Olulisemad turvanõrkused 2024. aasta 10. nädalal

Apple paikas kaks uut nullpäeva turvanõrkust

Apple avaldas turvauuenduse, millega paigatakse kaks iOS tarkvara nullpäeva turvanõrkust, mida on juba rünnete läbiviimisel kuritarvitatud. Turvanõrkused (CVE-2024-23225 ja CVE-2024-23296) võimaldavad ründajal turvaseadistusest mööda minna.

Turvavead mõjutavad järgmisi Apple’i seadmeid:

  • iPhone XS ja uuemad, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch ja iPad Pro 12.9-inch 1st generation
  • iPad Pro 12.9-inch 2nd generation ja uuemad, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation ja uuemad, iPad Air 3rd generation ja uuemad, iPad 6th generation ja uuemad ning iPad mini 5th generation ja uuemad.

Vead on parandatud tarkvarades iOS 17.4, iPadOS 17.4, iOS 16.76 ja iPad 16.7.6 ning kõigil kasutajatel soovitatakse tarkvara uuendada niipea kui võimalik. Sel aastal on Apple paiganud kolm nullpäeva turvanõrkust. Apple’i turvanõrkusi on varasemalt kasutatud sihitud rünnete läbiviimiseks ja seetõttu on seadmete tarkvara oluline uuendada (BC, Apple).

Androidi tarkvarauuendus parandab kriitilise koodi kaugkäituse vea

Androidi nutiseadmetes paigati 38 turvaviga, nende hulgas oli kaks kriitilist haavatavust tähistega CVE-2024-0039 ja CVE-2024-23717, mis võivad kaasa tuua pahaloomulise koodi kaugkäivitamise ja õigustega manipuleerimise. Kriitilised turvavead mõjutavad Androidi versioone 12, 12L, 13 ja 14.

Lisaks paigati veel 50 haavatavust Pixeli nutiseadmetes – nende hulgas oli ka 16 kriitilist viga. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada, kuid soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Hikvision paikas kõrge mõjuga turvanõrkuse oma tarkvaras

Hiina videovalveseadmete tootja Hikvision teatas, et on paiganud kaks turvaviga tarkvaras HikCentral Professional. Nimetatud tarkvara kasutatakse erinevate turvasüsteemide haldamiseks. Nendest on suurema mõjuga turvaviga tähisega CVE-2024-25063, mille kaudu võib ründaja saada volitamata juurdepääsu teatud veebiaadressidele. Viga mõjutab HikCentral Professionali versiooni 2.5.1 ja vanemaid.

Hikvision soovitab kõigil oma klientidel tarkvara värskendada, kuna varasemalt on nende toodete turvaauke pahatahtlike rünnakute käigus ära kasutatud (SW).

Kriitilised TeamCity turvanõrkused ohustavad tarkvara tarneahelat

TeamCity näol on tegemist ettevõtte tarkvaraarenduse platvormiga, mida kasutab enam kui 30 000 organisatsiooni üle maailma. TeamCity kliendid on näiteks Citibank, Nike ja Ferrari. Haavatavused tähistega CVE-2024-27198 ja CVE-2024-27199 võimaldavad ründajal

autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Vead on paigatud TeamCity versioonis 2023.11.4 ja tootja kutsub üles kõiki kasutajaid tarkvara uuendama. Kui seda ei ole võimalik teha, siis tuleks ajutiselt peatada serveri ligipääs internetile.

Kurjategijad on asunud kiirelt nimetatud haavatavusi kuritarvitama. Internetile avatud serveritesse on loodud sadu uusi kasutajaid ja LeakIX andmete põhjal on kompromiteeritud juba 1400 seadet. CISA on lisanud turvavea CVE-2024-27198 ärakasutatud turvanõrkuste kataloogi.

2023. aasta lõpus teavitasid mitmed riigid, et kremlimeelne rühmitus APT29 kasutab sarnast TeamCity haavatavust rünnete läbiviimisel ja see võib kaasa tuua tarneahelaründeid.  (DR, HNS, TeamCity, BC).

Kriitiline Fortineti turvaviga võib mõjutada 150 000 internetile avatud seadet

Turvanõrkus tähisega CVE-2024-21762 mõjutab Fortineti FortiOSi ja FortiProxy tarkvarasid. Tegemist on haavatavusega, mis võimaldab autentimata ründajal koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.6/10. Turvaviga on parandatud veebruaris, kuid sel nädalal teatasid Shadowserveri teadurid, et endiselt on paikamata ligi 150 000 seadet (BC, SA).

Cisco paikas VPNi seadmeid mõjutavad turvavead

Ettevõte parandas kaks kõrge mõjuga haavatavust Cisco Secure Clienti tarkvaras. Turvaviga tähisega CVE-2024-20337 võimaldab autentimata ründajal varastada kasutaja identsustõendi (token) ja luua seejärel kasutaja õigustega VPNi ühenduse. Viga on paigatud Secure Clienti versioonides 4.10.08025 ja 5.1.2.42. Hetkel teadaolevalt ei ole veel haavatavusi õnnestunud ära kasutada (SW, HNS).

Häkkerid ründavad WordPressi veebilehti pistikprogrammi vea kaudu

Rünnetes kasutatakse ära juba eelmisel aastal paigatud turvaviga Popup Builderi pistikprogrammis. Turvaviga kannab tähist CVE-2023-6000 ning see mõjutab pistikprogrammi versiooni 4.2.3 ja vanemaid. Hetkel on juba enam kui 3300 WordPressi veebilehele lisatud pahaloomulist koodi.

Popup Builderi kasutajatel tuleks uuendada pistikprogramm versioonile 4.2.7. WordPressi statistika alusel on enam kui 80 000 kasutajat, kes ei ole nimetatud pluginat uuendanud ja on seetõttu potentsiaalsed ründe sihtmärgid.

Kõigil WordPressi veebilehtede haldajatel tuleks regulaarselt pluginaid uuendada, kuna nende kaudu viiakse tihti ründeid läbi (BC).