Apple paikas selle aasta esimese nullpäeva turvanõrkuse
Apple paikas turvanõrkuse tähisega CVE-2024-23222, mis mõjutab kõiki Apple’i nutitelefone, sülearvuteid ja Apple TV seadmeid. Haavatavus paikneb Apple Webkiti komponendis ja eduka ründe korral on võimalik ohvri seadmes pahatahtlikku koodi käivitada. Viga on paigatud iOSi versioonis 17.3, macOS Sonoma versioonis 14.3 ning macOS Ventura versioonis 13.6.4. Ettevõtte sõnul on haavatavusi juba rünnetes ära kasutatud, mistõttu on eriti oluline kõik mõjutatud Apple’i seadmed uuendada (BC, SW).
Häkkerid kasutavad ära kriitilist Confluence’i turvaviga
16. jaanuaril avalikustatud kriitilist turvaviga tähisega CVE-2023-22527 proovitakse aktiivselt rünnetes kuritarvitada, selgub Shadowserveri andmetest. Turvaviga võimaldab autentimata ründajal käivitada pahatahtlikku koodi ja see mõjutab kõiki Confluence Data Centeri ja Serveri versioone, mis on väljastatud enne 5. detsembrit 2023. Shadowserveri sõnul on nad näinud juba üle 40 000 ründekatse. Kõikidel Confluence’i kasutajatel soovitame uuendused rakendada esimesel võimalusel, kui seda ei ole veel tehtud (SW, BC).
Enam kui 5300 GitLabi serverit ohustab kontode ülevõtmist võimaldav turvaviga
Sel kuul avaldati GitLabi turvaviga tähisega CVE-2023-7028, mis võimaldab ründajal keskkonna kasutajate kontod üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile. Shadowserveri sõnul on haavatavuse tõttu ohus enam kui 5300 internetile avatud GitLabi serverit. Praeguse informatsiooni põhjal ei ole turvaviga veel kuritarvitatud, kuid kõik GitLabi kasutajad peaksid tarkvara uuendama esimesel võimalusel (BC).
Kriitilised turvanõrkused ohustavad Jenkinsi tarkvara kasutavaid servereid
SonarSource kirjutas hiljuti kahest Jenkinsi tarkvara mõjutavast kriitilisest turvanõrkusest. Neid tähistatakse vastavalt CVE-2024-23897 ja CVE-2024-23898. Esimene neist võimaldab autentimata ründajatel lugeda andmeid haavatavatest serveritest. Kogutud teabe abil saab mõjutatud keskkonnas potentsiaalselt käivitada pahaloomulist koodi. Teise turvanõrkuse puhul aga on ründajatel võimalik käivitada suvalisi CLI käske juhul, kui neil õnnestub ohvreid veenda klikkama spetsiifilisel veebilingil. Ühe kriitilise Jenkinsi tarkvara turvanõrkuse jaoks on juba avalikustatud mitu kontseptsiooni tõendust (PoCi). Jenkins on tarkvara, mida kasutatakse sageli tarkvaraarenduses ülesannete automatiseerimiseks. Turvanõrkused on parandatud Jenkinsi versioonides 2.442 ja LTS 2.426.3. Soovitame kõigil kasutajatel uuendada tarkvara esimesel võimalusel (SonarSource, BC).
Cisco hoiatab kriitilise turvanõrkuse eest sidetarkvaras
Cisco sõnul on mitmed tooted, mis kasutavad tarkvarasid Unified Communications Manager (CM) ja Contact Center Solutions, haavatavad kriitilise turvaveale tähisega CVE-2024-20253. Turvaviga võimaldab autentimata ründajal käivitada suvalisi käske ja saada juurkasutaja õigused. Täpsem nimekiri mõjutatud toodetest ja neile olemasolevatest turvapaikadest on lisatud linkidel (BC, HN, Cisco).
Pwn2Own Automotive’i üritusel demonstreeriti 49 uut nullpäeva turvaauku
Pwn2Own on tuntud häkkimisvõistlus, mis kutsub eetilisi häkkereid üles avastama ja ära kasutama tarkvara- ja riistvarasüsteemide haavatavusi. Osalejad demonstreerivad oma oskusi erinevate süsteemide peal, Pwn2Own Automotive’i üritusel on fookusteemaks aga sõidukid ja nendega seotud seadmed (elektrisõidukite laadijad, multimeediasüsteemid jms). Lisaks sellele, et üritusel näidati 49 uut nullpäeva turvaauku, demonstreeriti ka kaht erinevat viisi, kuidas Tesla autode süsteemidesse on võimalik sisse murda. Pwn2Own Automotive’i leiud juhivad tähelepanu sellele, kui vajalik on keskenduda küberturvalisusele ka autotööstuses (BC).