Tag Archives: Android

Olulisemad turvanõrkused 2024. aasta 18. nädalal

Habemega mees istub arvuti taga, käed klaviatuuril, monitoril tekstiread, Taamal värviline valgus

Androidi pahavara levitatakse WordPressi veebilehtede kaudu

Uut Androidi pahavara, mida nimetatakse “Wpeeper” levitatakse häkitud WordPressi veebilehtede kaudu. Kasutajale jäetakse näiliselt mulje, et ta laeb tarkvara alla usaldusväärsest rakenduste poest, kuid tegelikult on tegemist pahavaraga. Wpeeperi peamine eesmärk on varastada kasutaja andmeid, kuid lisaks võimaldab see ka palju muid tegevusi – näiteks on võimalik selle abil teada saada info kõigi seadmesse installitud rakenduste kohta. Et vältida selliseid riske nagu Wpeeper, on soovitatav installida rakendusi ainult Androidi ametlikust rakenduste poest Google Play ja samuti veenduda, et Play Protect teenus on aktiveeritud (BC).

Programmeerimiskeele “R” haavatavus võib põhjustada tarneahela rünnakuid

Programmeerimiskeeles “R” olevat turvaviga tähisega CVE-2024-27322 saab ära kasutada suvalise koodi käivitamiseks ja seeläbi kasutada osana tarneahela rünnakust. Avatud lähtekoodiga programmeerimiskeel R toetab andmete visualiseerimist, masinõpet ja statistilist andmetöötlust ning seda kasutatakse laialdaselt statistilise analüüsi tegemiseks erinevates valdkondades.

Turvavea ära kasutamiseks tuleb häkkeril kirjutada fail üle ning tagada koodi automaatne käivitamine pärast faili laadimist. Eduka ründe jaoks peab ohver avama oma seadmes kas RDS (R Data Serialization) või RDX (R package) faili. Kuna taolisi faile jagatakse ja hoitakse tihti GitHubis, siis on see potentsiaalne meetod rünnete läbiviimiseks. Viga on paigatud R Core versioonis 4.4.0 (SW, BC).

Aruba Networking paikas neli kriitilist turvaviga ArubaOS tarkvaras

HPE Aruba Networking paikas kümme haavatavust ArubaOS operatsioonisüsteemis, millest neli olid koodi kaugkäivitamist võimaldavad kriitilised turvavead. Kriitilise mõjuga turvavead on hinnatud CVSS skooriga 9.8/10 ja neid tähistatakse CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 ja CVE-2024-33512. Ülejäänud kuus paigatud viga on keskmise mõjuga haavatavused.

Turvavigadest on mõjutatud mitmed erinevad Aruba Networking tooted ja tarkvarad ning ettevõte soovitab kõigil kasutajatel uuendada ArubaOS kõige värskemale versioonile. Turvavead on paigatud ArubaOS versioonides 10.6.0.0, 10.5.1.1, 10.4.1.1, 8.11.2.2, 8.10.0.11 ja uuemad (BC).

1400 GitLabi serverit on endiselt turvanõrkuse tõttu ohus

USA küberagentuuri CISA sõnul on jaanuaris avalikuks tulnud GitLabi turvavea tähisega CVE-2023-7028 tõttu endiselt ohus 1400 serverit. Samuti on nüüdseks leidnud kinnitust, et haavatavust on õnnestunud kuritarvitada. Nimetatud haavatavus on hinnatud maksimaalse CVSS skooriga 10/10 ning see võimaldab ründajal kasutaja konto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile.

Viga paigati juba jaanuaris ning kõigil kasutajatel tuleks üle kontrollida, kas neil on kasutusel tarkvara viimane versioon (SW).

Kanada apteegikett “London Drugs” sulges küberrünnaku tagajärjel kõik apteegid Lääne-Kanadas

Kanada apteegikett sattus küberründe ohvriks ja pidi seetõttu apteegid sulgema. Intsidendi avastamise järel võeti kohe kasutusele vastumeetmed oma võrgu ja andmete kaitsmiseks ning samuti kaasati lahendamisse välised küberjulgeolekueksperdid. London Drugsi sõnul ei ole hetkel põhjust arvata, et nende töötajate või klientide andmed oleksid küberintsidendist mõjutatud. Täpsemat infot intsidendi põhjuste kohta ei ole veel avaldatud.

Küberintsident tuli avalikuks 28. aprillil, misjärel apteegid jäid suletuks kuueks päevaks. Nüüd on hakatud neid järk-järgult uuesti avama, kuid mitmed apteegid on endiselt klientidele suletud. Viimasel ajal on sagenenud tervishoiusektori vastu suunatud ründed. Näiteks tabas aprillis Cannes’is asuvat suurhaiglat küberrünnak ja veebruaris oli häiritud Change Healthcare tarkvara kasutavate apteekide töö üle USA (BC, DR, TR).

Change Healthcare’i häkiti, kasutades varastatud Citrixi kontot, millel puudus mitmikautentimine

Veebruaris tuli avalikuks küberrünnak, mis häiris apteekide tööd üle kogu USA. Apteekidele tarkvara pakkuv Change Healthcare oli sunnitud küberrünnaku järel sulgema osa oma süsteemidest. See tähendas, et mitmed apteegid üle kogu USA ei saanud kontrollida, kas patsientidel on ravikindlustus, kas neil on õigus retseptiravimitele, soodustustele jmt. Intsident põhjustas hinnanguliselt 872 miljoni suuruse kahju.

Nüüd selgus, et ründe taga oli BlackCati-nimeline lunavararühmitus, kes said ligipääsu varastatud kasutajaõiguste kaudu, millega siseneti ettevõtte Citrixi kaugtöölauateenusesse. Change Healthcare ei olnud seadistanud mitmefaktorilist autentimist. Ei ole teada, kas kasutajaõiguste info varastati andmepüügirünnaku või teavet varastava pahavara kaudu (BC).

Olulisemad turvanõrkused 2024. aasta 17. nädalal

Joonis: ahastuses arst töölaua taga, tema monitori ekraanil on lunavarateade.

Atlassian paikas mitmeid turvavigu oma toodetes

Atlassian parandas seitse kõrge mõjuga haavatavust, mis mõjutavad ettevõtte erinevaid tooteid nagu Bamboo Data Center, Confluence Data Center ja Jira. Eduka ründe korral on võimalik saada ligipääs ohvri süsteemidele ja Atlassiani tarkvarades olevale infole. Soovitame kõigil Atlassiani toodete kasutajatel uuendada tarkvara viimasele versioonile, kuna need on olnud varasemalt ründajate sihtmärkideks. Nimekirja parandatud haavatavustest ja turvapaigatud versioonidest leiab Atlassiani kodulehelt (Atlassian).

Cisco hoiatab: kaks nullpäeva turvanõrkust, mida on rünnete läbiviimisel ära kasutatud

Cisco hoiatas eelmisel nädalal, et riikliku taustaga küberrühmitused on ära kasutanud nende tarkvaras olevaid nullpäeva turvanõrkusi. Turvanõrkused tähistega CVE-2024-20353 ja CVE-2024-20359 mõjutavad Cisco tulemüüride tarkvarasid Adaptive Security Appliance (ASA) ja Firepower Threat Defense (FTD) ning nende kaudu on saadud ligipääs valitsusasutuste võrkudele. Ründeid on alustatud juba eelmise aasta juulis ning Cisco sai neist teada selle aasta jaanuaris.

Ettevõte avaldas turvauuendused ja kutsub kõiki kasutajaid esimesel võimalusel tarkvara uuendama. Ühtlasi soovitab Cisco kõigil administraatoritel vaadata üle süsteemi logid, kas seal on näha planeerimata taaskäivitusi, konfiguratsiooni muudatusi või õiguste lisamist. (BC).

Google paikas kriitilise turvanõrkuse Chrome’i veebilehitsejas

Google avaldas Chrome’i versiooni 124.0.6367.78 Windowsi, Maci ja Linuxi seadmetele, milles on paigatud neli turvaviga. Parandatud turvanõrkuste seas on ka kriitilise mõjuga haavatavus tähisega CVE-2024-4058 ja kaks kõrge mõjuga turvaviga. Kuna vähesed Chrome’i turvavead liigitatakse kriitiliseks, siis võib eeldada, et tegemist on kas koodi kaugkäivitamist võimaldava või liivakastist (sandbox) möödamineku veaga.

Ettevõte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada. Soovitame uuendada Chrome’i esimesel võimalusel (SW, Chrome).

MITRE avalikustas, et nende süsteemidesse saadi ligipääs Ivanti turvanõrkusi kasutades

MITRE Corporation andis teada, et nad sattusid riikliku taustaga küberrühmituse ohvriks. Rünne viidi läbi, kasutades Ivanti Connect Secure’i tarkvas olevaid nullpäeva turvanõrkusi. Veebruaris õnnetus ka ühe Eesti riigiasutuse võrku sisse tungida, kasutades Ivanti tarkvaras olnud haavatavusi. MITRE puhul saadi ligipääs nende uuringute ja prototüüpide jaoks loodud võrgule nimega „Nerve“. Ettevõtte turvalisusega tegelev üksus alustas viivitamatult intsidendi uurimist, eemaldas kurjategijate ligipääsud võrgust ja kaasas ka asutusevälised eksperdid.

MITRE vastu suunatud ründe käigus kasutati ära turvavigasid tähistega CVE-2023-46805 (CVSS skoor 8,2) ja CVE-2024-21887 (CVSS skoor: 9,1), mis võimaldasid ründajal autentimisest mööda minna ja seejärel nakatunud süsteemis suvalisi käske käivitada.

MITRE tegevjuhi sõnul ei ole ükski organisatsioon taolise küberründe eest lõplikult kaitstud, olenemata sellest, kui ranged turvanõuded on kasutusele võetud. Ettevõte jagas ka soovitusi, kuidas oma võrku kaitsta:

  • Monitoorige VPNi võrgus toimuvat liiklust ning jälgige, et seal midagi ebatavalist ei juhtuks.
  • Jälgige kasutajate tegevusi ja seal toimuvaid kõrvalekaldeid.
  • Segmenteerige võrguliiklus.
  • Jälgige, et ligipääs võrgule oleks piiratud ja toimuks regulaarne turvauuenduste paigaldamine (HN, SA, HNS).

Itaalia Synlab peatas pärast lunavararünnakut oma tegevuse

Synlabi Itaalia haru tabas lunavararünnak, mistõttu nad pidid kõik IT-süsteemid võrgust lahti ühendama. Seetõttu tuli ka ajutiselt peatada kõigi meditsiiniteenuste pakkumine, nende hulgas ka kõik laborianalüüsid ja proovivõtud.

Synlab on rahvusvaheline ettevõte, mis pakub tervishoiuteenuseid 30 riigis üle maailma, sealhulgas ka Eestis. Itaalias on Synlabi võrgustikus 380 laborit ja meditsiinikeskust. Hetkel soovitatakse klientidel suhelda vaid telefoni teel, kuna meililiiklus ei toimi tavapäraselt. Ettevõte proovib süsteeme taastada varukoopiast, kuid ei ole teada, kui kiiresti see õnnestub. Hetkel ei ole veel ükski lunavararühmitust võtnud ründe eest vastutust (BC).

Uus Androidi troojan võimaldab ründajatel saada kontroll kasutaja seadme üle

Teadurid avastasid uue Androidi panganduse troojani, mis suudab jäädvustada kõik seadmes toimuvad sündmused alates kasutaja tegevustest, kuvatavast teabest ja kasutaja käivitatavatest rakendustest.

Troojan nimetusega Brokewell võimaldab varastada nii tundlikke andmeid kui ka saada kontrolli kasutaja seadme üle. Brokewelli levitatakse võltsitud tarkvarauuenduste kaudu – näiteks võib kasutajale tunduda, et ta hakkab Chrome’i veebilehitsejat värskendama. Soovitame tarkvara alla laadida ainult ametlikest rakenduste poodidest – kas Google Play või App Store. Google on kinnitanud, et Google Play Protect kaitseb kasutajaid automaatselt selle pahavara teadaolevate versioonide eest (SW, BC).

Olulisemad turvanõrkused 2024. aasta 10. nädalal

Apple paikas kaks uut nullpäeva turvanõrkust

Apple avaldas turvauuenduse, millega paigatakse kaks iOS tarkvara nullpäeva turvanõrkust, mida on juba rünnete läbiviimisel kuritarvitatud. Turvanõrkused (CVE-2024-23225 ja CVE-2024-23296) võimaldavad ründajal turvaseadistusest mööda minna.

Turvavead mõjutavad järgmisi Apple’i seadmeid:

  • iPhone XS ja uuemad, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch ja iPad Pro 12.9-inch 1st generation
  • iPad Pro 12.9-inch 2nd generation ja uuemad, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation ja uuemad, iPad Air 3rd generation ja uuemad, iPad 6th generation ja uuemad ning iPad mini 5th generation ja uuemad.

Vead on parandatud tarkvarades iOS 17.4, iPadOS 17.4, iOS 16.76 ja iPad 16.7.6 ning kõigil kasutajatel soovitatakse tarkvara uuendada niipea kui võimalik. Sel aastal on Apple paiganud kolm nullpäeva turvanõrkust. Apple’i turvanõrkusi on varasemalt kasutatud sihitud rünnete läbiviimiseks ja seetõttu on seadmete tarkvara oluline uuendada (BC, Apple).

Androidi tarkvarauuendus parandab kriitilise koodi kaugkäituse vea

Androidi nutiseadmetes paigati 38 turvaviga, nende hulgas oli kaks kriitilist haavatavust tähistega CVE-2024-0039 ja CVE-2024-23717, mis võivad kaasa tuua pahaloomulise koodi kaugkäivitamise ja õigustega manipuleerimise. Kriitilised turvavead mõjutavad Androidi versioone 12, 12L, 13 ja 14.

Lisaks paigati veel 50 haavatavust Pixeli nutiseadmetes – nende hulgas oli ka 16 kriitilist viga. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada, kuid soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Hikvision paikas kõrge mõjuga turvanõrkuse oma tarkvaras

Hiina videovalveseadmete tootja Hikvision teatas, et on paiganud kaks turvaviga tarkvaras HikCentral Professional. Nimetatud tarkvara kasutatakse erinevate turvasüsteemide haldamiseks. Nendest on suurema mõjuga turvaviga tähisega CVE-2024-25063, mille kaudu võib ründaja saada volitamata juurdepääsu teatud veebiaadressidele. Viga mõjutab HikCentral Professionali versiooni 2.5.1 ja vanemaid.

Hikvision soovitab kõigil oma klientidel tarkvara värskendada, kuna varasemalt on nende toodete turvaauke pahatahtlike rünnakute käigus ära kasutatud (SW).

Kriitilised TeamCity turvanõrkused ohustavad tarkvara tarneahelat

TeamCity näol on tegemist ettevõtte tarkvaraarenduse platvormiga, mida kasutab enam kui 30 000 organisatsiooni üle maailma. TeamCity kliendid on näiteks Citibank, Nike ja Ferrari. Haavatavused tähistega CVE-2024-27198 ja CVE-2024-27199 võimaldavad ründajal

autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Vead on paigatud TeamCity versioonis 2023.11.4 ja tootja kutsub üles kõiki kasutajaid tarkvara uuendama. Kui seda ei ole võimalik teha, siis tuleks ajutiselt peatada serveri ligipääs internetile.

Kurjategijad on asunud kiirelt nimetatud haavatavusi kuritarvitama. Internetile avatud serveritesse on loodud sadu uusi kasutajaid ja LeakIX andmete põhjal on kompromiteeritud juba 1400 seadet. CISA on lisanud turvavea CVE-2024-27198 ärakasutatud turvanõrkuste kataloogi.

2023. aasta lõpus teavitasid mitmed riigid, et kremlimeelne rühmitus APT29 kasutab sarnast TeamCity haavatavust rünnete läbiviimisel ja see võib kaasa tuua tarneahelaründeid.  (DR, HNS, TeamCity, BC).

Kriitiline Fortineti turvaviga võib mõjutada 150 000 internetile avatud seadet

Turvanõrkus tähisega CVE-2024-21762 mõjutab Fortineti FortiOSi ja FortiProxy tarkvarasid. Tegemist on haavatavusega, mis võimaldab autentimata ründajal koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.6/10. Turvaviga on parandatud veebruaris, kuid sel nädalal teatasid Shadowserveri teadurid, et endiselt on paikamata ligi 150 000 seadet (BC, SA).

Cisco paikas VPNi seadmeid mõjutavad turvavead

Ettevõte parandas kaks kõrge mõjuga haavatavust Cisco Secure Clienti tarkvaras. Turvaviga tähisega CVE-2024-20337 võimaldab autentimata ründajal varastada kasutaja identsustõendi (token) ja luua seejärel kasutaja õigustega VPNi ühenduse. Viga on paigatud Secure Clienti versioonides 4.10.08025 ja 5.1.2.42. Hetkel teadaolevalt ei ole veel haavatavusi õnnestunud ära kasutada (SW, HNS).

Häkkerid ründavad WordPressi veebilehti pistikprogrammi vea kaudu

Rünnetes kasutatakse ära juba eelmisel aastal paigatud turvaviga Popup Builderi pistikprogrammis. Turvaviga kannab tähist CVE-2023-6000 ning see mõjutab pistikprogrammi versiooni 4.2.3 ja vanemaid. Hetkel on juba enam kui 3300 WordPressi veebilehele lisatud pahaloomulist koodi.

Popup Builderi kasutajatel tuleks uuendada pistikprogramm versioonile 4.2.7. WordPressi statistika alusel on enam kui 80 000 kasutajat, kes ei ole nimetatud pluginat uuendanud ja on seetõttu potentsiaalsed ründe sihtmärgid.

Kõigil WordPressi veebilehtede haldajatel tuleks regulaarselt pluginaid uuendada, kuna nende kaudu viiakse tihti ründeid läbi (BC).