Olulised turvanõrkused 2023. aasta 27. nädalal

Üle maailma on enam kui 330 000 seadet, mis on haavatavad Fortigate’i turvanõrkusele

Kirjutasime blogis juuni keskpaigas Fortineti kriitilisest turvanõrkusesest Fortigate’i SSL-VPN seadmetes. Kuigi Fortinet paikas kriitilise turvavea (CVE-2023-27997) juba ligi kuu aega tagasi, on endiselt sajad tuhanded FortiGate’i tulemüürid paikamata ja seetõttu haavatavad FortiOS tarkvaras olevale nõrkusele. Tegemist on veaga, mis on hinnatud kriitilise skooriga 9.8/10. Küberturvalisusega tegelev ettevõte Bishop Fox tegi Shodani päringu, mille tulemusel selgus et 69% internetis avalikult leitavatest FortiGate’i seadmetest on endiselt paikamata. Lisaks selgus, et paljude internetis avalikult leitavate Fortineti seadmete tarkvara ei ole juba 8 aastat uuendatud. Ettevõtte sõnul võib olla turvanõrkust rünnetes ära kasutatud ja seetõttu on eriti oluline tarkvara uuendada esimesel võimalusel.

Fortineti seadmed on maailmas väga laialdaselt kasutusel nii eraettevõtetes kui ka riigiasutustes ning seetõttu on need ka häkkeritele meeldivad sihtmärgid. Viimaste aastate jooksul on mitmed ründed toimunud Fortineti haavatavuste kuritarvitamisel. Näiteks selle aasta veebruaris rünnati erinevaid süsteeme kasutades FortiNACi kriitilist turvanõrkust, mis võimaldas ründajal paigaldada ohvri serverisse veebikest ja saada ligipääs kompromiteeritud süsteemidele (BC, HN, arstechnica).

Kes ja mida peaks tegema?

Kõigil Fortigate’i SSL-VPNi seadmete kasutajatel tuleks FortiOSi tarkvara uuendada. Turvaviga on parandatud FortiOSi versioonides 6.0.17, 6.2.15, 6.4.13, 7.0.12 ja 7.2.5.


Mozilla paikas Firefoxi veebilehitsejas mitu turvaviga

Mozilla Firefox versioonis 115 on parandatud neli kõrge ja seitse keskmise mõjuga turvaviga. Haavatavused võivad muuhulgas kaasa tuua mälupesa sisu soovimatu muutmise ja pahatahtliku koodi käivitamise (IM, Mozilla).

Kes ja mida peaks tegema?

Mozilla soovitab kõigil kasutajatel teha veebilehitseja tarkvarauuendus ja uuendada see kõige viimasele versioonile.

Google paikas 46 turvanõrkust Androidi operatsioonisüsteemis

Androidi nutiseadmetes paigati 46 turvaviga, millest kolme (CVE-2023-26083, CVE-2021-29256 ja CVE-2023-2136) on ettevõtte sõnul juba rünnetes ära kasutatud. Kõige suurema mõjuga parandatud vigadest on kriitiline haavatavus tähisega CVE-2023-21250, mis mõjutab Androidi versioone 11, 12 ja 13. Haavatavus võimaldab ründajal pahatahtlikku koodi kaugkäivitada nii, et seadme kasutaja ei pea enda poolt midagi tegema (BC, MB, Android).

Kes ja mida peaks tegema?

Soovitame Android nutiseadmete tarkvara uuendada esimesel võimalusel. Enamusel seadmetel tuleb selleks valida „About phone“ või „About device“ ning seejärel „Software updates“. Tarkvara on võimalik uuendada neil, kes kasutavad Androidi versioone 10, 11, 12, 12L and 13.

Cisco hoiatas Nexus 9000 seeria seadmetes oleva turvanõrkuse eest

Cisco Nexus 9000 seeria kommutaatorites (swtitch) avastati kõrge mõjuga turvaviga CVE-2023-20185, mis võimaldab autentimata ründajal lugeda või muuta krüpteeritud liiklust. Viga on hinnatud CVSS skooriga 7.4/10. Haavatavus mõjutab kommutaatorite mudeleid Nexus 9332C, Nexus 9364C ja Nexus 9500. Hetkel teadaolevalt ei ole haavatavust rünnete läbiviimisel ära kasutatud (BC, SA, Cisco).

Kes ja mida peaks tegema?

Hetkel veale parandust ei ole ja Cisco sõnul ei ole ka tulevikus plaanis seda viga

parandada. Ettevõte soovitab mõjutatud seadmete kasutajatel  välja lülitada

Cisco ACI Multi-Site CloudSec krüpteerimise funktsioon.

MOVEit Transfer kutsub oma kliente tarkvara uuendama

Juunis kirjutasime mitmel korral MOVEit failiedastustarkvaras olevatest turvanõrkustest. Nüüd on taas tarkvaras paigatud üks kriitilise ja kaks kõrge mõjuga turvaviga. Kriitiline haavatavus (CVE-2023-36934) võimaldab teostada autentimata ründajal SQL-süsti. Kõrge mõjuga turvavea (CVE-2023-36932) kaudu on samuti võimalik teostada SQL-süsti, kuid eelnevalt on vaja autentida. Kolmas parandatud viga (CVE-2023-36933) aga võimaldab ründajal programmi töö ootamatult lõpetada (BC, HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2023.0.4 (15.0.4), 2022.1.8 (14.1.8), 2022.0.7 (14.0.7), 2021.1.7 (13.1.7) ja 2021.0.9 (13.0.9). Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.