Olulised turvanõrkused 2023. aasta 1. nädalal

Fortinet paikas kaks kõrge mõjuga turvanõrkust

Esimene neist (CVE-2022-39947) mõjutab FortiADC veebiliidest ja on hinnatud skooriga 8.6/10.0. Tegemist on haavatavusega, mis võimaldab autentitud ründajal, kellel on ligipääs veebiliidesele, käivitada mõjutatud süsteemis pahatahtlikku koodi. Selleks tuleb tal saata spetsiaalne HTTP-päring. Turvanõrkus mõjutab FortiADC versioone 5.4.x, 6.0.x, 6.1.x, 6.2.x ja 7.0.x (Fortinet).

Teine haavatavus (CVE-2022-35845) mõjutab FortiTesteri versioone 2.x.x, 3.x.x, 4.x.x, 7.x ja 7.1.0 ning on hinnatud skooriga 7.6/10.0. Turvanõrkus võimaldab autentitud ründajal käivitada pahatahtlikke käsklusi (Fortinet).

Lisaks paikas tootja veel kolm madalama kriitilisuse tasemega turvanõrkust (SW).

Kes ja mida peaks tegema?

CVE-2022-39947 on parandatud FortiADC versioonides 7.0.2 või uuemas versioonis, 6.2.4 või uuemas versioonis ning 5.4.6 või uuemas versioonid.

CVE-2022-35845 on parandatud FortiTesteri versioonides 7.2.0 või uuemas versioonis, 7.1.1 või uuemas versioonis, 4.2.1 või uuemas versioonis ning 3.9.2 või uuemas versioonid.
Kui te mõjutatud versiooniga tooteid kasutate, tutvuge eelnevalt viidatud tootjapoolsete juhistega ja uuendage tarkvara esimesel võimalusel.

Synology paikas kriitilise turvanõrkuse

Synology paikas ruuteritel, mida kasutatakse VPNi toimimise jaoks mõeldud serveritena, turvavea, mis (CVE-2022-43931) on hinnatud kriitilisuse skooriga 10.0/10.0. Viga mõjutab VPN Plus Server tarkvara ning seda saab ründaja mõjutatud süsteemides kasutada pahatahtlikke käskude käivitamiseks (BP, Synology).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada vajadusel turvauuendused.

Üle 60 000 Exchange’i serveri on ohus ProxyNotShelli turvanõrkuse tõttu

Turvaviga 2022-41082 avaldati eelmise aasta sügisel ning pälvis toona laialdast tähelepanu. Tegu oli ühega kahest turvanõrkusest, mida kutsuti koondnimetusega ProxyNotShell. RIA kirjutas turvanõrkustest ka enda blogis. Haavatavus 2022-41082 mõjutab Microsoft Exchange servereid 2013, 2016 ja 2019, millele ei ole novembris avaldatud turvauuendusi rakendatud. Kui ründajatel õnnestub nõrkust kuritarvitada, siis on neil võimalik suurendada mõjutatud süsteemis enda õiguseid ning käivitada seal pahaloomulist koodi. Olukord on täna ekspertide hinnangul siiski parem võrreldes detsembriga, kuna siis oli 2022-41082 turvanõrkuse vastu haavatavaid servereid ligi 84 000 (BP).

Kes ja mida peaks tegema?

Kui te ei ole veel mõjutatud Exchange’i servereid uuendanud, tehke seda esimesel võimalusel. Juhised selleks leiate tootja veebilehelt siin.

Google paikas Androidi operatsioonisüsteemil mitu turvanõrkust

Google parandas Androidi operatsioonisüsteemil 60 turvaviga. Kõige kriitilisemad neist võimaldavad koodi kaugkäivitamist ilma täiendavate õigusteta (SW, Android).

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutav nutiseade pakub tarkvara uuendamise võimalust, soovitame uuendused rakendada esimesel võimalusel. Regulaarne uuendamine vähendab ohtu, et tarkvaras avastatud nõrkuseid oleks ründajatel võimalik ära kasutada.

Qualcommi kiibistikes avastati mitu turvaviga

Qualcommi kiibistikes avastati viis turvaviga, mis mõjutavad muuhulgas ka Lenovo ThinkPad X13s sülearvuteid. Kolm turvanõrkust on hinnatud kriitilisuse skooriga 8.4/10.0 ning kaks turvanõrkust skooriga 6.8/10.0. Lenovo avalikustas turvanõrkustest tulenevalt uuendused BIOSile. Turvanõrkuseid on võimalik teoreetiliselt kasutada informatsiooni kogumiseks ning mõjutatud seadme töö häirimiseks. Turvavigadele on olemas parandused (HN).

Kes ja mida peaks tegema?

ThinkPad X13 kasutajatel soovitatakse BIOS uuendada versioonini 1.47 või uuemale versioonile (Lenovo).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 52. nädalal


Tuhanded Citrixi serverid on haavatavad kriitiliste turvanõrkuste vastu

Tuhanded Citrixi ADC ja Gateway lahendused on endiselt haavatavad kahe kriitilise turvanõrkuse vastu. Esimene turvanõrkus CVE-2022-27510 (9.8/10.0) parandati 2022. aasta 8. novembril ja teine haavatavus CVE-2022-27518 (9.8/10.0) 13. detsembril. Esimest on ründajal võimalik ära kasutada selleks, et saada volitamata ligipääs haavatavale seadmele ning see üle võtta. Teise abil saab süsteemis käivitada pahaloomulist koodi, mille kaudu on võimalik samuti haavatav seade kompromiteerida. Samuti märgitakse, et ründajad on aktiivselt otsinud seadmeid, mis on haavatavad CVE-2022-27518 vastu (BP, SA).

Kes ja mida peaks tegema?

CVE-2022-27510 turvanõrkuse kohta leiate lisainformatsiooni siit.
CVE-2022-27518 turvanõrkuse kohta leiate lisainformatsiooni siit.

Citrixi ADC ja/või Gateway lahenduste kasutamise korral tutvuge ülal viidatud tootjapoolse informatsiooniga, et tuvastada, kas teie süsteemid on haavatavad. Vajadusel uuendage tarkvara kõige uuemale versioonile.

Netgear paikas WiFi ruuteritel kõrge mõjuga haavatavuse

Netgear paikas turvanõrkuse, mis mõjutab mitmeid Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) ja Wireless AC ruuterite mudeleid. Turvaviga võimaldab nii seadme töö häirimist kui ka pahatahtliku koodi käivitamist ning on hinnatud skooriga 7.4/10. Tootja ei ole jaganud täpsemaid detaile turvanõrkuse olemuse ega toimimisviisi kohta (BP, SA).

Kes ja mida peaks tegema?

Tabeli, mis sisaldab haavatavaid ruuterite mudeleid, leiate siit. Kui te haavatavaid seadmeid kasutate, soovitame uuendada tarkvara tabelis viidatud versioonile. Sellisel kujul haavatavus seadmetele ohtu ei kujuta.

Kriitiline haavatavus Linuxi kernelis võimaldab teatud SMB- serverites koodi kaugkäitust

Linuxi kernelis peitub kriitiline turvanõrkus (10.0/10.0), mille kaudu saavad autentimata ründajad käivitada teatud SMB-serverites pahatahtliku koodi. Haavatavad on serverid, mis kasutavad ksmbd moodulit. Turvanõrkus avastati tänavu juulis, kuid avalikustati 22. detsembril (ZDI, SA).

Kes ja mida peaks tegema?

Kõikidel, kes kasutavad SMB-servereid koos ksmbd mooduliga, tuleks uuendada Linuxi kernel versioonile 5.15.61 või uuemale versioonile. Sellisel juhul haavatavus ohtu ei kujuta.

Uus Linuxi pahavara ründab aegunud WordPressi pluginaid kasutavaid veebilehti

Uus pahavara kuritarvitab turvanõrkuseid aegunud WordPressi pluginates ja teemades, et paigaldada pahaloomuline JavaScript neid kasutavatele veebilehtedele. Pahavara sihib nii 32-bitiseid kui ka 64-bitiseid Linuxi süsteeme ja see võimaldab käivitada erinevaid käsklusi kompromiteeritud Linuxi süsteemides. Pahavara kasutamise eesmärgiks on aga aegunud WordPressi pluginaid ja teemasid kasutavate veebilehtede ründamine (BP).

Nimekiri WordPressi pluginatest ja teemadest, mida pahavara üritab rünnata:

o WP Live Chat Support Plugin
o WordPress – Yuzo Related Posts
o Yellow Pencil Visual Theme Customizer Plugin
o Easysmtp
o WP GDPR Compliance Plugin
o Newspaper Theme on WordPress Access Control (CVE-2016-10972)
o Thim Core
o Google Code Inserter
o Total Donations Plugin
o Post Custom Templates Lite
o WP Quick Booking Manager
o Facebook Live Chat by Zotabox
o Blog Designer WordPress Plugin
o WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
o WP-Matomo Integration (WP-Piwik)
o WordPress ND Shortcodes For Visual Composer
o WP Live Chat
o Coming Soon Page and Maintenance Mode
o Hybrid
o Brizy WordPress Plugin
o FV Flowplayer Video Player
o WooCommerce
o WordPress Coming Soon Page
o WordPress theme OneTone
o Simple Fields WordPress Plugin
o WordPress Delucks SEO plugin
o Poll, Survey, Form & Quiz Maker by OpinionStage
o Social Metrics Tracker
o WPeMatico RSS Feed Fetcher
o Rich Reviews plugin

Kui pahavaral õnnestub edukalt ülal viidatud aegunud pluginate ja/või teemade haavatavusi ära kasutada, laaditakse juhtserverist alla vajalik pahaloomuline JavaScript ja paigaldatakse see sihtmärgiks valitud veebilehele. Nakatunud lehti võib ründaja siis näiteks kasutada andmepüügiks, pahavara levitamiseks või reklaamitulu saamiseks.

Kes ja mida peaks tegema?

Kui te kasutate enda veebilehel ülal viidatud pluginaid või teemasid, veenduge, et need oleksid uuendatud. Tarkvara regulaarne uuendamine on oluline, kuna uuendused paikavad tihti turvanõrkuseid, mida ründajatel on võimalik ära kasutada.

Riiklike sidemetega rühmitused kasutavad küberrünnakutes üha aktiivsemalt XLL-faile

Hiljutisest Cisco Talose analüüsist selgus, et APT-d (advanced persistent threat) kasutavad süsteemide kompromiteerimiseks VBA makrode asemel üha rohkem pahaloomulisi XLL-faile. XLL-faile kasutatakse tavaliselt Exceli lisandmoodulite ja teatud funktsionaalsuste puhul. Muudatuse lähenemisviisis tingis analüüsi hinnangul asjaolu, et Microsoft blokeeris eelmisel aastal vaikimisi VBA makrode kasutamise Office’i failides, mis on internetist alla laaditud (HN).

Analüüsi põhjal on hiljuti XLL-faile kasutatud AveMaria ja Ducktaili pahavara jagamiseks. AveMaria on troojan-tüüpi pahavara, mis lisatakse manusena tihti ka Eesti inimestele saadetud pahaloomulistele kirjadele. Ducktail on aga nuhkvara, mida kasutatakse veebilehitsejasse salvestatud sessiooniküpsiste ja kasutajatunnuste varastamiseks.

Pikemalt saab analüüsiga tutvuda siin.

Kes ja mida peaks tegema?

Soovitame alati tähelepanelikult jälgida, milliseid faile teile e-kirjadega saadetakse ja kahtluse korral neid mitte avada. RIA kirjutas eelmisel ka aastal ülevaatliku blogipostituse, mida pahaloomuliste e-kirjade puhul tähele panna. Soovitame sellega samuti tutvuda.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 50. nädalal

Fortinet paikas FortiOSi SSL-VPNi turvanõrkuse

Fortinet teavitas, et paikas FortiOSi SSL-VPNi turvanõrkuse. Turvaviga on hinnatud kriitiliseks skooriga 9.3/10.0 ja tähistatakse CVE-2022-42475. Turvaviga võimaldab autentimata ründajal pahatahtlikku koodi kaugkäivitada. Kuna FortiOSi tarkvara kasutatakse maailmas laialdaselt, siis pakuvad need haavatavused ka küberkurjategijatele huvi ja neid kasutatakse tihti rünnete läbiviimiseks. Ettevõtte kinnitusel on ka turvaviga CVE-2022-42475 rünnetes ära kasutatud (SA, BP, Fortinet).  

Kes ja mida peaks tegema?

Fortineti hinnangul mõjutab turvanõrkus CVE-2022-42475 FortiOSi versioone 7.2.0 kuni 7.2.2, 7.0.0 kuni 7.0.8, 6.4.0 kuni 6.4.10, 6.2.0 kuni 6.2.11 ning FortiOS-6K7K versioone 7.0.0 kuni 7.0.7, 6.4.0 kuni 6.4.9, 6.2.0 kuni 6.2.11 ja 6.0.0 kuni 6.0.14

Haavatavus on parandatud FortiOSi tarkvara versioonides 7.2.3, 7.0.9, 6.4.11, 6.2.12 ja 6.0.16. Soovitame FortiOS tarkvara uuendada esimesel võimalusel.

Apple paikas Webkiti nullpäeva turvanõrkuse

Apple paikas selle aasta kümnenda nullpäeva turvanõrkuse (CVE-2022-42856), mida on kasutatud iPhone’ide vastu suunatud rünnetes. Viga mõjutab Apple Webkiti veebibrauseri mootorit ja võib kaasa tuua pahatahtliku koodi käivitamise, kui kasutaja avab ründaja loodud veebilehe. Apple Webkiti funktsionaalisust kasutavad kõik kolmandate osapoolte veebilehitsejad, nende hulgas Google Chrome, Mozilla Firefox ja Microsoft Edge (BP, HN, SW).

Kes ja mida peaks tegema?

Ettevõtte sõnul mõjutab turvanõrkus kõiki järgnevaid Apple’i seadmeid: iPhone 6s , iPhone 7, iPhone SE, iPad Pro, iPad Air 2 ja uuemad, iPad viies generatsioon ja uuemad, iPad mini 4 ja uuemad ning iPod touch (seitsmes generatsioon). Kui Sa kasutad mõnd veebilehitsejat Apple’i seadmes, siis oled juba potsentsiaalselt ohus.

Kõik nende seadmete kasutajad peaks iOS tarkvara uuendama. Turvaviga on parandatud tarkvara versioonides iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 ja macOS Ventura 13.1. Täpsema Apple’i turvauuenduste infot leiab siit.

Microsoft paikas kaks nullpäeva turvanõrkust ja 49 haavatavust

Parandatud vigadest kuus on hinnatud kriitiliseks, kuna need võimaldavad koodi kaugkäivitamist. Parandati kaks nullpäeva turvanõrkust (CVE-2022-44698 ja CVE-2022-44710), millest ühte (CVE-2022-44698)  on juba rünnetes ära kasutatud. Turvanõrkust (CVE-2022-44698) on hinnatud keskmise skooriga 5.4/10 (BP).

Kes ja mida peaks tegema?

Kõik Microsofti toodete kasutajad peaks üle kontrollima, kas mõni neil kasutusel olev tarkvara sai turvapaiga ja esimesel võimalusel tarkvara uuendama.

Turvaviga (CVE-2022-44698) mõjutab Microsofti tarkvarasid Windows 10, Windows 11, Windows Server 2016, Windows Server 2019, Windows Server 2022 ja Windows Server 2022 Datacenter Azure Edition.

Turvaiga (CVE-2022-44710) mõjutab Microsofti tarkvara Windows 11.

Mitmed turvauuendused avaldati veebilehitsejale Microsoft Edge.

Täielikku raportit parandatud vigadest näeb siin.

Mozilla parandas turvanõrkused Firefoxi veebilehitsejas ja meiliprogrammis Thunderbird

Vead on paigatud Firefoxi versioonis 108, Firefox ESR versioonis 102.6 ja Thunderbirdi versioonis 102.6. Mitmed paigatud haavatavused võimaldavad ründajal saada ligipääs komporomiteeritud süsteemidele ja seetõttu on need hinnatud kõrge mõjuga turvavigadeks (Mozilla, CISA).

Kes ja mida peaks tegema?

Mozilla tarkvarade Firefox, Firefox ESR ja Thunderbird kasutajad peaks turvapaigad rakendama esimesel võimalusel.

Adobe paikas 38 turvanõrkust

Adobe parandas 38 turvanõrkust, mõned neist võimaldavad ründajal koodi käivitada ja õigustega manipuleerida (SW).

Kes ja mida peaks tegema?

Turvavead mõjutavad Adobe Experience Manager (AEM), Adobe Campaign Classic (ACC) ja Illustrator tarkvarasid. Nende tarkvarade kasutajad peaks uuendused paigaldama esimesel võimalusel.

Samba paikas mitu kriitilist turvanõrkust

Samba tarkvaras parandati neli turvanõrkust, mis võimaldavad ründajal saada nakatunud süsteemid enda kontrolli alla. Kõrge mõjuga haavatavused (CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 ja CVE-2022-45141) on parandatud Samba versioonides 4.17.4, 4.16.8 ja 4.15.13 (HN, SA).

Turvaviga CVE-2022-38023 (8.1/10.0) võimaldab kasutada nõrka RC4-HMAC Kerberose krüpteerimise tüüpi.

Turvaviga CVE-2022-37966 (8.1/10.0) võimaldab Windows Kerberose RC4-HMAC õigustega manipuleerida.

Turvaviga CVE-2022-37967 (7.2/10.0) võimaldab Windows Kerberose õigustega manipuleerida.

Turvavea CVE-2022-45141 (8.1/10.0) võimaldab Samba AD (active directory) domeenikontrolleril kasutada nõrka RC4-HMAC krüpteeringut.

Kes ja mida peaks tegema?

Kõik Samba tarkvara kasutajad peaksid tarkvara uuendama versioonidele 4.17.4, 4.16.8 ja 4.15.13, mis avalikustati 15. detsembril. Täpsem info ja tarkvara uuendused on Samba kodulehel.

RIA analüüsi- ja ennetusosakond