Olulised turvanõrkused 2022. aasta 40. nädalal

  • Microsoft Exchange turvanõrkuste uued vastumeetmed

Microsoft uuendas 5. oktoobril enda soovitusi, mis aitavad leevendada nullpäeva turvanõrkuste (CVE-2022-41040 ja CVE-2022-41082) mõju. Esialgsed vastumeetmed osutusid ebapiisavaks, kuna ründajatel oli võimalik neist mööda minna. Microsoft tegeleb turvapaikade loomisega, kuid senikaua tuleks rakendada nende soovitatud kaitsemeetmed (MSRC, BP).

Oleme neist turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Atlassian Bitbucket teenuse turvanõrkused

Atlassian Bitbucketi näol on tegemist veebipõhise koodihoidlaga, milles hoitakse nii avalikke kui ka privaatseid arendusprojekte.

Tegemist ei ole nullpäeva turvanõrkusega. Atlassian Bitbucketi haavatavusel (CVE-2022-36804) on olemas parandus ja see on avalik juba 24. augustist, kuid üle-eelmisel nädalal lisati see CISA ärakasutatud turvanõrkuste nimekirja. Turvaveast on mõjutatud kõik Atlassian Bitbucket Server ja Data Center versioonid alates 6.10.17, millele tuleks teha tarkvarauuendus esimesel võimalusel (MB, Atlassian).

Turvanõrkust CVE-2022-36804 on hinnatud kriitiliseks skooriga vahemikus 9.0/10.0 kuni 10.0/10.0 ja see võimaldab lugemisõigusega ründajal käivitada suvalist koodi saates pahatahtliku HTTP-päringu.

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki Atlassian Bitbucket Server ja Data Center versioone, mis on uuemad kui 6.10.17 ja kõigil nende versioonide kasutajatel tuleks uuendada tarkvara.

Täpsem nimekiri mõjutatud versioonidest ja parandustest on leitavad Atlassiani kodulehel ja need on võimalik alla laadida siit.

Kui mingil põhjusel ei õnnestu tarkvara uuendada, siis tootja soovitab ajutise leevendusena avalikud koodihoidlad sulgeda käsuga feature.public.access=false.

  • Fortinet teenustes avastati kriitiline turvanõrkus

Turvanõrkus (CVE-2022-40684) mõjutab Fortinet teenuseid FortiGate, FortiProxy ja FortiSwitchManager. Tegemist on haavatavusega, mille kaudu on võimalik autentimisest mööda minna ja mis on hinnatud kriitiliseks skooriga 9.6/10.0. Turvavea tõttu on võimalik saada ligipääs administratiivliidesele ja selle kaudu tuvastada paikamata seadmed. Turvaviga mõjutab FortiOS versioone 7.0.0 kuni 7.0.6 ja 7.2.0 kuni 7.2.1, FortiProxy versioone 7.0.0 kuni 7.0.6 ja 7.2.0 ning FortiSwitchManager versioone 7.0.0 ja 7.2.0. Ettevõte soovitab uuendada tarkvara esimesel võimalusel versioonidele 7.0.7 või 7.2.2 (HN, BP, Tenable, Fortinet, BP).

Kes ja mida peaks tegema?

Kõik, kes kasutavad järgmisi Fortinet teenuseid peaks uuendama tarkvara esimesel võimalusel:

  • FortiOS – alates 7.0.0 kuni 7.0.6 ja alates 7.2.0 kuni 7.2.1
  • FortiProxy – alates 7.0.0 kuni 7.0.6 ja 7.2.0
  • FortiSwitchManager – 7.0.0 ja 7.2.0

Viga on parandatud FortiOS versioonides 7.0.7 ja 7.2.2, FortiProxy versioonides 7.0.7 ja 7.2.1 ning FortiSwitchManager versioonis 7.2.1.

Kuna turvaviga on võimalik kaugelt ära kasutada, siis on tootja sõnul tarkvara uuendamine eriti oluline. Fortinet kinnitas, et haavatavust on juba ründe läbiviimiseks ära kasutatud. Kui ei ole võimalik tarkvara uuendada, siis on Fortinet välja pakkunud ka ajutise lahenduse administratiivliidesele ligipääsu omavate IP-aadresside piiramise näol.

  • Google paikas mitu turvanõrkust Androidi platvormil

Google parandas 42 turvaviga Android operatsioonisüsteemis, mõned neist on hinnatud kriitiliseks kuna võimaldavad koodi kaugkäivitamist. Neli turvanõrkust hinnati kriitiliseks ehk kõrgemalt kui skooriga 9.0/10.0. Android operatsioonisüsteemi kasutavad Google mobiilseadmed nagu nutitelefonid ja -kellad ning tahvelarvutid. Seda kasutab umbes 70% kõigist mobiiltelefonidest (MB, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks üle kontrollima, kas nende mobiiltelefon, tahvelarvuti või muu seade pakub turvauuendust uuele versioonile. Kui võimalik, siis tuleks tarkvarauuendus alla laadida ja paigaldada. Google turvaparandused on rakendatud Androidi versioonides 10, 11, 12, 12L ja 13.

  • Zimbra teenuse kriitiline turvanõrkus

Zimbra Collaboration Suite (ZCS) tarkvaras avastati kriitiline turvanõrkus (CVE-2022-41352) skooriga 9.8/10.0, mida on ära kasutatud rünnete läbiviimiseks. Haavatavus võimaldab pahatahtlikku koodi kaugkäivitada ja hetkel sellele parandust ei ole, kuid ettevõte on koostanud juhise turvanõrkuse vältimiseks (BP, AT, Zimbra).

Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Kes ja mida peaks tegema?

Zimbra ei ole veel avaldanud turvapaika, kuid on olemas juhis turvavea mõjude leevendamiseks. Kõik Zimbra administraatorid peaks üle kontrollima, kas neil on serveris pax pakett installeeritud.

RIA analüüsi- ja ennetusosakond