Tag Archives: Android

Olulisemad turvanõrkused 2024. aasta 27. nädalal

Miljonid OpenSSH serverid on koodi kaugkäivitamise veale haavatavad

Qualysi küberturbeteadurite sõnul on potentsiaalselt 14 miljonit OpenSSH serverit ohus koodi kaugkäivitamist võimaldava vea tõttu, mida nimetatakse regreSSHion. Shodani ja Censys andmete põhjal on internetile avatud enam kui 14 miljonit seadet. Turvaviga tähisega CVE-2024-6387 võimaldab autentimata ründajal saada juurõigused ja käivitada pahaloomulisi käske ning seejärel võtta kontrolli kogu süsteemi üle. Lisaks on võimalik eduka ründe korral ohvri süsteemi paigaldada pahavara ja tagauksi. Turvaviga on võrreldud ka 2021. aastal avalikuks tulnud Log4Shell haavatavusega – teadurite sõnul on regreSSHion sama tõsise ja kriitilise mõjuga.

Viga mõjutab OpenSSH versioone 8.5p1 kuni 9.7p1 ning on parandatud versioonis 9.8p1. Täpsemalt mõjutab haavatavus glibc-põhiseid Linuxi süsteeme ning hetkel ei ole teada, et seda oleks võimalik kuritarvitada Windowsi või macOSi süsteemides.

Qualys on küll avaldanud tehnilist teavet turvavea kohta, kuid kontseptsiooni tõendust ei ole avalikuks tehtud, et vältida rünnete kasvu (SA, SW, ZDNET).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 25 turvaviga, nende hulgas oli kriitiline haavatavus Frameworki komponendis. Turvaviga tähisega CVE-2024-31320 võib kaasa tuua õigustega manipuleerimise ja mõjutab Androidi versioone 12 ning 12L. Suurem osa vigadest on hinnatud suure mõjuga haavatavusteks.

Sel korral ei avaldatud koos turvauuendusega Pixeli seadmete paikasid – ka eelmisel kuul said need avalikuks umbes kaks nädalat peale Androidi seadmete uuendamist.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Cisco paikas nullpäeva turvanõrkuse

Cisco parandas NX-OS tarkvaras nullpäeva turvanõrkuse tähisega CVE-2024-20399, mis võimaldab ründajal käivitada operatsioonisüsteemis suvalisi käsklusi.

Viga mõjutab järgmisi Cisco seadmeid:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode.

Kuna turvanõrkuse ärakasutamiseks peavad ründajal olema administraatoriõigused, siis on seda hinnatud keskmise mõjuga haavatavuseks CVSS skooriga 6.0/10.

Hiinast pärit häkkerite rühmitus Velvet Ant on juba asunud haavatavust kuritarvitama ning kõik Cisco seadmete kasutajad peaks tarkvara uuendama (DR).

Polyfill[.]io rünnak mõjutab ligi 400 000 hosti

Juuni lõpus avalikuks tulnud Polyfill[.]io tarneahela rünnak on palju laiema ulatusega kui esialgu arvati. Nüüdseks on selgunud, et enam kui 380 000 hosti suunavad kasutajaid pahaloomulisele domeenile. Nende hulgas on ka suurte ettevõtete nagu Mercedes-Benz ja WarnerBros domeenid.

Juuni lõpus tuli avalikuks info, et Hiina ettevõte Funnull on ostnud Polyfill.io teenuse ja muutnud seal kasutusel olevat JavaScripti teeki nii, et veebilehtede kasutajad suunatakse ümber pahatahtlikele või kelmusega tegelevatele saitidele. Kuna Polyfill.js on populaarne avatud lähtekoodiga teek vanemate brauserite toetamiseks, siis mõjutab see suurt hulka kasutajaid.

Turvaeksperdid soovitavad veebisaitide omanikel ettevaatusabinõuna oma koodibaasist eemaldada kõik viited hostile polyfill.io ja sellega seotud domeenidele (HN, Censys).

Apache parandas kriitilise turvavea Apache HTTP Serveris

Viga tähisega CVE-2024-39884 mõjutab Apache HTTP Serveri tarkvara ning selle kaudu on võimalik saada ligipääs lähtekoodile. Lisaks paigati veel mitmeid teisi haavatavusi, mis võimaldavad ründajatel teenuseid tõkestada, koodi kaugkäivitada ja saada volitamata juurdepääsu süsteemidele.

Apache Foundation soovitab kasutajatel uuendada tarkvara versioonile 2.4.61, kus turvavead on paigatud (SA).

Olulisemad turvanõrkused 2024. aasta 23. nädalal

Atlassian paikas suure mõjuga Confluence’i turvavea

Atlassiani tarkvarad Confluence Data Center ja Server on haavatavad suure mõjuga koodi kaugkäivitamise veale tähisega CVE-2024-21683. Viga on hinnatud CVSS skooriga 8.3/10 ja mõjutab kõiki Confluence Data Centeri versioone alates 5.2 kuni 8.9.0.

Turvaviga on võrdlemisi lihtne ära kasutada, kuna see ei vaja kasutajapoolset tegevust, kuid see ei ole hinnatud kriitiliseks, sest enne edukat rünnet on vaja täita mitu eeltingimust:

  • ründaja peab olema Confluence’i sisse logitud;
  • ründajal peab olema piisavalt õigusi, et lisada uusi makrokeeli;
  • pahatahtlikku koodi sisaldav JavaScripti fail tuleb üles laadida kindlasse jaotisesse (Configure Code Macro > Add a new language).

Haavatavus on paigatud Confluence Data Centeri versioonides 8.9.1, 8.5.9 LTS ja 7.19.22 LTS.

Veale on juba avaldatud ka kontseptsiooni tõendus ja seetõttu on eriti oluline kõigil kasutajatel tarkvara uuendada esimesel võimalusel. On tõenäoline, et nimetatud haavatavus satub peagi rünnete sihtmärgiks (HNS, SW).

Androidi seadmetes paigati 37 haavatavust

Androidi nutiseadmetes paigati 37 turvaviga, nende hulgas oli ka mitu kõrge mõjuga haavatavust, mis võivad kaasa tuua õigustega manipuleerimise. Hetkel teadaolevalt ei ole õnnestunud neid turvanõrkusi kuritarvitada. Soovitame Androidi nutiseadmete tarkvara uuendada siiski esimesel võimalusel. Pixeli ega Pixel Watchi seadmetes sel kuul haavatavusi ei parandatud. (SW, Android)

Zyxel paikas turvanõrkused NAS-seadmetes

Zyxel paikas viis kriitilist turvaviga NAS-seadmetes, mis on jõudnud oma kasutusea lõppu. Haavatavused mõjutavad NAS326 seadmeid tarkvara versiooniga V5.21(AAZF.16)C0 ja vanemad ning NAS542 seadmeid tarkvara versiooniga V5.21(ABAG.13)C0 ja vanemad.

Vead on paigatud tarkvara versioonides V5.21(AAZF.17)C0 ja V5.21(ABAG.14)C0. Eduka ründe korral võib autentimata kasutaja käivitada operatsioonisüsteemi käske ja suvalist koodi (HN).

Rünnakud Check Pointi VPNi vastu on tõusnud pärast nullpäeva haavatavuse avalikustamist

Mõned nädalad tagasi tuli avalikuks Check Pointi VPNi nullpäeva turvanõrkus, mida on nüüdseks aktiivselt ära kasutatud. Tegemist on suure mõjuga turvanõrkusega, mille kaudu on võimalik saada ligipääs tundlikule infole ja domeeni administraatori õigused.

Üks monitooringufirma nägi, et eelmisel nädalal prooviti haavatavust tähisega CVE-2024-24919 rünnata enam kui 780-lt erinevalt IP-aadressilt.

Turvanõrkus mõjutab Check Pointi CloudGuard Networki, Quantum Maestro, Quantum Scalable Chassisi, Quantum Security Gateway ja Quantum Sparki seadmete erinevaid tarkvara versioone. Kõik mõjutatud tooted on IPsec VPN-funktsiooniga Check Pointi turvalüüsid. WatchTowri teadurite hinnangul on viga lihtne leida ja väga lihtne ära kasutada, kuna selleks ei ole vaja eriõigusi ega kasutajapoolset sekkumist.

Check Point soovitab kõigil oma klientidel tarkvara uuendada (DR).

PHP paikas kriitilise turvavea, mis võimaldab koodi kaugkäivitada

Teadurid avastasid kriitilise koodi kaugkävitamise turvavea tähisega CVE-2024-4577 PHP-programmeerimiskeeles. Haavatavus mõjutab miljoneid servereid üle maailma ja võimaldab autentimata ründajal saada kontroll serveri üle. Turvaviga esineb kõigis PHP versioonides alates 5.x.

Erinevad küberturbega tegelevad ettevõtted on juba oma monitooringutes näinud katseid turvavea kuritarvitamiseks. Turvaveale on ka avaldatud kontseptsiooni tõendus, mis tõenäoliselt suurendab ründekatseid. Kuna tegemist on väga laialdaselt kasutusel oleva programmeerimiskeelega, siis võib eeldada, et turvauuenduste rakendamine võtab kaua aega ja suur hulk süsteeme on veel pikalt rünnakute suhtes haavatavad.

Turvaveale on olemas parandus alates 6. juunist ja kõigil kasutajatel soovitatakse PHP uuendada versioonidele 8.3.8, 8.2.20 ja 8.1.29. Kui ei ole võimalik tarkvara uuendada, siis on olemas ka leevendavad meetmed, mis on kirjeldatud lisatud lingil (SA, BC).

Synnovisi lunavararünnak häiris Londoni haiglate tööd

Mitmed Londoni suuremad haiglad kuulutasid välja kriitilise intsidendi pärast seda, kui küberrünnak tõi kaasa operatsioonide katkestamise ja erakorraliste patsientide mujale suunamise. Intsident mõjutas haiglaid, mille partneriks on Synnovis, kes pakub neile patoloogiateenuseid. Synnovist tabas lunavararünnak, mistõttu pidid haiglad end oma teenuspakkuja serverite küljest lahti ühendama.

NHSi (National Health Service) sõnul kiirabi ja erakorraline meditsiiniabi pakkumine jätkub, kuid nende töö on samuti häiritud, sest kiire vereanalüüsi teenus ei ole saadaval.

Ühendkuningriigi küberameti National Cyber Security Centre’i (NCSC) sõnul on ründe taga Vene päritolu küberrühmitus (BBC, BC, BC).

Olulisemad turvanõrkused 2024. aasta 19. nädalal

Androidi Xiaomi seadmetes avastati mitu turvaauku

Androidi kasutavate Xiaomi seadmete erinevates rakendustes ja süsteemikomponentides leiti 20 turvaviga. Turvaaukude ärakasutamine võib kaasa tuua erinevad pahaloomulised tegevused ja ligipääsu seadmes olevatele failidele ning kontoandmetele.

Turvavead mõjuvad järgmisi rakendusi ja komponente:

  • Gallery (com.miui.gallery)
  • GetApps (com.xiaomi.mipicks)
  • Mi Video (com.miui.videoplayer)
  • MIUI Bluetooth (com.xiaomi.bluetooth)
  • Phone Services (com.android.phone)
  • Print Spooler (com.android.printspooler)
  • Security (com.miui.securitycenter)
  • Security Core Component (com.miui.securitycore)
  • Settings (com.android.settings)
  • ShareMe (com.xiaomi.midrop)
  • System Tracing (com.android.traceur)
  • Xiaomi Cloud (com.miui.cloudservice)

Xiaomi seadmete kasutajatel soovitatakse uuendada tarkvara (HN, OS).

Citrix paikas kõrge mõjuga turvanõrkuse

Citrix parandas turvanõrkuse, mis mõjutab NetScaler ADC ja Gateway seadmeid. Uut turvaviga võrreldakse eelmisel aastal avalikuks tulnud haavatavusega, mida nimetati “CitrixBleed”, kuna ka selle kaudu on võimalik autentimata ründajal saada ligipääs tundlikule infole. Küll aga ei ole uus turvaviga nii suure mõjuga. Kõigil kasutajatel soovitatakse NetScaler uuendada versioonile 13.1-51.15 või veel värskemale (DR, BF).

Häkkerid on võtnud sihikule WordPressi pistikprogrammi

Turvanõrkus (CVE-2023-40000) mõjutab pistikprogrammi Litespeed Cache ja selle kaudu on võimalik saada administraatoriõigused ning kontroll veebilehe üle. Viga on paigatud juba eelmisel aastal, kuid endiselt kasutab ligi kaks miljonit veebilehte turvanõrkusega versiooni.

Viimasel ajal on näha olnud mitmeid katseid nimetatud turvavea kuritarvitamiseks – häkkerid skaneerivad võrku ja otsivad veebilehti, mis kasutavad pistikprogrammi turvapaikamata versiooni. Ohus on kõik veebilehed, mis kasutavad Litespeed Cache’i versiooni 5.7.0.1 või vanemat.

Soovitame kõigil WordPressi veebilehtede administraatoritel pistikprogramme regulaarselt uuendada. Samuti tasuks jälgida, et lehele ei oleks loodud uusi administraatorikontosid ja mittevajalikud komponendid oleks eemaldatud (BC).

Enam kui 50 000 Tinyproxy serverit on ohus kriitilise turvavea tõttu

Ligikaudu 52 000 internetile avatud Tinyproxy serverit on haavatavad turvavea tõttu, mis võimaldab pahaloomulist koodi kaugkäivitada. Haavatavus tähisega CVE-2023-49606 on hinnatud kriitilise CVSS skooriga 9.8/10 ning see mõjutab Tinyproxy versioone 1.11.1 ja 1.10.0. Viga on paigatud versioonis 1.11.2. Kasutajatel soovitatakse tarkvara uuendada ja jälgida, et Tinyproxy teenus ei oleks internetis avalikult kättesaadav (BC, HN).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 26 turvaviga, nende hulgas oli kriitiline haavatavus tähisega CVE-2024-23706, mis võib kaasa tuua õigustega manipuleerimise. Lisaks paigati ka haavatavusi Pixeli seadmetes. Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel. Hetkel teadaolevalt ei ole õnnestunud haavatavusi kuritarvitada (SW, Android).

VPNi rakendused on haavatavad turvanõrkusele TunnelVision

Teadurid avastasid uue ründemeetodi, mis sai nimeks TunnelVision ja mille tõttu on pea kõik VPNi teenuste pakkujad ohus. TunnelVisioni abil suunatakse kogu võrguliiklus ümber ründaja kaudu, kes saab võrgus toimuvat liiklust nii jälgida, muuta kui ka katkestada. Teadurite sõnul mõjutab see kõiki VPNi rakendusi, juhul kui kasutaja ei tööta Linuxi või Androidiga. Ründetehnikat on olnud võimalik kasutada juba alates 2002. aastast. Leviathan Security veebilehele on lisatud nii ründemeetodit tutvustav video kui ka leevendavad meetmed (AT, LS).

Wichita linna tabas lunavararünnak

USAs asuvat Wichita linna tabas lunavararünnak, mistõttu oli linn sunnitud osa oma võrkudest lahti ühendama. 5. mail rünnati linna IT-süsteeme ja krüpteeriti need lunavaraga. Linna teatel läksid elutähtsad teenused, nagu politsei ja tuletõrje, üle „paberi ja pastakaga“ töötamisele. Rünnak mõjutas ka maksetega seotud teenuseid – internetis ei olnud võimalik maksta veearvete, kohtutrahvide ega ühistranspordi piletite eest. Hiljem selgus, et mõjutatud olid ka mitmed teised teenused, näiteks avalikud WiFi võrgud.

Rünnaku eest võttis vastutuse LockBiti-nimeline rühmitus, kes nõuab linnalt lunaraha maksmist 15. maiks. Vastasel juhul ähvardatakse varastatud andmed avalikustada (BC, BC).

Google paikas Chrome’i nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-4671 rünnetes juba ära kasutatud. Tegemist on viienda Chrome’i nullpäeva turvanõrkusega sel aastal. Soovitame uuendada Chrome’i uuele versioonile 124.0.6367.201 esimesel võimalusel (BC, Chrome).