni 8.5.3, kuid ei mõjuta versiooni 7.19.x LTS (pikaajalise toega versioon) (Atlassian).

Atlassian on selle probleemi lahendanud järgmistes uuemates versioonides: 8.5.4, 8.5.5, 8.6.0, 8.7.1 ja 8.7.2 (ainult Confluence Data Center jaoks). Ettevõte soovitab kasutajatel, kes kasutavad vanemaid a haavatavaid versioone, uuendada oma tarkvara uusimale saadaolevale versioonile (Atlassian).

Google parandas Chrome’i sirvikul nullpäeva turvanõrkuse

Google avalikustas Chrome’i brauseri värskendused, et parandada äsja avastatud ja aktiivselt kuritarvitatud turvaauk. Viga peitub selles, kuidas Chrome käsitleb teatud tüüpi koodi. Ründajad võivad seda loogikaviga manipuleerida nii, et brauseri töö katkeb või õnnestub ründajal veebilehitseja üle kontroll võtta. Viga kannab tähist CVE-2024-0519 ja seda nimetatakse nullpäeva turvanõrkuseks,  kuna ründajad kasutasid seda aktiivselt ära enne, kui Google sellest teadlikuks sai ja paranduse välja andis.

Üksikasju ei ole rünnakute kohta avalikustatud. Eelmisel aastal parandas Google Chrome’i sirvikus kokku kaheksa nullpäeva turvanõrkust (THN).

Selle haavatavuse eest kaitsmiseks soovitatakse kasutajatel värskendada oma Chrome’i brauser uusimale versioonile: 120.0.6099.224/225 Windowsi jaoks, 120.0.6099.234 macOS-i jaoks ja 120.0.6099.224 Linuxi jaoks. Teiste Chromiumil põhinevate brauserite (nt Microsoft Edge, Brave, Opera ja Vivaldi) kasutajatel soovitatakse samuti oma brausereid värskendada niipea, kui parandused on saadaval (THN).

Nutitelefonide valgusandurid võivad võimaldada salajast jälgimist

MIT-i teadlased on avastanud, et nutitelefonide, sealhulgas iPhone’i ja Androidi, seadmete ümbritseva valguse tuvastamiseks mõeldud andureid saab kasutada kasutaja interaktsioonide salvestamiseks ilma nende teadmata. Need andurid, mida tavaliselt kasutatakse ekraani heleduse reguleerimiseks, ei vaja kasutamiseks kasutaja luba. MIT-i teadlasterühm näitas, et andurid suudavad jäädvustada žeste, nagu kerimine, tuvastades kasutaja käe poolt blokeeritud valguse variatsioonid (DR).

MIT-i doktorant Yang Liu rõhutas nende anduritega seotud privaatsusriske, eriti kuna kasutajad ei tea, et varjatud jälgimiseks võidakse kasutada pildistamiseks mitte mõeldud komponente. Suundumus suuremate ja heledamate ekraanide poole ning tehisintellekti kasutavate tehnoloogiate edusammud võivad selliseid riske süvendada. Valdkonna eksperdid tunnistavad selle avastuse olulisust, kuid peavad vahetut ohtu kasutajale minimaalseks. Siiski rõhutatakse vajadust suurendada turvalisust kõigis digitaalselt ühendatud seadmetes (DR).

Konkreetse ohu leevendamiseks soovitavad teadlased tarkvarapoolseid lahendusi, nagu näiteks ümbritseva valguse andurite lubade kontrolli rakendamist (DR).

USA julgeolekuasutused hoiatavad Hiinas toodetud droonide kasutamise eest

FBI ja CISA hoiatasid, et Hiinas toodetud droonide sagenev kasutamine kujutab endast olulist ohtu USA kriitilisele infrastruktuurile. Asutused andsid välja dokumendi, mis soovitab USA organisatsioonidel hankida vajadusel USA-s toodetud turvalise projekteerimise põhimõtetele (secure by design) vastavaid droone. Asutused nõustuvad, et droonide kasutamine on tõhus kulude vähendamisel ja ohutuse parandamisel erinevates valdkondades, sealhulgas energia-, keemia- ja sidesektoris. David Mussington CISAst juhib aga tähelepanu, et Hiinas toodetud droonid paljastavad tundlikku teavet, mis võib ohustada USA riiklikku julgeolekut ja majandusjulgeolekut (SCM).

Mure tuleneb CISA pressiteate kohaselt Hiina seadustest, mis võimaldavad Hiina valitsusel pääseda ligi Hiina ettevõtete, sealhulgas droonitootjate valduses olevatele andmetele. Julgeolekuasutuste juhistest järeldub muu hulgas, et Hiina Rahvavabariigi 2017. aasta riiklik luureseadus kohustab Hiina ettevõtteid tegema koostööd riiklike luureteenistustega, mis hõlmab juurdepääsu võimaldamist ülemaailmselt kogutud andmetele. Bryan Vorndran FBI küberosakonnast hoiatab samuti Hiinas toodetud droonide kasutuselevõtuga USA peamistes sektorites seotud julgeolekuprobleemide eest, võttes arvesse süsteemidele ja andmetele volitamata juurdepääsu ohtu (SCM).

Lisaks sellele, et CISA ja FBI juhised kutsusid organisatsioone Hiinas toodetud seadmeid vältima, jagasid nad avaldatud dokumendis ka mitmeid soovitusi tööstuslike droonidega seotud turvariskide maandamiseks. Näiteks olid soovituste seas privaatsuspoliitika ülevaatamine, et mõista, kus drooniandmeid salvestatakse ja jagatakse, püsivara turvapaikade ja värskenduste rakendamine usaldusväärsest allikast ja kogutud andmete droonile salvestamata jätmine. Antud dokumendiga on võimalik tutvuda CISA kodulehel.

POST SMTP pistikprogrammi turvanõrkused võivad mõjutada WordPressi veebilehti

Rohkem kui 150 000 WordPressi veebilehte on haavatavad POST SMTP Mailer pistikprogrammi turvavigade tõttu, mille kaudu võib ründaja saada täieliku kontrolli ohvri veebilehe üle. Esimene haavatavus võimaldab autentimata ründajal API võtme lähtestada ja pääseda juurde tundlikule logiteabele, mille abil võib haavatava veebilehe täielikult üle võtta. Teise vea abil on ründajatel võimalik lisada haavatavetele veebilehtedele pahatahtlikke skripte. Turvanõrkused on parandatud pistikprogrammi versioonis 2.8.8. Haavatavused tõestavad taas, et lisaks WordPressi uuendamisele on oluline jälgida ka seda, et kõikidele kasutavatele pistikprogrammidele oleksid uuendused rakendatud (BC).

Enam kui 178 000 SonicWalli tulemüüri on turvanõrkuste tõttu ohus

Küberturvalisusega tegelevad teadurid avastasid, et üle 178 000 SonicWalli tulemüüri on internetile avatud haldusliidesega, mistõttu ohustavad neidteenuse tõkestamise ja koodi kaugkävitamise ründed. Neid seadmeid mõjutavad turvavead tähistega CVE-2022-22274 ja CVE-2023-0656. SonicWalli tulemüüride kasutajatel soovitatakse üle kontrollida, et haldusliides poleks võrgust ligipääsetav ja uuendada tarkvara viimasele versioonile (BC).

Olulisemad turvanõrkused 2024. aasta 2. nädalal

Ivanti Connecti VPN-tarkvaras avastati kaks kriitilist turvaviga

Laialdaselt kasutatavas VPN-tarkvaras Ivanti Connect Secure on tuvastatud kaks kriitilist nullpäeva turvaauku (CVE-2023-46805, CVE-2024-21887), mida ründajad on aktiivselt ära kasutanud. Turvavead mõjutavad VPNi versioone 9.x ja 22.x ja võivad lubada volitamata isikutel juurdepääsu tundlikule teabele või potentsiaalselt ohustada võrkude turvalisust, mis seda tarkvara kasutavad. Nõrkused teeb lisaks murettekitavaks asjaolu, et nende kuritarvitamiseks ei ole vaja ründajal end autentida. Ettevõte lubas turvaparandused avalikustada esimesel võimalusel. Seni on tarkvara kasutajatel võimalik end kaitsta, järgides ettevõtte soovitusi siin. Kui turvaparandus on saadaval, tuleks see samuti kohe rakendada (Ivanti, SA).

Uue turvanõrkuse abil võivad ründajad GitLabi kontod lihtsalt üle võtta

GitLabi kriitiline haavatavus võimaldab parooli lähtestamise funktsiooni vea tõttu platvormi kasutajakontosid kompromiteerida. Turvanõrkus mõjutab nii GitLab Community Editionit (CE) kui ka Enterprise Editionit (EE). Haavatavus, mida tähistatakse kui CVE-2023-7028, tekkis GitLabi versioonis 16.1.0. See lubab ründajal saata volitamata parooli lähtestamise e-kirju kinnitamata e-posti aadressidele. Viga on parandatud versioonides 16.5.6, 16.6.4 ja 16.7.2, 16.1.6, 16.2.9, 16.3.7 ja 16.4.5. GitLab soovitab täiendava turvameetmena rakendada kahefaktorilist autentimist (2FA). Need, kel on 2FA rakendatud, ei ole haavatavad selle turvanõrkuse vastu, samas on võimalik nende kontode paroole siiski lähtestada. Ettevõte on avalikustanud ka juhised, kuidas logidest võimalikku turvanõrkuse ärakasutamist kontrollida. Infot selle kohta leiate viidatud lingilt. Kasutajatel soovitatakse oma GitLabi lahendused viivitamatult värskendada, et kaitsta end võimalike küberrünnakute eest (SCM).

Juniperi võrguseadmetel paigati kriitiline turvanõrkus

Juniper Networks on parandanud oma tulemüürides ja switch’ides kriitilise koodi kaugkäivitamise (RCE) haavatavuse (CVE-2024-21591). Autentimata ründaja võib turvavea abil saada mõjutatud seadmes juurõigused või teostada seadme vastu teenusetõkestusründe. Turvanõrkus mõjutab paljusid Juniperi võrgutooteid (täpsem nimekiri viidatud linkidelt), ohustades seega mitmete organisatsioonide võrgutaristut. Ettevõte ei ole siiski teadlik, et antud nõrkust oleks suudetud ära kasutada. Juniper Networksi tulemüüride ja switch’ide kasutajatel soovitatakse värskendada seadmete püsivara uusimale versioonile, et haavatavus parandada ja kaitsta oma võrke võimaliku turvanõrkuse ärakasutamise eest (SA). Kui uuendamine ei ole võimalik, on ettevõte avalikustanud ka mõned alternatiivsed kaitsemeetmed, mille kohta saab lugeda täpsemalt siit.

Microsoft parandas jaanuari uuendustega 49 turvaviga

Microsofti parandas igakuiste uuenduste programmi raames 49 turvaauku, sealhulgas 12 koodi kaugkäivitamise (RCE) viga. Kaks neist kaheteistkümnest haavatavustest klassifitseeriti kriitiliseks ja mõjutavad Windows Kerberose turvafunktsioone ning Hyper-V virtualiseerimistarkvara. Lisaks parandati märkimisväärne Office’i tarkvara mõjutav koodi kaugkäivitamise haavatavus (CVE-2024-20677). Turvavärskendused on Windowsi süsteemide turvalisuse ja terviklikkuse säilitamiseks üliolulised ning need tuleks kiiresti rakendada (BC).

Cisco Unity Connectioni viga võimaldab ründajal saada juurkasutaja õigused

Cisco paikas Unity Connectioni tarkvaral kriitilise turvavea, mis võimaldab autentimata ründajal saada juurkasutaja õigused. Unity Connection lahendust kasutavad veebilehitsejad, e-postkastid ning mitmed Cisco seadmed. Eduka ründe korral on võimalik salvestada ohvri seadmesse pahaloomulisi faile ja käivitada operatsioonisüsteemis erinevaid käske. Cisco soovitab kõigil oma toodete kasutajatel teha tarkvarauuendus (BC).