Olulisemad turvanõrkused 2024. aasta 21. nädalal

Küberkurjategijad kasutavad ära GitHubi ja FileZillat, et levitada pahavara

GitHubi ja FileZilla kaudu on hakatud levitama erinevat andmeid varastavat pahavara ja pangandustroojalisi, nagu Atomic (teise nimega AMOS), Vidar, Lumma (teise nimega LummaC2) ja Octo. Rünnete läbiviimiseks on loodud GitHubi võltsprofiilid ja koodihoidlad, mille kaudu levitatakse pahavara. Pahavara on loodud nii Androidi, macOSi kui ka Windowsi kasutajate sihtimiseks. Kasutajale jääb mulje, et ta laeb alla legitiimset tarkvara, kuid tegelikult jagatakse koodihoidlas hoopis kurjategijate loodud võltstarkvara (HN).

QNAP paikas oma NAS-seadmetes koodi kaugkäivitamist võimaldava turvavea

Taiwani tehnikatootja QNAP Systems paikas turvavea tähisega CVE-2024-27130, mille kaudu on ründajal võimalik käivitada pahaloomulist koodi. Vea kohta on avaldatud ka kontseptsiooni tõendus. Viga paigati tarkvara QTS versioonis 5.1.7.2770 ja QuTS hero versioonis h5.1.7.2770. Lisaks nimetatud veale parandati teisigi haavatavusi ja kõigil kasutajatel on soovitatav tarkvara uuendada. QNAPi seadmete haavatavusi on varasemalt rünnete läbiviimisel ära kasutatud (SW, HN).

Ivanti paikas kriitilise turvavea Endpoint Manageri tarkvaras

Ivanti paikas oma toodetes mitmeid haavatavusi, mille hulgas oli ka kriitiline koodi käivitamist võimaldav viga Endpoint Manageri (EPM) tarkvaras. Ettevõtte sõnul paigati EPMis kokku kuus kriitilist SQLi käivitamise viga, mille kaudu võib autentimata ründaja suvalist koodi käivitada. Turvavead kannavad tähiseid CVE-2024-29822 kuni CVE-2024-29827 ja neid on hinnatud kriitilise CVSS skooriga 9.6/10. Lisaks paigati haavatavusi ka Avalanche’i ja Connect Secure’i tarkvarades.

Ivanti sõnul ei ole neil infot, et turvavigu oleks õnnestunud ära kasutada, kuid sellegipoolest soovitatakse kõigil nende toodete kasutajatel tarkvara uuendada (SW).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-4985 on hinnatud maksimaalse CVSS skooriga 10/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.13.0 ja on paigatud versioonides 3.9.15, 3.10.12, 3.11.10 ning 3.12.4. Täpsemalt mõjutab haavatavus neid, kes kasutavad SAMLi single-sign-on (SSO) lahendust. Hetkel teadaolevalt ei ole õnnestunud haavatavust kuritarvitada, kuid arvestades turvavea tõsidust  soovitatakse kõigil kasutajatel siiski tarkvara uuendada esimesel võimalusel (SW, DR).

Veeam hoiatab oma kliente kriitilisest turvaveast Backup Enterprise Manageri tarkvaras

Kriitiline haavatavus tähisega CVE-2024-29849 on hinnatud CVSS skooriga 9.8/10 ning selle kaudu saab ründaja autentimisest mööda minna. Eduka ründe korral on võimalik sisse logida Veeam Backup Enterprise Manageri veebiliidesesse, justkui oleks tegemist õige kasutajaga. Turvaviga mõjutab Backup & Replicationi tarkvara versioone 5.0 kuni 12.1. Lisaks kriitilisele veale paigati veel kolm haavatavust tähistega CVE-2024-29850, CVE-2024-29851 ja CVE-2024-29852.

Vead on parandatud versioonis 12.1.2.172. Kui tarkvara uuendada ei ole võimalik, siis soovitab tootja seda ajutiselt mitte kasutada (SA, SW, BC).

GitLab paikas turvavea, mille kaudu saab konto üle võtta

Kõrge mõjuga turvaviga tähisega CVE-2024-4835 võimaldab autentimata ründajal kasutaja konto üle võtta ning saada ligipääsu piiratud teabele. See ja mitmed teised turvavead on paigatud GitLab Community Editioni (CE) ja Enterprise Editioni (EE) versioonides 17.0.1, 16.11.3 ning 16.10.6.

GitLab on populaarne sihtmärk ründajate seas, kuna seal hoitakse erinevat tüüpi tundlikke andmeid – muu hulgas näiteks API võtmeid ja tarkvara lähtekoodi. Seetõttu võivad kaaperdatud GitLabi kontod avaldada ettevõttele märkimisväärset mõju ja kaasa tuua ka tarneahela rünnaku. Näiteks võib juhtuda, et ründaja saab ligipääsu ohvri keskkonnale ning lisab sinna pahatahtlikku koodi.

CISA avaldas ka sel kuul hoiatuse, et endiselt proovitakse ära kasutada jaanuaris paigatud GitLabi haavatavust. Haavatavus tähisega CVE-2023-7028 võimaldab ründajal kasutajakonto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile. Kuna GitLabi haavatavused on tihti olnud rünnete sihtmärgiks, siis soovitame tarkvara uuendada esimesel võimalusel (BC).

Google paikas taas Chrome’i nullpäeva turvanõrkuse

Tegemist on kaheksanda Chrome’i nullpäeva turvanõrkusega sel aastal ja maikuus on paigatud juba neli nullpäeva haavatavust. Ettevõtte sõnul on turvaviga tähisega CVE-2024-5274 rünnetes ära kasutatud. Soovitame uuendada Chrome’i uuele versioonile 125.0.6422.112 esimesel võimalusel (BC, DR).