Olulisemad turvanõrkused 2024. aasta 17. nädalal

Joonis: ahastuses arst töölaua taga, tema monitori ekraanil on lunavarateade.

Atlassian paikas mitmeid turvavigu oma toodetes

Atlassian parandas seitse kõrge mõjuga haavatavust, mis mõjutavad ettevõtte erinevaid tooteid nagu Bamboo Data Center, Confluence Data Center ja Jira. Eduka ründe korral on võimalik saada ligipääs ohvri süsteemidele ja Atlassiani tarkvarades olevale infole. Soovitame kõigil Atlassiani toodete kasutajatel uuendada tarkvara viimasele versioonile, kuna need on olnud varasemalt ründajate sihtmärkideks. Nimekirja parandatud haavatavustest ja turvapaigatud versioonidest leiab Atlassiani kodulehelt (Atlassian).

Cisco hoiatab: kaks nullpäeva turvanõrkust, mida on rünnete läbiviimisel ära kasutatud

Cisco hoiatas eelmisel nädalal, et riikliku taustaga küberrühmitused on ära kasutanud nende tarkvaras olevaid nullpäeva turvanõrkusi. Turvanõrkused tähistega CVE-2024-20353 ja CVE-2024-20359 mõjutavad Cisco tulemüüride tarkvarasid Adaptive Security Appliance (ASA) ja Firepower Threat Defense (FTD) ning nende kaudu on saadud ligipääs valitsusasutuste võrkudele. Ründeid on alustatud juba eelmise aasta juulis ning Cisco sai neist teada selle aasta jaanuaris.

Ettevõte avaldas turvauuendused ja kutsub kõiki kasutajaid esimesel võimalusel tarkvara uuendama. Ühtlasi soovitab Cisco kõigil administraatoritel vaadata üle süsteemi logid, kas seal on näha planeerimata taaskäivitusi, konfiguratsiooni muudatusi või õiguste lisamist. (BC).

Google paikas kriitilise turvanõrkuse Chrome’i veebilehitsejas

Google avaldas Chrome’i versiooni 124.0.6367.78 Windowsi, Maci ja Linuxi seadmetele, milles on paigatud neli turvaviga. Parandatud turvanõrkuste seas on ka kriitilise mõjuga haavatavus tähisega CVE-2024-4058 ja kaks kõrge mõjuga turvaviga. Kuna vähesed Chrome’i turvavead liigitatakse kriitiliseks, siis võib eeldada, et tegemist on kas koodi kaugkäivitamist võimaldava või liivakastist (sandbox) möödamineku veaga.

Ettevõte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada. Soovitame uuendada Chrome’i esimesel võimalusel (SW, Chrome).

MITRE avalikustas, et nende süsteemidesse saadi ligipääs Ivanti turvanõrkusi kasutades

MITRE Corporation andis teada, et nad sattusid riikliku taustaga küberrühmituse ohvriks. Rünne viidi läbi, kasutades Ivanti Connect Secure’i tarkvas olevaid nullpäeva turvanõrkusi. Veebruaris õnnetus ka ühe Eesti riigiasutuse võrku sisse tungida, kasutades Ivanti tarkvaras olnud haavatavusi. MITRE puhul saadi ligipääs nende uuringute ja prototüüpide jaoks loodud võrgule nimega „Nerve“. Ettevõtte turvalisusega tegelev üksus alustas viivitamatult intsidendi uurimist, eemaldas kurjategijate ligipääsud võrgust ja kaasas ka asutusevälised eksperdid.

MITRE vastu suunatud ründe käigus kasutati ära turvavigasid tähistega CVE-2023-46805 (CVSS skoor 8,2) ja CVE-2024-21887 (CVSS skoor: 9,1), mis võimaldasid ründajal autentimisest mööda minna ja seejärel nakatunud süsteemis suvalisi käske käivitada.

MITRE tegevjuhi sõnul ei ole ükski organisatsioon taolise küberründe eest lõplikult kaitstud, olenemata sellest, kui ranged turvanõuded on kasutusele võetud. Ettevõte jagas ka soovitusi, kuidas oma võrku kaitsta:

  • Monitoorige VPNi võrgus toimuvat liiklust ning jälgige, et seal midagi ebatavalist ei juhtuks.
  • Jälgige kasutajate tegevusi ja seal toimuvaid kõrvalekaldeid.
  • Segmenteerige võrguliiklus.
  • Jälgige, et ligipääs võrgule oleks piiratud ja toimuks regulaarne turvauuenduste paigaldamine (HN, SA, HNS).

Itaalia Synlab peatas pärast lunavararünnakut oma tegevuse

Synlabi Itaalia haru tabas lunavararünnak, mistõttu nad pidid kõik IT-süsteemid võrgust lahti ühendama. Seetõttu tuli ka ajutiselt peatada kõigi meditsiiniteenuste pakkumine, nende hulgas ka kõik laborianalüüsid ja proovivõtud.

Synlab on rahvusvaheline ettevõte, mis pakub tervishoiuteenuseid 30 riigis üle maailma, sealhulgas ka Eestis. Itaalias on Synlabi võrgustikus 380 laborit ja meditsiinikeskust. Hetkel soovitatakse klientidel suhelda vaid telefoni teel, kuna meililiiklus ei toimi tavapäraselt. Ettevõte proovib süsteeme taastada varukoopiast, kuid ei ole teada, kui kiiresti see õnnestub. Hetkel ei ole veel ükski lunavararühmitust võtnud ründe eest vastutust (BC).

Uus Androidi troojan võimaldab ründajatel saada kontroll kasutaja seadme üle

Teadurid avastasid uue Androidi panganduse troojani, mis suudab jäädvustada kõik seadmes toimuvad sündmused alates kasutaja tegevustest, kuvatavast teabest ja kasutaja käivitatavatest rakendustest.

Troojan nimetusega Brokewell võimaldab varastada nii tundlikke andmeid kui ka saada kontrolli kasutaja seadme üle. Brokewelli levitatakse võltsitud tarkvarauuenduste kaudu – näiteks võib kasutajale tunduda, et ta hakkab Chrome’i veebilehitsejat värskendama. Soovitame tarkvara alla laadida ainult ametlikest rakenduste poodidest – kas Google Play või App Store. Google on kinnitanud, et Google Play Protect kaitseb kasutajaid automaatselt selle pahavara teadaolevate versioonide eest (SW, BC).