Tag Archives: Adobe

Olulisemad turvanõrkused 2024. aasta 37. nädalal

Kriitilist SonicWalli tulemüüride viga kasutatakse rünnete läbiviimisel

Turvaviga tähisega CVE-2024-40766 (CVSS skoor 9.3/10) mõjutab SonicWalli Gen 5, Gen 6 ja Gen 7 tulemüüre. Haavatavuse kaudu on võimalik saada ligipääs võrgule ja lunavararühmitused on hakanud seda aktiivselt kuritarvitama. Turvanõrkus on parandatud versioonides 5.9.2.14-13o, 6.5.2.8-2n, 6.5.4.15.116n või 7.0.1-5035.

Ettevõttel on üle 500 000 ärikliendi 215 riigis, nende hulgas on näiteks valitsusasutused ja mõned maailma suurimad ettevõtted (BC, SA).

GitLab paikas mitmeid turvavigasid

GitLab avaldas eelmisel nädalal turvauuenduse, millega parandati 17 haavatavust. Nende hulgas oli ka kriitiline turvaviga tähisega CVE-2024-6678 (CVSS skoor 9.9/10), mis võimaldab ründajal käivitada automatiseeritud protsessi (pipeline) suvalise kasutaja õigustes. Vead on parandatud GitLab Community Edition (CE) ja Enterprise Edition (EE) versioonides 17.3.2, 17.2.5 ja 17.1.7. Hetkel teadaolevalt ei ole neid turvavigasid ära kasutatud (HN).

Adobe paikas kriitilisi vigu oma tarkvarades

Adobe paikas 28 haavatavust, mis mõjutavad tarkvarasid Acrobat ja PDF Reader, Adobe ColdFusion, Adobe Photoshop ja Adobe Media Encoder. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ja osade haavatavuste vastu on olemas eksploitid.

Ohustatud on nii Windowsi kui ka Maci kasutajad (SW).

Microsoft paikas oma toodetes 79 haavatavust

Microsoft parandas kokku 79 haavatavust, mille hulgas oli ka neli nullpäeva turvanõrkust. Paigatud vigadest seitse on hinnatud kriitilise mõjuga veaks ja ettevõtte sõnul on nullpäeva turvanõrkusi juba rünnetes ära kasutatud.

Paigatud turvanõrkused jagunevad:

  • 30 õiguste ülesvallutuse turvanõrkust (Elevation of Privilege Vulnerabilities)
  • 4 turbevahenditest möödapääsu turvanõrkust (Security Feature Bypass Vulnerabilities)
  • 23 koodi kaugkäituse turvanõrkust (Remote Code Execution Vulnerabilities)
  • 11 info avalikustamise turvanõrkust (Information Disclosure Vulnerabilities)
  • 8 teenusetõkestuse turvanõrkust (Denial of Service Vulnerabilities)
  • 3 teesklusrünnakuid võimaldavat turvanõrkust (Spoofing Vulnerabilities)

Täpsema nimekirja parandustest leiab lisatud lingilt (BC, HNS).

Ivanti paikas turvanõrkusi erinevates toodetes

Ivanti paikas kriitilise haavatavuse tähisega CVE-2024-29847 (CVSS skoor 10/10), mis võimaldab autentimata ründajal tarkvaras Endpoint Manager (EPM) koodi käivitada. Lisaks nimetatud veale paigati veel mitmeid SQLi käivitamise vigasid EPMis. Ettevõte paikas ka seitse haavatavust tarkvarades Workspace Control (IWC) ja Cloud Service Appliance (CSA).

Cloud Service Appliance (CSA) versioonile 4.6 (eluea lõpus olev tooteversioon) toimuvad aktiivsed rünnakud, kasutades turvanõrkust CVE-2024-8190 (CVSS skoor 7.2/10), mis võimaldab autentimata ründajal käivitada koodi administraatoriõigustes.

Kõigil Ivanti toodete kasutajatel tuleks esimesel võimalusel tarkvara uuendada (BC, HN, CISA).

Palo Alto Networks paikas hulga turvanõrkusi oma toodetes

Palo Alto Networks andis kolmapäeval teada, et nad on paiganud hulga turvanõrkusi järgmistes toodetes: PAN-OS, Cortex XDR, ActiveMQ Content Pack, and Prisma Access Browser. Paigatud turvanõrkustest kõige tõsisem on PAN-OS’is leitud käsusüsti (command injection) turvanõrkus CVE-2024-8686 (CVSS skoor 8.6/10), mis võimaldab autentimata ründajal käivitada käsklusi juurkasutaja õigustes.

Seoses Google’i eelmise nädala Chromiumi turvauuendustega uuendati ka Chromiumil baseeruvat Prisma Access Browser’it.

Soovitame nende toodete tarkvara uuendada viimasele avaldatud versioonile (SW).

Olulisemad turvanõrkused 2024. aasta 33. nädalal

Microsoft hoiatab OpenVPNi haavatavuste eest

Microsoft hoiatas Black Hati turvalisuse konverentsil kasutajaid nelja turvavea eest (CVE-2024-27459, CVE-2024-24974, CVE-2024-27903, CVE-2024-1305), mis võimaldavad läbi viia koodi kaugkäivitamise ründeid. Ehkki vigu tutvustati kui nullpäeva turvanõrkusi, siis teadaolevalt ei ole õnnestunud neid kuritarvitada. Microsofti sõnul nõuab nende vigade ärakasutamine nii autentimist kui ka väga head arusaamist OpenVPN-i sisemisest tööst.

Vead on parandatud OpenVPN versioonis 2.6.10 ja ettevõte kutsub kõiki kasutajaid tarkvara uuendama esimesel võimalusel (SW).

Microsoft paikas oma toodetes 89 haavatavust

Microsoft parandas oma toodetes kokku 89 haavatavust, mille hulgas oli ka üheksa nullpäeva turvanõrkust. Paigatud vigadest kaheksa mõju on hinnatud kriitiliseks ja ettevõtte sõnul on kuut nullpäeva turvanõrkust rünnetes ära kasutatud. Täpsema nimekirja parandustest leiab lisatud lingilt (BC, SW).

Kriitiline turvanõrkus Ivanti Virtual Traffic Manageri tarkvaras

Ivanti paikas Virtual Traffic Manageri (vTM) kriitilise turvavea tähisega CVE-2024-7593 (CVSS skoor 9.8/10), mis võimaldab autentimisest mööda minna ja saada administraatori õigused.

Viga mõjutab järgnevaid vTMi versioone:

  • 22.2 (turvapaigatud versioon on 22.2R1)
  • 22.3 (turvapaigatud versioon on 22.3R3)
  • 22.3R2 (turvapaigatud versioon on 22.3R3)
  • 22.5R1 (turvapaigatud versioon on 22.5R2)
  • 22.6R1 (turvapaigatud versioon on 22.6R2)
  • 22.7R1 (turvapaigatud versioon on 22.7R2)

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada. Kui see ei ole mingil põhjusel võimalik, siis ajutise lahendusena võib ka piirata klientide ligipääsu haldusliidesele või anda ligipääsu ainult usaldusväärsetele IP-aadressidele.

Hetkel teadaoleva info alusel ei ole viga veel õnnestunud ära kasutada, kuid sellele on juba avaldatud kontseptsiooni tõendus. Eelmise aasta detsembrist alates rünnati paljusid organisatsioone Ivanti VPNi seadmete ja nendes olevate turvaaukude kaudu (HN, BC).

Adobe paikas suure hulga turvanõrkusi

Adobe paikas oma toodetes kokku 72 turvaviga ja hoiatab, et turvanõrkuste ära kasutamine võib kaasa tuua koodi käivitamise, mälulekked ja teenuste tõkestamise nii Windowsi kui ka macOSi platvormidel. Näiteks paigati 12 haavatavust populaarses PDFi lugeris Adobe Acrobat and Reader.

Mitmeid vigu paigati ka teistes Adobe’i tarkvarades nagu Adobe Illustrator, Adobe Photoshop, Adobe InDesign, Adobe Commerce ja Dimension. Adobe hoiatab, et kõige tõsisem turvaviga võimaldab ründajatel saada täieliku kontrolli ohvri seadme üle.

Adobe’i sõnul pole haavatavusi rünnete läbiviimiseks veel kuritarvitatud (SW).

SAP paikas oma toodetes kaks kriitilist turvanõrkust

SAP paikas 17 uut turvaviga ning uuendas kaheksat vana turvauuendust. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk CVSS skooriga 9.0/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid BusinessObjects, Business Intelligence ja Build Apps. Esimene neist on tähistatud CVE-2024-41730 (CVSS skoor 9.8/10) ning selle kaudu võib ründaja saada sisselogimiseks vajalikud õigused ja seeläbi kompromiteerida kogu süsteemi. Teine kriitiline turvaviga tähisega CVE-2024-29415 (CVSS skoor 9.1/10) mõjutab Node.js teeki ja Build Apps tarkvara.

SAP on üks maailma suuremaid ERP (Enterprise resource planning) tarkvarade tootjaid ja nende tooteid kasutab oluline osa ettevõtetest ning asutustest. Seetõttu on SAPi tarkvarade haavatavused ka pidevalt küberkurjategijate vaatluse all ja varasemalt on nende toodete kaudu saadud ligipääs paljude organisatsioonide süsteemidele. Soovitame kõigil SAPi tarkvarade kasutajatel tarkvara uuendada (SW, BC, SAP).

Olulisemad turvanõrkused 2024. aasta 28. nädalal

Netgeari ruuterid sisaldasid XSS-i ja autentimisest möödapääsemist võimaldavaid turvanõrkusi

Netgear palub klienditel oma seadmete püsivara uuendada, et paigata skriptisüsti ja autentimisest möödapääsemist võimaldavaid turvanõrkusi (BC). Antud turvanõrkusi võib ära kasutada kasutajate sessioonide varastamiseks, pahaloomulistele veebilehtedele ümbersuunamiseks ja varjatud andmete varastamiseks.

XSS-i turvanõrkus (PSV-2023-011) mõjutab Netgeari XR1000 Nighthawki ruutereid ning autentimisest möödasaamist võimaldav turvanõrkus mõjutab CAX30 Nighthawk AX6 6-Streami ruutereid.

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 150 000 WordPressi veebilehe on mõjutatud Modern Events Calendari pistikprogrammis olevast haavatavusest tähisega CVE-2024-5441, mille kaudu võib ründaja laadida pahaloomulisi faile veebilehele ja käivitada suvalist koodi.

Wordfence’i sõnul tuleneb viga sellest, et plugina “set_featured_image” funktsioonis (kasutatakse sündmuste piltide üleslaadimiseks) puudub faili tüübi valideerimise võimalus, mistõttu võib sinna üles laadida ka kahtlaseid .PHP faile (WF).

Viga mõjutab kõiki plugina versioone kuni 7.12.0, milles on haavatavused paigatud. Wordfence’i raporti kohaselt on häkkerid võtnud turvanõrkuse sihikule ja proovivad seda rünnetes ära kasutada. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (BC).

Adobe paikas oma tarkvarades kriitilisi vigu

Adobe paikas seitse haavatavust, mis mõjutavad tarkvarasid Adobe Premiere Pro, Adobe InDesign ja Adobe Bridge. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ning ohustatud on nii Windowsi kui ka Maci kasutajad.

Mõjutatud on järgmised tooted:

  • Adobe Premiere Pro (CVE-2024-34123) — Mõjutatud versioonid: 24.4.1 ja varasemad, 23.6.5 ja varasemad (Windows ja macOS). CVSS 7.0/10.
  • Adobe InDesign (CVE-2024-20781, CVE-2024-20782, CVE-2024-20783, CVE-2024-20785) — Mõjutatud versioonid: ID19.3 ja varasemad, ID18.5.2 ja varasemad (Windows ja macOS). (CVSS 7.8/10).
  • Adobe Bridge (CVE-2024-34139, CVE-2024-34140). Mõjutatud versioonid:** 13.0.7 ja varasemad, 14.1 ja varasemad (Windows and macOS). (CVSS 7.8).

    Adobe’i sõnul pole haavatavusi rünnete läbiviimisel veel kuritarvitatud (SW).

Windowsi MSHTML nullpäeva turvanõrkust on juba üle aasta pahavararünnakutes ära kasutatud

Microsoft paikas Windowsi nullpäeva turvanõrkuse, mida on juba 18 kuud ära kasutatud pahaloomuliste skriptide käivitamiseks, vältides Windowsi sisseehitatud turvameetmeid (BC).

Sisult saab selle turvanõrkuse abil sundida ohvri seadet avama mingit pahaloomulist URL-i Internet Exploreri veebilehitsejaga, kasutades mhtml: URI funktsiooni. Nõnda on ründajatel kergem pahavara ohvrite seadmetesse juurutada, kuna Internet Explorer hoiatab pahaloomulistest failidest palju vähemal määral, kui teised veebilehitsejad.

Antud turvanõrkuse (tähisega CVE-2024-3811) avastasid Check Point Researchi teadlased 2024. aasta maikuus ja edastasid info Microsoftile, kuid teadlase sõnul avastasid nad turvanõrkuse ära kasutamise jälgi, mis ulatusid koguni 2023. aasta jaanuarini.