Olulisemad turvanõrkused 2024. aasta 13. nädalal

300 000 IP-d on haavatavad uue Loop DoS-i ründetehnika vastu

Ligikaudu 300 000 internetis avalikult kättesaadavat serverit või seadet on haavatavad uue ummistusrünnakute tehnika vastu. See meetod töötab UDP-põhiste rakenduskihi teenuste vastu, kasutades ära kindlaid TFTP, DNSi ja NTP teenuseid ning samuti aegunud protokolle, nagu Echo, Chardgen ja QOTD (TR).

Oma olemuselt on käesolev ründemeetod küllaltki triviaalne – ründajad saadavad vigase päringu näiteks haavatavale serverile A, spoof’ides haavatavat serverit B. Nõnda hakkavad serverid A ja B üksteisele lõputult päringuid saatma, muutes teenused kättesaamatuks.

Loop DoS-i eelis on see, et seda kasutades ei pea ründajad serveri teenuse töö häirimiseks pidevalt suurtes mahtudes päringuid saatma – pärast rünnaku algust DoS-ivad kaks haavatavat serverit üksteist ise ja see kestab niikaua, kuni keegi selle ahela peatab.

Apple paikas koodi kaugkäitust võimaldava turvanõrkuse

Apple väljastas värsked turvapaigad iOS-i ja MacOs-i seadmetele, et parandada CVE-2024-1580 koodi kaugkäitust võimaldav turvanõrkus (SW). Antud turvanõrkus kasutab ära iOS-i CoreMedia ja WebRTC komponente, mis vastutavad multimeedia (nt pildid ja videod) töötlemise eest.

See turvanõrkus ei mõjuta mitte ainult Apple’i, vaid ka kõiki teisi seadmeid, mis kasutavad dav1d tarkvara. Seda tarkvara kasutatakse multimeedia dekodeerimiseks AV1 formaadis, kuid eriti suurte failide puhul võib tekkida täisarvu ületäitumine (integer overflow), mille abil saab panna tarkvara kirjutama andmeid väljapoole ettenähtud mälu. Nõnda saavad ründajad CVE-2024-1580 abil jooksutada koodi kellegi teise seadmes, kasutades selle jaoks pahaloomulisi pilte või videoid.

Häkkerid kasutavad serverite kompromiteerimiseks ära Ray raamistiku turvanõrkust

Uus ShadowRay-nimeline kampaania sihib haavatavaid Ray raamistike (populaarne avatud lähtekoodiga AI-raamistik). Sedalaadi ründeid on esinenud juba 2023. aasta septembri algusest ning ründajate põhilisteks sihtmärkides on olnud hariduse, krüptoraha ja biofarmakoloogia sektorid, aga puudutatud on olnud ka muud eluvaldkonnad (BC).

2023. aasta novembris teavitas Anyscale viiest Ray turvanõrkusest (CVE-2023-6019, CVE-2023-6020, CVE-2023-6021 ja CVE-2023-48023), millest neli said ka paigatud. Samas viies turvanõrkus (CVE-2023-48023), mis võimaldas koodi kaugkäitust, jäi paikamata (BC). Selle põhjuseks on Anyscale’i seisukoht, et autentimisvõimaluse puudumine Rays on osa selle disainist ja turvanõrkust saab ära kasutada vaid juhul, kui Ray kasutajad ignoreerivad projekti dokumentatsioonis rõhutatud soovitusi.

Kuna Anyscale CVE 2023-48023 turvanõrkuseks ei pea, siis on paljude Ray kasutajate ja staatiliste skaneerimistööriistade jaoks jäänud antud turvanõrkus märkamata, mistõttu on ründajatel võimalik haavatavaid teenuseid kompromiteerida.

Linuxi turvaviga laseb ründajatel ohvrite paroole varastada

Linuxi operatsioonisüsteemis kasutatav wall-käsk sisaldab turvanõrkust (CVE-2024-28085), mida saab ära kasutada ohvrite paroolide varastamiseks või lõikelaua (clipboard) sisu muutmiseks.

Wall-käsk kuulub util-linuxi paketti, mis on osa Linuxi operatsioonisüsteemist. Antud käsku kasutatakse Linuxi süsteemides selleks, et saata sõnumeid kõikidesse samasse süsteemi (näiteks serverisse) sisse logitud kasutajate terminalidesse (BC).

Wall-käsu turvaviga seisneb selles, et kui kasutaja saadab teistele kasutajatele laiali mingi teksti, siis sealt ei filtreerita välja paojärjestusi (escape secuence ehk sümbolite kombinatsioon, mille abil saab terminalile käske anda). Nõnda saab administraatori õigusteta kasutaja samas süsteemis olevatelt administraatori õigustega kasutajatelt  paroolid välja petta, saates neile wall-käsu abil spetsiaalseid sümboleid sisaldava sõnumi, mis loob nende terminali võltsitud SUDO-rea.

Olulisemad turvanõrkused 2024. aasta 12. nädalal

Atlassian paikas oma toodetes mitmeid turvavigu

Atlassian parandas kümneid haavatavusi, mis mõjutavad ettevõtte erinevaid tooteid, nagu Bamboo, Bitbucket, Confluence ja Jira.

Kõige tõsisema mõjuga neist on kriitiline turvaviga tähisega CVE-2024-1597, mis võimaldab ründajal käivitada pahaloomulisi SQL-käske Bamboo Data Centeri and Serveri tarkvaras.

Haavatavus on hinnatud maksimaalse CVSS skooriga 10.0/10. See mõjutab Bamboo Data Centeri and Serveri versioone 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 ja 9.5.0. Viga on paigatud sama tarkvara versioonides 9.6.0 (LTS), 9.5.2, 9.4.4 ja 9.2.12 (LTS).

Lisaks paigati veel mitmeid turvavigu teistes tarkvarades. Näiteks parandati 20 kõrge mõjuga haavatavust JIRA tarkvaras, mida kasutavad paljud asutused ja ettevõtted ka Eestis. Täpse nimekirja turvavigadest ja paigatud versioonidest leiab siit. Ettevõte soovitab kõigil kasutajatel Atlassiani tarkvarad uuendada viimasele versioonile (SA, SW).

WordPressi pistikprogrammi kriitiline haavatavus võimaldab veebilehe ülevõtmist

Kriitiline turvanõrkus (CVE-2024-2172) mõjutab miniOrange’i pistikprogramme Malware Scanner ja Web Application Firewall. Haavatavus on hinnatud kriitilise CVSS skooriga 9.8/10 ning WordPressi veebilehtede administraatoritel soovitatakse need plugin’ad ära kustutada. Arendaja on mõlema pistikprogammi allalaadimise peatanud ning neid ei hakata tulevikus enam kasutajatele pakkuma.

Haavatavuste kaudu on võimalik autentimata ründajal hankida administraatoriõigused ja seejärel veebileht üle võtta. Administraatorina on võimalik lisada veebilehele erinevaid pahaloomulisi faile, muuta seal olevaid postitusi ja suunata kasutaja mõnele teisele veebilehele. Neid pistikprogramme kasutab umbes 10 000 WordPressi veebilehte (HN, SA).

Enam kui 133 000 Fortineti seadet on ohus kuu aja eest paigatud turvanõrkuse tõttu

Turvanõrkus tähisega CVE-2024-21762 mõjutab Fortineti FortiOSi ja FortiProxy tarkvarasid ning vea kuritarvitamiseks on avaldatud mitmeid kontseptsiooni tõendusi. Tegemist on haavatavusega, mis võimaldab autentimata ründajal koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.6/10. Turvaviga on parandatud juba kuu aega tagasi, kuid Shadowserveri monitooringu andmeil on endiselt ligi 133 000 paikamata seadet.

Varasemalt on Fortineti seadmete haavatavused olnud mitmete häkkerirühmituste sihtmärgiks, samuti on need jõudnud kõige sagedamini ärakasutatud haavatavuste loenditesse.

Lisaks tuli eelmisel nädalal ka info teisest Fortineti turvaveast, mida on õnnestunud rünnete läbiviimisel kuritarvitada. Turvaviga tähisega CVE-2023-48788 mõjutab Fortineti FortiClient Enterprise Management Serveri (EMS) tarkvara ning kuna selle vea kohta avaldati samuti kontseptsiooni tõendus, siis hakati seda ka üsna pea ära kasutama (TR, SA).

TeamCity turvanõrkused on ründajate sihtmärgiks

Eelmisel nädalal kirjutasime blogis samal teemal, kuid nüüdseks on selgunud, et TeamCity haavatavuste kaudu viiakse läbi veelgi enam erinevaid ründeid. Hiljuti avalikuks tulnud turvavead TeamCity tarkvaras on sattunud küberrühmituste sihtmärgiks – nende kaudu viiakse läbi lunavararündeid (BianLian ja Jasmin), seatakse üles krüptokaevureid (XMRig) ja hangitakse kaugligipääs ohvri seadmetele (Spark RAT).  

Rünnete läbiviimisel kasutatakse haavatavust tähisega CVE-2024-27198, mis on parandatud TeamCity versioonis 2023.11.4. Kuna veale on internetis avaldatud kontseptsiooni tõendus (proof of concept) ja rünnete katsed aina sagenevad, siis on eriti oluline tarkvara uuendada (HN, SA, TM).

Fujitsu avastas oma IT-süsteemidest pahavara

Jaapani tehnikatootja Fujitsu avastas, et mitmed nende IT-süsteemid on pahavaraga nakatunud ja ühtlasi on varastatud klientide andmeid.  Fujitsu on maailmas suuruselt kuues IT-teenuste pakkuja, kus töötab 124 000 inimest ja firma aastakäive on 23,9 miljardit dollarit. Nende toodete hulka kuuluvad nii erinev arvutitehnika kui ka teenused, näiteks: serverid ja salvestussüsteemid, tarkvara, telekommunikatsiooniseadmed, pilvelahendus ja IT-nõustamisteenuseid.

Eelmisel nädalal avalikuks tulnud küberintsident mõjutab nii ettevõtte sisemisi süsteeme kui ka klientide andmeid. Pahavara avastati mitmes arvutis ja samuti on tõendeid selle kohta, et nende klientide tundlikke andmeid on alla laetud. Kohe, kui intsidendist teada saadi, eemaldati nakatunud arvutid võrgust ja hakati uurima, kuidas pahavara süsteemi pääses.

See ei ole paraku esimene kord, kui Fujitsu süsteemidesse häkiti. 2021. aasta mais kasutati Fujitsu ProjectWEB tarkavara ja tungiti selle kaudu mitme Jaapani valitsusasutuse infosüsteemidesse. Ründe käigus saadi ligipääs 76 000 meiliaadressile ja tundlikule infole. Varastatud andmed hõlmasid tundlikku teavet valitsussüsteemide ja Narita rahvusvahelise lennujaama lennujuhtimisandmete kohta (BC).

Pahavarakampaania mõjutab 39 000 WordPressi veebilehte

Pahavarakampaania nimega Sign1 on viimase kuue kuu jooksul nakatanud üle 39 000 WordPressi veebilehe, põhjustades külastajatele soovimatuid ümbersuunamisi ja hüpikaknaid. Kampaania käigus lisati pahavara nii HTMLi elementidesse kui ka pistikprogrammidesse. Ligipääs WordPressi veebilehele saadi kas jõuründe või pistikprogrammide haavatavuste ärakasutamise abil.

Oma veebilehe kaitsmiseks tuleks kasutada tugevat administraatoriparooli ja regulaarselt uuendada pistikprogrammid kõige uuemale versioonile. Samuti võiks eemaldada kõik üleliigsed lisamoodulid (add-ons), mida ei kasutata ja mille kaudu võivad ründed toimuda (BC).

Olulisemad turvanõrkused 2024. aasta 11. nädalal

Illustratsioon: palju pisikesi tehnilisi detaile, keskel suuremalt avatud ekraaniga sülearvuti ning monitor

100 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kõrge mõjuga turvanõrkus CVE-2024-2123 mõjutab pistikprogrammi “Ultimate member” ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi skripte sisestada. Turvaauku on võimalik ära kasutada ründajal, kellel ei ole lehel õigusi. Ründe läbiviimisel saab ta endale administraatoriõigused lisada.

“Ultimate member” võimaldab WordPressi administraatoril hallata kasutajate registreeringuid, sisselogimisi, profiile ja rolle.

Pistikprogrammi kasutab umbes 200 000 WordPressi veebilehte ja eeldatavasti on pooled neist paikamata versiooniga. Viga on parandatud tarkvara versioonis 2.8.4. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW).

Microsoft paikas oma toodetes 60 haavatavust

Microsoft parandas kokku 60 haavatavust, mille hulgas oli 18 koodi kaugkäivitamist võimaldavat turvaviga. Parandatud turvavigadest on vaid kaks haavatavust hinnatud kriitilise mõjuga veaks – need mõlemad mõjutavad Microsoft Hyper-V virtualiseerimislahendust.  Turvavead tähistega CVE-2024-21407 ja CVE-2024-21408 võivad eduka ründe korral kaasa tuua koodi käivitamise ja teenuste tõkestamise. Lisaks paigati ka neli turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud linkidelt. Ükski parandatud turvavigadest ei olnud nullpäeva turvanõrkus (BCSA).

TeamCity turvanõrkuseid kasutatakse ära lunavararünnete läbiviimisel

Märtsi alguses tulid avalikuks turvavead TeamCity tarkvaras, mille kaudu on võimalik autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Kirjutasime neist haavatavustest ka siin blogis.

Turvavea avastasid Rapid7 teadurid, kes avalikustasid haavatavuste täpsema tehnilise info vaid paar tundi pärast seda, kui tarkvaratootja JetBrains oli jõudnud vead paigata. See aga tõi kaasa ründelaine – kohe pärast vea avalikustamist võtsid ründajad need sihikule ja hakkasid otsima turvapaikamata tarkvarasid.

LeakIX-nimeline projekt, mis otsib veebist haavatavaid ja valesti konfigureeritud süsteeme, nägi massilist turvavigade ärakasutamist. Nende hinnangul lõid petturid kontosid vähemalt 1400 korral. Lisaks kasutas TeamCity haavatavust tähisega CVE-2024-27198 ligipääsu saamiseks ka lunavararühmitus nimega BianLian, kes on varem rünnanud kriitilise infrastruktuuri taristut.

JetBrains on ka ise öelnud, et mitmed nende kliendid on teavitanud kompromiteeritud serveritest ja krüpteeritud failidest (SW, GS, TR).

QNAP paikas NAS-seadmete kriitilise mõjuga turvanõrkuse

QNAP paikas kriitilise turvavea tähisega CVE-2024-21899, mille kaudu on ründajal võimalik saada ligipääs NAS-seadmele. Ettevõtte sõnul mõjutab haavatavus QTS, QuTS hero ja QuTScloud tooteid. Lisaks paigati ka turvavead tähistega CVE-2024-21900 ja CVE-2024-21901, mis võivad kaasa tuua pahaloomulise koodi käivitamise. QNAP ei maini oma teavituses, et turvanõrkusi oleks õnnestunud rünnete läbiviimisel ära kasutada, kuid QNAP-toodete turvavead on varem olnud rünnete all ja seetõttu on kõigil kasutajatel soovitatav tarkvara uuendada (SW).

Fortinet paikas taas oma toodetes kriitilisi haavatavusi

Fortinet avaldas turvauuenduse, millega paigatakse FortiOSi, FortiProxy ja FortiClientEMSi tarkvarades olevad kriitilised koodi käitamise haavatavused. Turvaviga tähisega CVE-2023-42789 on hinnatud kriitilise CVSS skooriga 9.3/10 ja selle kaudu on võimalik saata kompromiteeritud seadmele pahaloomulisi HTTP-päringuid. Viga mõjutab Fortineti FortiOSi versioone 7.4.0 kuni 7.4.1, 7.2.0 kuni 7.2.5, 7.0.0 kuni 7.0.12, 6.4.0 kuni 6.4.14, 6.2.0 kuni 6.2.15 ning FortiProxy versioone 7.4.0, 7.2.0 kuni 7.2.6, 7.0.0 kuni 7.0.12, 2.0.0 kuni 2.0.13.

Lisaks paigati ka teine kriitiline turvaviga CVE-2023-48788, mis võimaldab ründajal käivitada SQLi käske. Viga mõjutab FortiClientEMS versioone 7.2 ja 7.0. Kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada. Fortineti haavatavusi on ära kasutatud nii lunavararünnakute kui ka küberspionaaži läbiviimisel. Näiteks avaldas Fortinet veebruaris, et Hiina päritolu rühmitus on kasutanud just FortiOSi turvavigasid ning saanud nende abil ligipääsu Hollandi kaitseministeeriumi võrgule (SA, BC).

Cisco paikas ruuterite turvavead

Cisco paikas mitmeid haavatavusi ruuterite tarkvaras. Nende hulgas oli kolm kõrge mõjuga turvaviga, mis mõjutavad Cisco IOS XR tarkvara ja võivad kaasa tuua nii õigustega manipuleerimise kui ka teenuste tõkestamise.

Kõrge mõjuga turvavead on tähistega CVE-2024-20318, CVE-2024-20320 ja CVE-2024-20327. Vead mõjutavad erinevaid Cisco ruuterite seeriaid – näiteks Cisco 8000 ja 5700 seeria, NCS 540 ja ASR 9000. Turvavead on parandatud IOS XR tarkvara uues versioonis (SA, Cisco).