Tag Archives: Adobe

Olulisemad turvanõrkused 2023. aasta 46. nädalal

  • Microsoft paikas oma toodetes 58 viga

Microsoft parandas 58 haavatavust. Nende hulgas oli viis nullpäeva turvanõrkust, millest kolme on rünnetes ära kasutatud.

Ettevõtte sõnul on rünnete läbiviimisel kuritarvitatud haavatavusi tähistega CVE-2023-36036, CVE-2023-36033 ja CVE-2023-36025.

Parandatud vigadest võimaldavad koodi kaugkäivitada 14 ja üks neist on hinnatud kriitilise mõjuga nõrkuseks. Lisaks paigati ka 20 turvaviga Microsoft Edge’i veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

Soovitame uuendused rakendada esimesel võimalusel.

  • WordPressi pistikprogrammi haavatavuse tõttu on ohus enam kui 600 000 veebilehte

Turvanõrkus (CVE-2023-6063) mõjutab pistikprogrammi WP Fastest Cache ja selle kaudu on autentimata ründajal võimalik lugeda veebilehe andmebaasi sisu. Viga on hinnatud CVSS skooriga 8.6/10.

WP Fastest Cache on WordPressi plugin, mida kasutatakse lehtede laadimise kiirendamiseks, külastajakogemuse parandamiseks ja lehekülje esiletõstmiseks Google’i otsingus. Pistikprogrammi kasutab enam kui miljon veebilehte, kuid neist 600 000 kasutavad haavatavusega versiooni.

WPScan on öelnud, et nad avaldavad turvavea kontseptsiooni tõenduse 27. novembril ja kasutajatel on soovitatav enne seda tarkvara uuendada. WordPressi leheküljed ja seal olevad turvanõrkused on tihti ründajate sihtmärkideks.

Turvanõrkus mõjutab pistikprogrammi kõiki versioone kuni 1.2.2. Kõik kasutajad peaks uuendama tarkvara versioonile 1.2.2, kus viga on parandatud (BC).

  • Adobe paikas kriitilised turvavead oma tarkvarades

Adobe paikas kokku 72 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat, Reader, ColdFusion, inDesign, inCopy ja Audition. Parandatud turvanõrkuste hulgas oli 17 Adobe Acrobat ja Reader viga, mille kaudu saab paikamata süsteemides käivitada pahatahtlikku koodi.

Kuna tegemist on väga laialdaselt kasutusel olevate PDF-i lugeritega, siis soovitab tootja uuendada tarkvara nii pea kui võimalik. Adobe’i sõnul ei ole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Täpsem nimekiri parandatud turvavigadest ja mõjutatud tarkvaradest on lisatud linkidel (SW, Adobe).

  • Kiibitootjad paikasid haavatavusi

Kiibitootjad Intel ja AMD avaldasid eelmisel nädalal turvauuendused, milles teavitati oma kliente enam kui 130 haavatavuse parandamisest.

Intel paikas kokku 105 haavatavust. Nende hulgas oli Google’i teadurite avastatud haavatavus tähisega CVE-2023-23583, mille kaudu on võimalik ohvri seade ja teised samas võrgus olevad seadmed kokku jooksutada.  Haavatavus võib kaasa tuua ka teabe avalikustamise või õigustega manipuleerimise. Lisaks teavitati kliente ka Data Center Manager (DCM) tarkvaras olevast turvaveast, mida tähistatakse CVE-2023-31273 ja mis on hinnatud kõrgeima CVSS skooriga 10/10.

AMD parandas oma toodetes 27 turvaviga. Nende hulgas oli turvaviga tähisega CVE-2023-20592, mis ohustab virtuaalmasinaid ja võimaldab ründajal krüpteeritud masinasse sisse murda ning saada kõrgemad õigused. Lisaks paigati haavatavusi komponentides Secure Processor (ASP) ja System Management Unit (SMU) (SW).

Olulisemad turvanõrkused 2023. aasta 41. nädalal

  • Uus “HTTP/2 Rapid Reset” nullpäeva turvanõrkus võimaldab läbi viia suuremahulisi DDoS-ründeid

Eelmisel  nädalal avalikustati uus teenusetõkestusrünnete läbiviimise meetod, mida nimetatakse “HTTP/2 Rapid Reset”. Rünnetes kasutatakse ära HTTP/2 protokolli haavatavust, mille kaudu on võimalik teha väga suure mahuga hajusaid teenusetõkestusründeid. Meetodit on juba augustikuust alates kasutatud DDoS-rünnete läbiviimiseks ja Clouflare’il on õnnestunud leevendada juba enam kui tuhandet “HTTP/2 Rapid Reset” DDoS-rünnet.

Cloudflare’i sõnul on uue tehnikaga läbiviidud ründed kolm korda suurema võimsusega kui oli möödunud aasta rekord. Kui varasemalt oli rekordiline rünne 71 miljonit päringut sekundis, siis nüüd viiakse läbi ründeid mahuga 200 miljonit päringut sekundis. Google’i sõnul on nemad tegelenud ka ründega, mille maht oli ligi 400 miljonit päringut sekundis.

Nii Amazon Web Services, Cloudflare kui ka Google on kasutusele võtnud meetodid, mis aitavad ründeid leevendada (BC, Cloudflare, Google).

  • Microsoft paikas oma toodetes 104 viga

Microsoft parandas kokku 104 haavatavust, nende hulgas oli kolm nullpäeva turvanõrkust, mida on rünnetes ära kasutatud. Parandatud vigadest võimaldavad koodi kaugkäivitada 45 haavatavust ja 12 neist on hinnatud kriitilise mõjuga veaks.

Parandatud nullpäeva turvanõrkustest esimene (CVE-2023-41763) mõjutab Skype for Business tarkvara ja selle kaudu on võimalik saada kõrgemad õigused. Teine haavatavus (CVE-2023-36563) on Microsofti Wordpad tarkvaras ja see võimaldab ründajal saada ligipääsu ohvri süsteemile.  Kolmas nullpäeva turvanõrkus (CVE-2023-44487) on seotud eelmises lõigus kirjeldatud „HTTP/2 Rapid Reset“ haavatavusega.

Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Google Chrome’i uues versioonis on parandatud 20 turvanõrkust

Google avaldas Chrome’i versiooni 118.0.5993.70 Windows, Mac ja Linux seadmetele. Parandatud turvanõrkuste seas on üks kriitilise ja kaheksa keskmise mõjuga haavatavust. Hetkel teadaolevalt ei ole haavatavusi rünnete läbiviimisel ära kasutatud. Soovitame uuendada Google Chrome’i esimesel võimalusel (SW, Chrome).

  • Juniper paikas rohkem kui 30 turvaviga operatsioonisüsteemis Junos OS

Juniper Networks paikas üle 30 turvavea, mis mõjutavad Junos OS ja Junos OS Evolved operatsioonisüsteeme. Nende hulgas oli ka üheksa kõrge mõjuga haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-44194, mille kaudu võib autentimata ründaja saada juurkasutaja õigustega ligipääsu. Vead on paigatud Junos OS ja Junos OS Evolved versioonides 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4, 23.1, 23.2 ja 23.3.

Ettevõtte sõnul ei ole teada, et parandatud haavatavusi oleks rünnetes ära kasutatud. Arvestades seda, kui tihti proovitakse võrguseadmete turvanõrkusi rünnete läbiviimisel kuritarvitada, soovitab tootja uuendada tarkvara esimesel võimalusel (SW).

  • Adobe paikas turvavead Adobe Commerce, Magento Open Source ja Photoshop tarkvarades

Adobe paikas kokku 13 haavatavust, mis mõjutavad tarkvarasid Adobe Commerce, Magento Open Source ja Adobe Photoshop. Eduka ründe korral on võimalik õigustega manipuleerida, turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada.

Turvavead mõjutavad Adobe Commerce ja Magento Open Source versioone 2.4.7-beta1 ja vanemaid. Lisaks paigati ka vead Adobe Photoshop 2022 ja Photoshop 2023 tarkvarades. Täpsem nimekiri mõjutatud tarkvarade versioonidest on lisatud linkidel.

Kuna Adobe toodete turvanõrkused on tihti rünnakute sihtmärgiks, siis soovitab tootja kõigil kasutajatel nimetatud tarkvara uuendada (SW, Adobe, Adobe).

  • D-Linki WiFi signaalivõimendi on haavatav koodi kaugkäivitamisele

Populaarne WiFi signaalivõimendi D-Link DAP-X1860 WiFi 6 on haavatav turvanõrkusele CVE-2023-45208, mis võib kaasa tuua teenuse tõkestamise ja pahatahtliku koodi kaugkäivitamise. Hetkel ei ole veale parandust ja D-Link DAP-X1860 seadme kasutajatel soovitatakse piirata käsitsi võrguskaneerimise lubamist ning lülitada seade välja, kui seda parajasti ei kasuta (BC).

Olulised turvanõrkused 2023. aasta 32. nädalal

Microsoft paikas kaks aktiivselt kuritarvitatud nullpäeva turvanõrkust

Microsoft parandas augustikuu turvauuendustega 87 turvaviga, millest kuus on hinnatud kriitiliseks. Parandatud turvanõrkuste seas oli ka kaks nullpäeva haavatavust. Microsoft liigitab haavatavuse nullpäevaks, kui see on avalikustatud või seda on aktiivselt ära kasutatud ilma ametliku paranduseta. Esimest nullpäeva haavatavust CVE-2023-36884 saavad ründajad kuritarvitada selleks, et käivitada ohvri seadmes pahaloomulist koodi. See on võimalik, kuna antud turvanõrkus võimaldab ühest Microsoft Office’i turvameetmest (MoTW) mööda pääseda. Teise nullpäeva turvavea abil (tähistusega CVE-2023-38180) saab ründaja teostada teenusetõkestusründe .NET ja Visual Studio rakenduste vastu. Kui mõni Microsofti tarkvara uuendust pakub, soovitame selle esimesel võimalusel rakendada. Nimekirja kõikidest paigatud turvanõrkustest näete viidatud allikates (BP, SW, SA).

Codesysi tarkvaras peituvad vead ohustavad tööstusseadmeid

Microsoft avastas Codesysi tarkvaras üle 12 turvaaugu, mida saab ära kasutada tööstusseadmete töö segamiseks või tundliku teabe varastamiseks. Codesys toodab juhtimissüsteemide automatiseerimistarkvara ja ettevõtte tooteid kasutavad mõned maailma suurimad tööstuslike juhtimissüsteemide (ICS) tootjad. Kokku leiti Codesys Control V3 versioonides, mis on vanemad kui 3.5.19.0, 16 turvaauku. Kõigile haavatavustele on määratud suhteliselt kõrge raskusastme tase (maksimaalselt CVSSv3 8.8/10.0).

Ründajad võivad neid haavatavusi ära kasutada programmeeritavate loogikakontrollerite (PLC) ja muude ICS-seadmete sihtimiseks. Microsofti keskendus enda uurimuses Schneider Electricu ja Wago valmistatud PLC-dele. Siiski nõuab avastatud haavatavuste ärakasutamine kasutajapoolset autentimist, samuti põhjalikke teadmisi Codesys v3 protokolli ja seda kasutavate erinevate teenuste struktuuri kohta.

Microsoft on avalikustanud põhjaliku blogipostituse, millega saab tutvuda siin. Blogipostituses soovitatakse muuhulgas mõjutatud seadmed esimesel võimalusel uuendada, samuti tuleb veenduda, et kõik kriitilised seadmed (nagu näiteks PLC-d) ei oleks avalikult kättesaadavad, hoolimata sellest, kas need kasutavad Codesysi tarkvara või mitte. Samuti pakutakse avatud lähtekoodiga tööriista, mille abil on võimalik kasutajatel mõjutatud seadmed tuvastada. Täpsemalt saab selle kohta lugeda viidatud linkidelt (MS, SW).  

Adobe paikas enda toodetel mitukümmend turvanõrkust

Adobe paikas kokku 30 haavatavust, mis mõjutavad tarkvarasid Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Eduka ründe korral on võimalik turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada. Soovitame kõigil kasutajatel Adobe tarkvara uuendada (SW, Adobe).

Uued protsessorite vastu suunatud ründemeetodid võivad paljastada tundlikku teavet

Esimese uue ründemeetodi avastas Google ja seda tuntakse nimetuse all Downfall. Konkreetse ründe käigus kasutatakse ära turvanõrkust CVE-2022-40982. Sarnaselt muudele protsessori vastu suunatud ründemeetoditele võib Downfalli ära kasutada süsteemile ligipääsu saanud ründaja või pahavara, et hankida seadme kasutajaga seotud tundlikku teavet, näiteks paroole. Antud ründemeetod töötab avastajate sõnul ka pilvekeskkondade vastu. Inteli sõnul kasutati ründemeetodi tõestamiseks spetsiifilisi tingimusi ja seda meetodit on väga keeruline ilma nende tingimusteta kasutada. Siiski pakub ettevõte mõjuatud platvormidele uuenduse. Ründemeetodi vastu on kaitstud hiljutised Inteli protsessorid nagu Alder Lake, Raptor lake ja Sapphire Rapids (SW).

Hiljuti avalikustas Google ka Zenbleedi-nimelise haavatavuse, mis mõjutab AMD Zen 2 protsessoreid ja lubab ründajal tundlikule teabele ligi pääseda. Samuti teavitasid ETH Zürichi ülikooli teadlased avalikkust veel ühest protsessorite vastu suunatud ründemeetodist, mille abil on võimalik tundlikule informatsioonile ligi pääseda ja mis mõjutab AMD Zeni protsessoreid (SW).