Tag Archives: Android

Olulisemad turvanõrkused 2023. aasta 40. nädalal

  • Confluence’i mõjutab väga oluline turvanõrkus

Atlassiani arendatud Confluence’i tarkvaras avastati kriitiline turvaviga, mille kohta andis ettevõtte välja ka hoiatuse. Turvanõrkus tähisega CVE-2023-22515 võimaldab ründajal saada haavatavas süsteemis administraatoriõigused. Ettevõte kinnitas, et piiratud arv klientide süsteeme on langenud ka seda turvanõrkust kuritarvitatavate rünnakute ohvriks (Atlassian).

Atlassiani sõnul mõjutab viga Confluence Server ja Confluence Data Center versioone alates 8.0.0. Turvanõrkus on paigatud versioonides 8.3.3 või uuemates, 8.4.3 või uuemates või 8.5.2 või uuemates. Turvaveast ei ole mõjutatud Atlassiani pilveteenust kasutavad Confluence’i süsteemid, ehk kui Confluence’i lehele pääseb ligi atlassian.net domeeni kaudu, siis ei ole see ka mõjutatud (Atlassian).

Atlassian rõhutab, et lisaks uuendamisele on oluline veenduda, et haavatavat süsteemi ei jõutud kompromiteerida. Selleks tõi ettevõte enda hoiatusteavituses välja ka mõned näpunäited, kuidas seda kindlaks teha (Atlassian).

  • Apple’i seadmed said tarkvarauuendused, parandati muuhulgas nullpäeva turvanõrkus

Apple avalikustas enda toodetud seadmetele turvavärskendused, et kõrvaldada uus nullpäeva haavatavus tähisega CVE-2023-42824, mida on ära kasutatud iPhone’i ja iPadi seadmete vastu suunatud rünnakutes (Apple).

Turvanõrkus on seotud kerneliga ja lubab juba haavatavas süsteemis oleval ründajal enda õiguseid seal tõsta. Apple’i sõnul võidi seda nõrkust ära kasutada iPhone’idel, mis kasutasid vanemat iOSi versiooni kui 16.6. Haavatavus mõjutab iPhone XS-i ja uuemaid versioone ning erinevaid iPadi mudeleid. See on parandatud iOS ja iPadOS versioonis 17.0.3 (Apple).

Turvavärskendustega parandati ka nõrkus, mida tähistatakse kui CVE-2023-5217 ning mille abil on võimalik käivitada suvalist koodi. Kui kasutate iPhone’i või iPadi, soovitame tarkvarauuendused rakendada esimesel võimalusel (Apple).

  • Androidile avalikustatud turvauuendused paikavad mitu nullpäeva turvanõrkust

Google avalikustas Androidi operatsioonisüsteemile 2023. aasta oktoobri turvavärskendused, mis parandavad 54 turvanõrkust. Nende hulgas on kaks turvaviga, mida on teadaolevalt aktiivselt ära kasutatud. Nendeks on haavatavused tähistega CVE-2023-4863 ja CVE-2023-4211 (BC, Android).

CVE-2023-4863 on puhvri ületäitumise haavatavus laialt kasutuses olevas teegis libwebp, mis mõjutab paljusid tarkvaratooteid, sealhulgas Chrome’i, Firefoxi, iOSi, Microsoft Teamsi jpt. RIA kajastas seda nõrkust ka eelmise nädala ülevaates (39. nädal). CVE-2023-4211 mõjutab aga Arm Mali GPU draiverite mitut versiooni, mida kasutatakse paljudes Androidi operatsioonisüsteemiga seadmete mudelites. Haavatavus võib võimaldada ründajatel tundlikele andmetele ligi pääseda (BC, Android).

Kui kasutate Androidi operatsioonisüsteemiga seadmeid, rakendage uuendused esimesel võimalusel (BC, Android).

  • TorchServe’i raamistikus avastati kriitilised haavatavused

TorchServe’i raamistikus avastati kriitilised haavatavused, mis kujutavad tehisintellekti mudelitele olulist ohtu. Haavatavused avastanud ekspertide hinnangul näitavad need turvanõrkused, et AI-rakendused on avatud lähtekoodiga vigadele vastuvõtlikud sarnaselt paljudele muudele tarkvaradele (Oligio).

TorchServe’i, mida haldavad Amazon ja Meta, kasutatakse tootmiskeskkondades PyTorchil põhinevate süvaõppemudelite rakendamiseks ja seda rakendatakse laialdaselt, sealhulgas sellistes suurtes ettevõtetes nagu Amazon, Google ja Walmart (Oligio).

Haavatavuste ärakasutamine võib anda ründajatele juurdepääsu tehisintellekti kasutavate mudelite andmetele, võimaluse sisestada pahatahtlikke mudeleid tootmiskeskondadesse, muuta AI tulemusi või võtta serverite üle täielik kontroll (Oligio).

Kõik TorchServe’i versioonid kuni versioonini 0.8.1 on haavatavad. Haavatavused, mida ühiselt nimetatakse ShellTorchiks, hõlmavad muuhulgas kriitilist SSRF-i haavatavust, mis viib koodi kaugkäitamiseni (RCE) ja Javaga seotud RCE-d. Ekspertide sõnul rõhutavad need haavatavused vajadust AI infrastruktuuri tugevdatud turvameetmete järele, et kaitsta tehisintellekti mudeleid võimaliku väärkasutuse eest (Oligio).

  • Looney Tunables nimelise haavatavuse jaoks avalikustati kontseptsiooni tõendus

Kübereksperdid juhtisid eelmisel nädalal tähelepanu turvanõrkusele, mida tuntakse Looney Tunables nime all ja mis mõjutab üht olulist Linuxi kernel komponenti (glibc) (Qualys).

Haavatavus võib võimaldada ründajal oma õigusi suurendada, et saada süsteemi üle täielik kontroll juurõiguste abil. Turvanõrkuse olemasolu on tuvastatud erinevate Linuxi distributsioonide seas, sealhulgas Fedora 37 ja 38, Ubuntu 22.04 ja 23.04 ning Debian 12 ja 13 vaikeinstallatsioonides (Qualys).

Parim viis selle haavatavuse leevendamiseks on paikamine. Kui CVE-2023-4911 teid mõjutab, peaksite oma süsteemi parandama vastavalt mõjutatud distributsioonile. Täpsemat informatsiooni turvanõrkuse tuvastamise ja paikamise kohta leiate ka näiteks siit.

Olulised turvanõrkused 2023. aasta 36. nädalal

  • Androidi ja Apple’i seadmetele tulid olulised turvauuendused

Eelmisel nädalal avalikustas Google turvauuendused Andoridi operatsioonisüsteemile, samuti tulid turvauuendused Apple’i seadmete operatsioonisüsteemidele. Mõlemad ettevõtted paikasid sealjuures nullpäeva turvanõrkused. Nullpäeva turvanõrkuseks nimetatakse haavatavust, mille jaoks ei ole olemas turvapaika või mida on ära kasutatud juba siis, kui tarkvara valmistaja või tarnija ei ole veel nõrkusest teadlik.

Andoidi puhul paigati kokku 32 turvaviga, mille hulgas oli niisiis ka nullpäeva turvanõrkus (CVE-2023-35674). Google sõnul on antud turvanõrkust ka aktiivselt ära kasutatud. Turvavea kaudu on ründajal võimalik haavatavas süsteemis enda õiguseid suurendada. Lisaks parandati kolm kriitilist turvanõrkust, mille abil on ründajal võimalik pahaloomulist koodi käivitada. Kui teie Androidi nutitelefon pakub teile turvauuendusi, tehke seda esimesel võimalusel. Rohkem informatsiooni leiate viidatud linkidelt (Android, SA).

Apple avalikustas samuti turvauuendused, mis olid tingitud kahest nullpäeva turvanõrkusest (CVE-2023-41064, CVE-2023-41061). Mõlemad nõrkused annavad ründajale võimaluse käivitada pahaloomulist koodi ohvri seadmes. Esimese nõrkuse (CVE-2023-41064) võib käivitada pahatahtlikult loodud pildi töötlemisprotsess, teine nõrkus võib avalduda aga siis, kui haavatav seade töötleb spetsiaalselt selleks loodud pahaloomulist manust.

Väidetavalt on neid kahte turvanõrkust ära kasutatud, et paigaldada ohvrite seadmetesse Pegasuse nuhkvara. Konkreetne nuhkvara on kurikuulus, kuna seda on ajalooliselt kasutatud poliitikute, valitsusjuhtide, ajakirjanike jpt järel nuhkimiseks (SA, CL). 

Apple on need kaks viga kõrvaldanud macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 ja watchOS 9.6.2. Kui teil on võimalik enda Apple’i seadmele üks tarkvaraversioon eelnevatest rakendada, tehke seda esimesel võimalusel (SA). 

  • Vanad turvanõrkused on ründajate seas endiselt populaarsed

Eelmisel nädalal avalikustas üks küberturbeettevõte nimekirja 20st kõige enam ründajate poolt kuritarvitatavast turvanõrkusest. Nimekirjast selgub, et kõige hiljutisem haavatavus pärineb 2021. aastast, enamik on aga juba ligi viis aastat vanad (Qualys). Ründajate soovi vanu turvavigu ära kasutada ilmestab ka hiljutine pahavarakampaania, mille käigus üritati võimalike ohvrite seadmed nakatada Agent Tesla pahavaraga. Konkreetne kampaania kasutas kaht Microsoft Office turvanõrkust, mis pärinesid aastatest 2018 ja 2017 (Fortinet).

Eelneva põhjal on võimalik järeldada, et kuigi turvanõrkuseid tekib iga aasta üha juurde, eelistavad ründajad sageli endiselt teatud mitu aastat vanu nõrkuseid. Paraku on ka endiselt süsteeme, mis on selliste vanade nõrkuste suhtes ka haavatavad. Seetõttu on oluline omada enda seadmetest asjakohast ülevaadet, eelkõige infot, millist tarkvara nad kasutavad ja kas see on ka ajakohane.

  • ASUSe ruuterid on haavatavad kriitilise turvanõrkuste vastu

Kolm kriitilist koodi kaugkäitamise haavatavust mõjutavad ASUSe RT-AX55, RT-AX56U_V2 ja RT-AC86U ruutereid, mis võimaldavad ründajatel seadmed kompromiteerida. Kõik turvavead, mille kriitilisuse skoor on 9.8/10.0, on haavatavused, mida saab ära kasutada eemalt ja ilma autentimiseta (BP).

Haavatavustest on mõjutatud ASUS RT-AX55 püsivara versioon 3.0.0.4.386_50460, RT-AX56U_V2 püsivara versioon 3.0.0.4.386_50460 ja RT-AC86U püsivara versioon 3.0.0.4_386_51529 (BP).

Haavatavuste eemaldamiseks tuleks rakendada mudelil RT-AX55 püsivara versioon 3.0.0.4.386_51948 või uuem, mudelil RT-AX56U_V2 püsivara versioon 3.0.0.4.386_51948 või uuem ja mudelil RT-AC86U püsivara version 3.0.0.4.386_51915 või uuem (BP).

Samuti soovitatakse lisaks uuendamisele piirata ligipääsu ruuterite haldusliidesele(BP).

Olulised turvanõrkused 2023. aasta 23. nädalal

KeePassi uues versioonis on turvaviga paigatud

Mõned nädalad tagasi kirjutasime KeePassi turvaveast (CVE-2023-32784), mille abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna ehk master password. Kui kasutaja loob endale KeePassi konto, siis tuleb määrata parool, millega saab kõigile teistele salasõnadele ligi. Turvaveale avaldati ka kontseptsiooni tõendus (PoC). Eelmisel nädalal teavitas KeePass, et viga on parandatud versioonis 2.54 (BC, KeePass).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad mõnd KeePassi 2.x versiooni, on soovitatav tarkvara uuendada esimesel võimalusel. Uue versiooni saate alla laadida KeePassi kodulehelt.

KeePass 1.x, Strongbox või KeepassXC tarkvarade kasutajad ei ole veast mõjutatud.

Google paikas nullpäeva turvanõrkuse

Google Chrome’i uues versioonis 114.0.5735.110 (Windows) ja 114.0.5735.106 (Linux, Mac) on parandatud nullpäeva turvanõrkus tähisega CVE-2023-3079. Google’i sõnul on haavatavust rünnetes ära kasutatud, kuid täpsemat tehnilist infot turvavea kohta nad ei avaldanud.  Selline praktika on tavaline, et kaitsta neid kasutajaid, kes ei ole veel jõudnud tarkvara uuendada. Tegemist on kolmanda nullpäeva turvanõrkusega, mis sel aastal on Chrome’i brauseris leitud (BC, SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Androidi turvauuendus paikab Mali GPU draiveri turvavea

Google avaldas Androidi platvormi juunikuu turvauuendused, millega paigati kokku 56 haavatavust. Viis neist on hinnatud kriitiliseks ja üht on rünnetes ära kasutatud. Google’i sõnul on Mali GPU draiveri turvaviga tähisega CVE-2022-22706 kasutatud Samsungi telefonide vastu suunatud nuhkvarakampaanias. Turvaviga on hinnatud kõrge skooriga 7.8/10 ja see võimaldab ilma vajalike õigusteta kasutajal saada kirjutamisõigus lugemisõigusega lehtedele. Ühtlasi parandati viis kriitilise mõjuga turvaviga, millest kolm võimaldavad ründajal käivitada ohvri seadmes pahatahtlikku koodi. Turvauuendusi ei saa rakendada need, kes kasutavad Android 10 või vanemat versiooni (BC, SW, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks tegema tarkvarauuenduse esimesel võimalusel. Juhendi Androidi seadme uuendamiseks leiad siit.

Cisco paikas AnyConnecti turvavea, mis võimaldas ründajatel õigustega manipuleerida

Kõrge mõjuga turvaviga (CVE-2023-20178) mõjutab Cisco Secure Client tarkvara (varem nimetusega AnyConnect Secure Mobility Client) ja võimaldab ründajatel saada Windowsi süsteemikonto õigused. Haavatavuse põhjustab see, et uuendamise käigus loodud ajutisele kataloogile antakse valed õigused ja ründaja saab seetõttu installeerimise ajal teatud funktsioone kuritarvitada. Cisco Secure Client tarkvara kaudu saab luua kaugelt töötamiseks VPN-ühenduse. Viga on paigatud versioonides AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 (BC).

Kes ja mida peaks tegema?

Kõik AnyConnect Secure Mobility Client for Windows 4.10MR7 ja Cisco Secure Client for Windows 5.0MR2 kasutajad peaks tarkvara uuendama.

Cisco sõnul ei mõjuta turvaviga Linuxi, MacOSi, Androidi ja iOSi operatsioonisüsteemide kasutajaid.

Gigabyte avaldas turvauuenduse emaplaatide tarkvarale

Taiwani tehnoloogiatootja Gigabyte avaldas tarkvarauuenduse, mis paikab haavatavuse mille kaudu on võimalik paigaldada pahavara. Haavatavus mõjutab enam kui 270 erinevat Gigabyte emaplaadi versiooni. Viga on parandatud Intel 400/500/600/700 ja AMD 400/500/600 seeriate emaplaatide tarkvaras (BC, Gigabyte).

Kes ja mida peaks tegema?

Ettevõte soovitab teha kõigil Gigabyte emaplaatide kasutajatel tarkvarauuendus esimesel võimalusel.

Fortinet paikas kriitilise turvanõrkuse Fortigate’i SSL-VPN seadmetes

Fortinet paikas kriitilise turvavea (CVE-2023-27997), mis võimaldab ründajal pahatahtlikku koodi kaugkäivitada. Turvanõrkus mõjutab Fortigate’i SSL-VPN seadmeid ja väidetavalt on seda võimalik ka siis kuritarvitada kui kaheastmeline autentimine on rakendatud. Hetkel teadaolevalt avaldatakse täpsem info vea kohta teisipäeval 13. juunil. Fortineti seadmed on maailmas ühed populaarseimad tulemüüri ja VPNi teenuste loomiseks, seetõttu on nende haavatavused ka head sihtmärgid. Turvaviga on parandatud FortiOSi versioonides 6.0.17, 6.2.15, 6.4.13, 7.0.12 ja 7.2.5 (BC, HNS).

Kes ja mida peaks tegema?

Kõigil Fortigate’i SSL-VPNi seadmete kasutajatel tuleks FortiOSi tarkvara uuendada.

RIA analüüsi- ja ennetusosakond