Olulised turvanõrkused 2023. aasta 4. nädalal

Avaldati CryptoAPI turvanõrkuse PoC

Kriitilisest turvanõrkusest CVE-2022-24689 teavitati avalikkust eelmise aasta oktoobris, kuid nüüd on sellele avalikult kättesaadav ka kontseptsiooni tõendus (proof of concept  ehk PoC). Ründajal on võimalik turvanõrkuse abiga kuritarvitada avalikke x.509 sertifikaate ning kasutada neid autentimiseks või koodi allkirjastamiseks (näiteks näitamaks, et pahavara näol on tegu usaldusväärse programmiga). PoCi avalikustajate sõnul on vanad Chrome’i (v48 ja varasemad) ja Chromiumi-põhised rakendused, mis kasutavad CryptoAPIt, selle nõrkuse vastu haavatavad. Samuti mainiti, et kuna analüüsimine veel käib, ei pruugi eelnevalt mainitud tarkvarad olla ainukesed, mis on turvanõrkusest mõjutatud (BC).

Kes ja mida peaks tegema? Windowsi operatsioonisüsteemide kasutajad peaksid veenduma, et neil on kõige hiljutisemad turvauuendused rakendatud. Arendajatele soovitatakse kaitsemeetmena kasutada rakenduste puhul WinAPIt, et kontrollida sertifikaatide tõepärasust (BC). 

Microsoft juhtis tähelepanu Exchange’ide regulaarse uuendamise vajalikkusele

Microsoft avaldas blogipostituse, milles toonitas Exchange’i kasutajatele, et serverite uuendamine on oluline osa Exchange’ide kaitsmisel ja seda peaks regulaarselt tegema. Ründajad, kes otsivad paikamata Exchange’i servereid, ei kao Microsofti sõnul kuhugi, kuna neid kuritarvitades on ründajatel võimalik palju halba korda saata. Näiteks sisaldavad kasutajate meilipostkastid tihti tundlikku informatsiooni, samuti on Exchange’i serverites koopia aadressiraamatust ja serverite abil on teatud juhtudel võimalik rünnata ka Active Directoryt (Microsoft).

Kes ja mida peaks tegema?

Kirjutamise hetkel on kõige hiljutisemad Exchange’i versioonid järgnevad:

  • Exchange Server 2019 puhul CU12
  • Exchange Server 2016 puhul CU23
  • Exchange Server 2013 puhul CU23 ( Exchange Server 2013 tootjapoolne tugi lõppeb 11. aprillil 2023. aastal)

Jaanuari turvauuenduste paketi leiate siit.

VMware parandas logide analüüsimiseks mõeldud tööriistas kriitilised turvavead

VMware avalikustas eelmisel nädalal turvauuendused logide analüüsimiseks mõeldud tööriistale vRealize Log Insight (VMware Aria Operations for Logs).  Turvauuendused parandavad kaks kriitilist turvanõrkust (CVE-2022-31706, CVE-2022-31704), mida autentimata ründaja saab kasutada koodi kaugkäivitamiseks haavatavas süsteemis. Mõlemad turvanõrkused on hinnatud kriitilisuse skooriga 9.8/10.0 (BC).

Kes ja mida peaks tegema?

VMware avaldas juhised, kuidas uuendada vRealize Log Insight kõige uuemale versioonile. Kui uuendamine ei ole võimalik, saab ajutiselt kasutada ka alternatiivset kaitsemeedet. Selleks tuleb süsteemiadministraatoritel juurkasutajana sisse logida igasse vRealize Log Insighti sõlme (node) ja käivitada vastav VMware’i skript. Kui alternatiivset vastumeedet on vaja kasutada, tutvuge esmalt VMware’i juhistega siin.

Apple parandas eelmise aasta nullpäeva turvanõrkuse ka vanematel seadmetel

Eelmise aasta detsembris avalikustati nullpäeva turvanõrkus CVE-2022-42856. Kui varasemalt pakuti turvauuendust uuematele Apple’i seadmetel, siis nüüd on vastav turvauuendus saadaval ka Apple’i vanematele toodetele nagu iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ja iPod touch (kuues generatsioon). Ründajad saavad seda haavatavust ära kasutada, kui sihtmärk külastab spetsiaalse sisuga veebilehte, mis on ründajate kontrolli all. Pärast seda, kui ohver on veebilehte külastanud, on ründajatel võimalik ohvri seadmes käivitada käske, paigaldada täiendavat pahavara või teha muid pahaloomulisi tegevusi. Apple’i sõnul on võimalik, et seda turvanõrkust on aktiivselt ära kasutatud (Apple, BC). Täiendavat informatsiooni ei ole ettevõte avalikkusega jaganud.

Kes ja mida peaks tegema?

Turvanõrkus on paigatud iOSi versioonis 12.5.7 ja seda pakutakse järgnevatele seadmetele: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (kuues versioon).

Realtek SDK turvanõrkust üritatakse aktiivselt ära kasutada IoT- seadmete ründamiseks

Eelmisel nädalal avaldatud Unit 42 analüüsist selgub, et 2022. aasta augustist oktoobrini tundsid ründajad rohkem huvi ühe kindla Realtek Jungle SDK turvanõrkuse vastu (CVE-2021-35394). Kui tavaliselt ei ületa analüüsi autorite sõnul üht kindlat turvanõrkust kuritarvitavate rünnete hulk 10% kogu rünnete hulgast, siis eelmiste aasta augustis oktoobrini üritati just seda kindlat Realteki haavatavust ära kasutada 40% rünnakukatsete puhul. 2022. aasta detsembri seisuga oli ettevõte tuvastanud kokku 134 miljonit ründekatset, mille puhul üritati ära kasutada haavatavust CVE-2021-35394 (9.8/10.0). Sealjuures moodustasid 134 miljonist 97% rünnakukatsed, mis olid tehtud alates 2022. aasta augustist. Paljudel juhtudel üritati selle konkreetse Realteki turvanõrkuse abil paigaldada haavatavatele IoT-seadmetele pahavara. (Unit42, OneKey).

Kes ja mida peaks tegema?

Haavatavusest on mõjutatud Realtek Jungle SDK versioonid v2.x kuni v3.4.14B (kaasaarvatud). Tootja parandas haavatavuse turvauuendusega juba 2021. aasta augustis. Tarneahelate keerukused on mõnel juhul tekitanud aga probleeme uuenduse jõudmisega lõppkasutajateni. Soovitame uuenduse olemasolul see ka kohe rakendada.

RIA analüüsi- ja ennetusosakond