Tag Archives: andmeleke

Olulisemad turvanõrkused 2024. aasta 22. nädalal

TP-Link parandas kriitilise vea populaarses ruuteris C5400X

TP-Link paikas turvavea, mida on hinnatud maksimaalse CVSS-skooriga (10.0/10) ning mis võimaldab autentimata ründajal kaugelt koodi käivitada. Pahaloomuliste käskude käivitamine võib kaasa tuua ruuterite ülevõtmise, andmete pealtkuulamise, DNSi sätete muutmise ja ligipääsu võrgule.

Turvaviga tähisega CVE-2024-5035 mõjutab mängurite seas populaarset TP-Linki ruuterit Archer C5400X ja selle tarkvara versioone kuni 1.1.1.6. Haavatavus on paigatud ruuteri tarkvara versioonis 1_1.1.7 (HN, BC).

Cisco paikas Firepower Management Centeris (FMC) kõrge mõjuga haavatavuse

Cisco parandas Firepower Management Centeri (FMC) tarkvara veebipõhise haldusliidese haavatavuse tähisega CVE-2024-20360, mida on hinnatud kõrge CVSS-skooriga (8,8/10). Haavatavus võimaldab pahaloomulisi SQLi käske käivitada, mille tulemusel saab ründaja andmebaasist mistahes andmeid, käivitada operatsioonisüsteemis suvalisi käske ja õigustega manipuleerida. Turvaveale on olemas parandus ja selle saavad kasutajad alla laadida (SA, Cisco).

WordPressi pistikprogrammi kasutatakse ära kaardiandmete varastamiseks

Kurjategijad on võtnud sihikule WordPressi pistikprogrammi Dessky Snippets. Häkkerid on asunud e-poodide veebilehtedele lisama pistikprogrammi kaudu pangakaardiandmeid varastavat pahaloomulist PHP-koodi.

Kuna e-poodides hoitakse tundlikke andmeid, näiteks pangakaardiandmed ja klientide isikuandmed, siis on need tihti kurjategijate sihtmärkideks. Kõigil WordPressi veebilehtede haldajatel tuleks hoida tarkvara ajakohasena, kasutada tugevaid paroole ja monitoorida oma lehel toimuvat (HN, SA).

Check Point paikas nullpäeva turvanõrkuse

Turvanõrkus tähisega CVE-2024-24919 mõjutab VPNi seadmeid ja seda on õnnestunud rünnetes kuritarvitada. Täpsemalt mõjutab turvaviga järgmisi Check Pointi tooteid: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways ja Quantum Spark Appliances. Mõjutatud versioonid on R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, and R81.20.

Haavatavuse kaudu võib saada kaugjuurdepääsu tulemüürile ja seejärel ligipääsu ettevõtte võrgule.

Check Pointi teatel on virtuaalsete privaatvõrkude (VPN) vastu suunatud rünnakud viimastel kuudel märkimisväärselt suurenenud. Mitmete suurte VPNi pakkujate, nagu Ivanti, Fortinet ja Cisco, toodetes on avalikustatud haavatavusi, mille kaudu on õnnestunud ründeid läbi viia. Muuhulgas kasutavaid neid turvanõrkusi ka riiklikud küberrühmitused. Näiteks jaanuaris hoiatas CISA, et Hiina riikliku taustaga häkkerid on võtnud sihikule Ivanti VPNi nullpäeva turvanõrkused. Seetõttu on oluline VPNi tarkvara uuendada niipea, kui turvauuendused välja antakse.

Kõigil, kes kasutavad Check Pointi Quantum Gateway tooteid, tuleks tarkvara uuendada (SA, SC).

Fortineti SIEMi tarkvara kriitilisele turvanõrkusele avaldati kontseptsiooni tõendus

Veebruaris avalikuks tulnud Fortineti FortiSIEMi tarkvaras olevale kriitilisele turvanõrkusele tähisega CVE-2024-23108 avaldati kontseptsioonitõendus, mis näitab, kuidas turvaviga ära kasutada. Veale on veebruarikuust olemas ka parandus ning kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada (SA).

WordPressi pistikprogrammide kriitilised turvavead on ründajate sihtmärgiks

WordPressi veebilehtede vastu suunatud pahatahtliku kampaania käigus kasutatakse ära turvanõrkusi kolmes erinevas pistikprogrammis – WP Statistics, WP Meta SEO ja LiteSpeed Cache. Tegemist on väga populaarsete pluginatega – WP Statistics pistikprogrammi on alla laetud 600 000 korda ja LiteSpeed Cache pistikprogrammi 5 miljonit korda.

Turvavead mõjutavad pluginate versioone:

  • WP Statistics 14.5 ja vanemad;
  • WP Meta SEO 4.5.12 ja vanemad;
  • LiteSpeed Cache 5.7.0.1 ja vanemad.

Eduka ründe korral on võimalik luua administraatorikonto, sisestada veebilehele pahaloomulist PHP-koodi ning jälgida kogu veebilehel toimuvat. Soovitame kõigil WordPressi veebilehtede haldajatel hoida tarkvara ajakohasena (SW).

Ticketmasterit tabas ulatuslik andmeleke

Live Nation kinnitas, et Ticketmasteri keskkonda on tabanud andmeleke, mis mõjutab 560 miljonit klienti.  Häkkerid on pakkunud tumeveebis müügiks 1.3 TB andmeid, mille eest soovitakse 500 000 dollarit. Varastatud andmed hõlmavad Ticketmasteri klientide nimesid, e-posti aadresse, telefoninumbreid, piletimüügi ja tellimuse üksikasju. Väidetavalt õnnestus andmed varastada pilveteenusepakkuja Snowflake kaudu – esmalt saadi kätte Snowflake’i töötaja kontoandmed ja seejärel saadi ligipääs nende klientide andmetele. Kurjategijate sõnul on nad sarnasel moel saanud ligipääsu ka teiste ettevõtete, nt Mitsubishi, Neiman Marcus ja Advance Auto Parts, andmetele (SA, CS).

Olulisemad turvanõrkused 2023. aasta 52. nädalal

Ründajad üritavad aktiivselt ära kasutada Apache OFBiz kriitilist turvanõrkust

Shadowserver Foundation on täheldanud katseid kasutada ära avatud lähtekoodiga Apache OFBiz tarkvaras leiduvat kriitilist haavatavust. See haavatavus, mida tähistatakse kui CVE-2023-49070, võimaldab ründajatel autentimisest mööda minna ja võltsida serveripoolset päringut (SSRF), mis võib viia suvalise koodi käivitamiseni ja andmete varguseni. Turvanõrkuse parandamiseks tuleb Apache OFBiz uuendada vähemalt versioonini 18.12.11 (SW).

Nuhkvarad kasutavad ära võimalikku turvanõrkust Google’i OAuthi lahenduses

Mitu pahavara kuritarvitavad väidetavalt Google OAuthi lõpp-punkti nimega MultiLogin, et taastada aegunud autentimisküpsised, mille abil võimaldatakse pahavarade kasutajatele volitamata juurdepääsu Google’i kontodele. Konkreetne turvanõrkus võimaldab pahalastel säilitada juurdepääsu kompromiteeritud kontodele ka pärast seda, kui mõjutatud kasutajad enda konto parooli lähtestavad. Meediaväljaannete info kohaselt ei ole Google konkreetset haavatavust ega selle ärakasutamist kinnitanud. Küll aga on mitmed pahavarade loojad väidetavalt sellest teadlikud ja vastavad lahendused selle ärakasutamiseks ka enda programmidele lisanud (BP).

Lihtne konfiguratsiooniviga seadis ohtu ligi miljoni Jaapani mänguarendajaga seotud inimese andmed

Jaapani mänguarendaja Ateami küberintsident paljastas, kuidas lihtne konfiguratsiooniviga pilveteenuse kasutamisel võib osutuda tõsiseks turberiskiks. Nimelt oli alates 2017. aasta märtsist määratud ettevõtte ühele Google Drive’i keskkonnale konfiguratsioonisäte selliselt, et kõik, kel oli vastav link, said keskkonnale juurdepääsu. Antud juhtum võis potentsiaalselt paljastada peaaegu miljoni inimese tundlikud andmed (BP).

Avalikult kättesaadavad andmed paiknesid kokku 1369 failis ja hõlmasid Ateami klientide, äripartnerite, töötajate, praktikantide ja tööotsijate isikuandmeid. Ohustatud andmete hulgas olid täisnimed, e-posti aadressid, telefoninumbrid, kliendihaldusnumbrid ja seadme identifitseerimisnumbrid (BP).

Kuigi hetkel puuduvad konkreetsed tõendid, et paljastatud teave on varastatud, pöörab see juhtum siiski tähelepanu pilveteenuste turvalise kasutamise olulisusele. Lisaks illustreerib see intsident, kuidas lihtsa konfiguratsioonvea tõttu võivad pahalased pääseda kergesti ligi tundlikele andmetele, mis võib viia potentsiaalse väljapressimiseni või andmete müügini teistele häkkeritele (BP)​.

Mõned soovitused antud juhtumi taustal:

  • Vaadake regulaarselt üle ja värskendage vajadusel pilvekeskondade konfiguratsioonisätteid.
  • Harige töötajaid turvalise andmetöötluse ja jagamise tavade kohta.
  • Rakendage tundlike andmete jaoks rangeid juurdepääsu kontrolle ja krüptimist.

Google Cloudi Kubernetese teenuses parandati haavatavus

Google Cloud parandas enda Kubernetese teenuses keskmise tõsidusega turvavea. Fluent Biti logimiskonteinerist ja Anthos Service Meshist leitud haavatavust saab ära kasutada õiguste suurendamiseks Kubernetese klastris. Lisaks võib antud haavatavus võimaldada andmete vargust ja põhjustada klastril tööhäireid. Haavatavuse ärakasutamise edukus sõltub sellest, kas ründaja on juba mõne meetodi abil, näiteks koodi kaugkäivitamise vea kaudu, FluentBiti konteinerile ligipääsu saanud. Haavatavus parandati turvauuendustega mitmes Google Kubernetes Engine’i (GKE) ja Anthos Service Meshi (ASM) versioonis (THN).

Nimekiri nendest versioonidest, milles on turvanõrkus parandatud:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Microsoft keelas pahavararünnakutes kuritarvitatud MSIX-i protokolli käsitlusrakenduse

Microsoft keelas MSIX ms-appinstalleri protokolli käsitlusrakenduse, mida erinevad grupeeringud kasutasid pahavara levitamiseks. Ründajad kuritarvitasid turvameetmetest mööda hiilimiseks ära Windows AppX Installeri haavatavust CVE-2021-43890. Konkreetset pahavara, mis antud ründevektoreid ära kasutas, jagati pahatahtlikke reklaamide ja andmepüügisõnumite abil. Microsoft soovitab installida App Installeri paigatud versiooni (1.21.34.210.0 või uuem). Kui see ei ole võimalik, soovitatakse administraatoritel ms-appistaller protokoll võimalusel süsteemides keelata (BP, MS).