Olulisemad turvanõrkused 2024. aasta 37. nädalal

Kriitilist SonicWalli tulemüüride viga kasutatakse rünnete läbiviimisel

Turvaviga tähisega CVE-2024-40766 (CVSS skoor 9.3/10) mõjutab SonicWalli Gen 5, Gen 6 ja Gen 7 tulemüüre. Haavatavuse kaudu on võimalik saada ligipääs võrgule ja lunavararühmitused on hakanud seda aktiivselt kuritarvitama. Turvanõrkus on parandatud versioonides 5.9.2.14-13o, 6.5.2.8-2n, 6.5.4.15.116n või 7.0.1-5035.

Ettevõttel on üle 500 000 ärikliendi 215 riigis, nende hulgas on näiteks valitsusasutused ja mõned maailma suurimad ettevõtted (BC, SA).

GitLab paikas mitmeid turvavigasid

GitLab avaldas eelmisel nädalal turvauuenduse, millega parandati 17 haavatavust. Nende hulgas oli ka kriitiline turvaviga tähisega CVE-2024-6678 (CVSS skoor 9.9/10), mis võimaldab ründajal käivitada automatiseeritud protsessi (pipeline) suvalise kasutaja õigustes. Vead on parandatud GitLab Community Edition (CE) ja Enterprise Edition (EE) versioonides 17.3.2, 17.2.5 ja 17.1.7. Hetkel teadaolevalt ei ole neid turvavigasid ära kasutatud (HN).

Adobe paikas kriitilisi vigu oma tarkvarades

Adobe paikas 28 haavatavust, mis mõjutavad tarkvarasid Acrobat ja PDF Reader, Adobe ColdFusion, Adobe Photoshop ja Adobe Media Encoder. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ja osade haavatavuste vastu on olemas eksploitid.

Ohustatud on nii Windowsi kui ka Maci kasutajad (SW).

Microsoft paikas oma toodetes 79 haavatavust

Microsoft parandas kokku 79 haavatavust, mille hulgas oli ka neli nullpäeva turvanõrkust. Paigatud vigadest seitse on hinnatud kriitilise mõjuga veaks ja ettevõtte sõnul on nullpäeva turvanõrkusi juba rünnetes ära kasutatud.

Paigatud turvanõrkused jagunevad:

  • 30 õiguste ülesvallutuse turvanõrkust (Elevation of Privilege Vulnerabilities)
  • 4 turbevahenditest möödapääsu turvanõrkust (Security Feature Bypass Vulnerabilities)
  • 23 koodi kaugkäituse turvanõrkust (Remote Code Execution Vulnerabilities)
  • 11 info avalikustamise turvanõrkust (Information Disclosure Vulnerabilities)
  • 8 teenusetõkestuse turvanõrkust (Denial of Service Vulnerabilities)
  • 3 teesklusrünnakuid võimaldavat turvanõrkust (Spoofing Vulnerabilities)

Täpsema nimekirja parandustest leiab lisatud lingilt (BC, HNS).

Ivanti paikas turvanõrkusi erinevates toodetes

Ivanti paikas kriitilise haavatavuse tähisega CVE-2024-29847 (CVSS skoor 10/10), mis võimaldab autentimata ründajal tarkvaras Endpoint Manager (EPM) koodi käivitada. Lisaks nimetatud veale paigati veel mitmeid SQLi käivitamise vigasid EPMis. Ettevõte paikas ka seitse haavatavust tarkvarades Workspace Control (IWC) ja Cloud Service Appliance (CSA).

Cloud Service Appliance (CSA) versioonile 4.6 (eluea lõpus olev tooteversioon) toimuvad aktiivsed rünnakud, kasutades turvanõrkust CVE-2024-8190 (CVSS skoor 7.2/10), mis võimaldab autentimata ründajal käivitada koodi administraatoriõigustes.

Kõigil Ivanti toodete kasutajatel tuleks esimesel võimalusel tarkvara uuendada (BC, HN, CISA).

Palo Alto Networks paikas hulga turvanõrkusi oma toodetes

Palo Alto Networks andis kolmapäeval teada, et nad on paiganud hulga turvanõrkusi järgmistes toodetes: PAN-OS, Cortex XDR, ActiveMQ Content Pack, and Prisma Access Browser. Paigatud turvanõrkustest kõige tõsisem on PAN-OS’is leitud käsusüsti (command injection) turvanõrkus CVE-2024-8686 (CVSS skoor 8.6/10), mis võimaldab autentimata ründajal käivitada käsklusi juurkasutaja õigustes.

Seoses Google’i eelmise nädala Chromiumi turvauuendustega uuendati ka Chromiumil baseeruvat Prisma Access Browser’it.

Soovitame nende toodete tarkvara uuendada viimasele avaldatud versioonile (SW).

Olulisemad turvanõrkused 2024. aasta 36. nädalal

Google paikas hulga suure mõjuga turvavigu Chromiumi projektis ja Chrome’is

Google parandas hulga turvavigu nii Chromiumi Projectis kui ka Chrome’i brauseris. Üksteist parandatud turvaviga olid suure mõjuga ja mõnede turvanõrkuste jaoks on olemas ka aktiivselt kasutatavad ründekoodid.

Soovitame esimesel võimalusel uuendada Chromiumil baseeruvad brauserid:

Androidi tarkvarauuendus parandab mitmed turvavead

Androidi nutiseadmetes paigati 35 turvaviga, mille hulgas oli suure mõjuga haavatavus tähisega CVE-2024-32896 (CVSS skoor 7.8), mis võimaldab õiguste vallutust (privilege escalation). Nimetatud turvaviga on juba rünnete läbiviimisel ära kasutatud.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, SA).

Zyxel paikas oma toodetes mitmeid turvavigu

Zyxel parandas hulgaliselt turvaauke oma erinevates võrguseadmetes, nende hulgas ka kriitilise turvavea tähisega CVE-2024-7261. Turvaviga võimaldab autentimata ründajal käivitada erinevaid käsklusi Zyxeli seadmetes (access point) ja ruuterites, saates haavatavatele seadmetele spetsiaalselt loodud küpsise.

Paigati mitmeid vigasid APT, USG Flex, USG Flex 50(W) ja USG20(W)-VPN tulemüürides ning kommutaatorites (switch), mis võimaldavad ründajal teha DoS-i, käsusüste ja käskude käivitamist (CVE-2024-6343, CVE-2024-7203, CVE-2024-42059, CVE-2024-42060, CVE-2024-42057, CVE-2024-42058, CVE-2024-42061).

Seadmetes Zyxel’s 5G NR/4G LTE CPE, DSL/Ethernet CPE, fiber ONT, WiFi pikendi (WiFi extender) parandati puhvri ületäitumise turvanõrkus CVE-2024-5412 (CVSS skoor 7.5/10) “libclinkc” teegis, mis võimaldab autentimata ründajal tekitada seadmes teenusetõkestuse (DoS) seisundi, saates haavatavale seadmele spetsiaalse HTTP-päringu.

Ettevõtte soovitab kõigil kasutajatel tarkvara esimesel võimalusel uuendada (HNS).

VMware paikas suure mõjuga turvavea Fusioni tarkvaras

Virtualiseerimistarkvara pakkuja VMware tuvastas Fusioni hüperviisoris väga tõsise haavatavuse, mis võimaldab tavakasutaja õigustes käivitada koodi Fusioni rakenduse kontekstis. Eduka ründe korral on võimalik kogu süsteem kompromiteerida.

Turvaviga tähisega CVE-2024-38811 on hinnatud kõrge CVSS skooriga 8.8/10. Ei ole avaldatud, kas antud haavatavust on reaalselt ära kasutatud.

Haavatavus mõjutab kõiki VMware Fusioni versioone kuni 13.x ja lahenduseks on tarkvara uuendamine versioonile 13.6 (SW, SA).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on ohus üle 5 miljoni veebilehe

Turvanõrkus (CVE-2024-44000) mõjutab pistikprogrammiLiteSpeed Cacheja

selle kaudu on võimalik autentimata ründajal saada kontrolli kogu veebilehe üle. Juba on leitavad ka antud turvanõrkust ära kasutavad koodinäidised.

Eelmisest LiteSpeed Cache’i kriitilisest turvanõrkusest kirjutasime 34. nädala olukorra blogikirjes.

Turvanõrkus on paigatud tarkvara versioonis 6.5.0.1, kuid juba on ka väljas versioon 6.5.0.2. Soovitame kõigil kasutajatel uuendada pistikprogramm uusimale versioonile (BC).

Olulisemad turvanõrkused 2024. aasta 35. nädalal

Google paikas Chrome’i veebilehitsejas taas nullpäeva turvanõrkuse

Tegemist on juba kümnenda sel aastal parandatud nullpäeva turvanõrkusega Chrome’i veebilehitsejas. Google’i teatel on turvaviga tähisega CVE-2024-7965 rünnetes ka ära kasutatud. Uuendusega paigati kokku 37 turvaviga, nende hulgas oli ka eelmisel nädalal avalikuks tulnud nullpäeva turvanõrkus CVE-2024-7971. Kuus turvaviga on hinnatud suure mõjuga haavatavuseks.

Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 (Linux) või 128.0.6613.84/.85 (Windows, Mac) esimesel võimalusel.

Eelmisel nädalal avaldati ka uudis, et Google maksab turvanõrkuste avastajatele kuni 250 000 USA dollari suurust preemiat (HN, BC, Chrome, BC).

Miljon WordPressi veebilehte on ohus turvanõrkuse tõttu

Kriitiline turvanõrkus tähisega CVE-2024-6386 mõjutab pistikprogrammi WPML multilingual plugin for WordPress, mis on kasutusel miljonil WordPressi veebilehel. Tegemist on populaarse pluginaga, mille kaudu saab luua 65 erinevas keeles veebilehti. Haavatavuse kaudu on võimalik ründajal pahaloomulist koodi kaugkäivitada ja seeläbi veebileht kompromiteerida. Turvaviga on hinnatud kriitilise CVSS skooriga 9.9/10 ja sellele on olemas ka kontseptsiooni tõendus, mis näitab, kuidas on võimalik turvaviga ära kasutada.

Viga on parandatud tarkvara versioonis 4.6.13. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW, SA).

Cisco paikas mitmeid turvanõrkuseid NX-OS tarkvaras

Cisco paikas oma toodetes kokku kuus haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2024-20446, mis võimaldab autentimata ründajal põhjustada teenusekatkestuse. DHCPv6-sõnumite konkreetsete väljade vale käsitlemine võimaldab ründajal saata pahaloomulisi pakette haavatava seadme IPv6-aadressile. Ettevõte sõnul mõjutab haavatavus vaid Nexus 3000, 7000 ja 9000 seeriate lüliteid ja seda teatud tingimuste täitmisel.

Lisaks paigati kaks keskmise mõjuga viga Application Policy Infrastructure Controlleri (APIC) tarkvaras. Hetkel teadaolevalt ei ole haavatavusi ära kasutatud (SW, Cisco).

Fortra paikas turvavead FileCatalyst Workflow tarkvaras

Fortra parandas FileCatalyst Workflow tarkvaras kaks haavatavust, millest üks on kriitilise mõjuga. Turvaviga tähisega CVE-2024-6633 on hinnatud kriitilise CVSS skooriga 9.8/10 ja selle kaudu on võimalik autentimata ründajal saada andmebaasile juurdepääs, muuta või filtreerida seal olevaid andmeid ning luua uusi administraatorikontosid. Teine paigatud viga tähisega CVE-2024-6632 võimaldab SQL-käsklusi käivitada.  

Vead mõjutavad  kõiki FileCatalyst Workflow versioone kuni 5.1.6. Fortra soovitab klientidel uuendada FileCatalyst Workflow versioonile 5.1.7 või uuemale. Hetkel ei ole teada, kas nimetatud vigasid on õnnestunud kuritarvitada (SA, SW).