Olulisemad turvanõrkused 2024. aasta 30. nädalal

Ekraan, mille klaas on ämblikuvõrku meenutavalt katki

WhatsAppi Windowsi versioon laseb Pythoni ja PHP skripte ilma hoiatuseta käivitada

Windowsi WhatsAppi viimases versioonis avastatud turvanõrkus võimaldab saata Pythoni ja PHP manuseid, mis ohvri seadmes ilma hoiatuseta käivituvad (BC). Selleks, et rünnak töötaks, peab ohvril olema Python alla laaditud.

Muude manuste puhul (.EXE, .COM, .SCR jms) annab WhatsApp kasutajale kaks valikut – kas manus avada või see alla laadida. Kui kasutaja tahab manust avada, siis tuleb WhatsAppilt veateade ning kasutaja ainsaks võimaluseks jääb manuse alla laadimine. Seevastu Pythoni ja PHP manuste puhul laseb WhatsApp neid kasutajatel käivitada, ilma et neid enne alla laadima peaks. Nõnda saavad pahalased WhatsAppi kaudu levitada pahavara ning käivitada ohvri seadmes pahaloomulisi skripte.

Küberkurjategijad kasutavad ära valesti konfigureeritud Selenium Gridi servereid krüptoraha kaevandamiseks

Küberkurjategijad kasutavad Selenium Gridi vigast konfiguratsiooni krüptokaevurite levitamiseks. Selenium Grid on populaarne avatud lähtekoodiga veebirakenduste testimise raamistik, mis laseb teha automatiseeritud teste mitmes masinas ja veebilehitsejas.

Selenium Gridil puuduvad aga sissehitatud autentimise mehhanismid, mistõttu on avalikult kättesaadavate seadmete puhul võimalik nende testimise instantssidele ligi saada ning samuti ka faile alla laadida ja skripte käivitada. Selenium on oma dokumentatsioonis selle eest hoiatanud ning soovitanud vajadusel rakendada tulemüüripõhiseid piiranguid. Paljud asutused ei arvestanud selle hoiatusega, mistõttu hakkasid pahalased eelmainitud autentimise puudust ära kasutama krüptokaevurite levitamiseks. Õnnestunud kompromiteerimise puhul juurutavad pahalased XMRig tööriista, mis kaevandab Monero-nimelist krüptoraha.

Docker paikas viie aasta vanused turvanõrkused, mis võimaldasid autentimisest mööda minna

Docker avaldas turvauuendused, et parandada Docker Engine tarkvaras kriitiline haavatavus (CVE-2024-41110), mis võimaldab ründajal teatud olukordades mööda minna volituste kontrolli pistikprogrammidest (AuthZ) (BC).

Seda turvanõrkust (tähisega CVE-2024-41110) võib ära kasutada spetsiaalsete API päringute tegemiseks, mis trikitavad Dockeri daemon’it seda autentimata AuthZ pistikprogrammi edastama. Seda saab ära kasutada näiteks kasutajaõiguste eskaleerimiseks.

Turvanõrkus mõjutab Docker Engine’i versioone v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 ja v27.1.0.