Olulised turvanõrkused 2023. aasta 21. nädalal | Riigi Infosüsteemi Ameti blogi

GitLab paikas kriitilise turvanõrkuse

GitLab parandas kriitilise turvavea tähisega CVE-2023-2825, mis on hinnatud maksimaalse kriitilisuse skooriga (10.0/10.0). Turvanõrkus on kriitiline, kuna selle kaudu on võimalik saada ligipääs tundlikule infole, sh kasutajakontode andmetele. Viga mõjutab GitLabi tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versiooni 16.0.0 (GitLab).

Kes ja mida peaks tegema?

Ettevõtte soovitab viivitamatult uuendada mõjutatud tarkvara vähemalt versioonile 16.0.1, milles on turvanõrkus parandatud.

Cisco võrguseadmetel tuvastati neli kriitilist turvanõrkust

Cisco kommutaatorites (switch) avastati neli kriitilist turvanõrkust, mis võimaldavad ründajatel juurõigustes kaugkäivitada pahatahtlikku koodi. Turvanõrkused on hinnatud peaaegu maksimaalse kriitilisuse skooriga (9.8/10) ning neid tähistatakse CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 ja CVE-2023-20189. Haavatavustele on avalikult kättesaadavad kontseptsiooni tõendused (PoC), mille tõttu haavatavaid seadmeid ka aktiivselt otsitakse (BP, Cisco).

Kes ja mida peaks tegema?

Cisco sõnul ei parandatud teatud seadmete tarkvara (Small Business Switches 200, 300 ja 500), kuna neil puudub tootjapoolne tugi (ehk tegu on juba aegunud seadmetega). Uuematele turvanõrkustest mõjutatud seadmetele on turvapaigad olemas. Lisainformatsiooni leiate siit.

Zyxel hoiatab kahe kriitilise turvanõrkuse eest

Zyxel hoiatab kliente kahe kriitilise haavatavuse (CVE-2023-33009 ja CVE-2023-33010) eest, mis mõjutavad mitmeid ettevõtte pakutavaid tulemüüre ja VPN seadmeid. Mõlemad turvanõrkused on seotud puhvri ületäitumisega ja võimaldavad haavatavate seadmete töö häirimist või koodi kaugkäivitamist. Turvavigu saab ründaja kasutada autentimata (BP).

Kes ja mida peaks tegema?

Haavatavad on seadmed, mis kasutavad järgnevaid tarkvarasid:

Zyxel ATP püsivara versioonid ZLD V4.32 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
Zyxel USG FLEX püsivara versioonid ZLD V4.50 to V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
Zyxel USG FLEX50(W) / USG20(W)-VPN püsivara versioonid ZLD V4.25 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
Zyxel VPN püsivara versioonid ZLD V4.30 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
Zyxel ZyWALL/USG püsivara versioonid ZLD V4.25 kuni V4.73 Patch 1 (turvanõrkused parandatud versioonis ZLD V4.73 Patch 2)

Tootja soovitab mõjutatud toodete kasutajatel rakendada esimesel võimalusel kõige uuemad turvauuendused, et vältida võimalikku küberintsidenti (BP).

RIA analüüsi- ja ennetusosakond