Tag Archives: Apache

Olulisemad turvanõrkused 2024. aasta 27. nädalal

Miljonid OpenSSH serverid on koodi kaugkäivitamise veale haavatavad

Qualysi küberturbeteadurite sõnul on potentsiaalselt 14 miljonit OpenSSH serverit ohus koodi kaugkäivitamist võimaldava vea tõttu, mida nimetatakse regreSSHion. Shodani ja Censys andmete põhjal on internetile avatud enam kui 14 miljonit seadet. Turvaviga tähisega CVE-2024-6387 võimaldab autentimata ründajal saada juurõigused ja käivitada pahaloomulisi käske ning seejärel võtta kontrolli kogu süsteemi üle. Lisaks on võimalik eduka ründe korral ohvri süsteemi paigaldada pahavara ja tagauksi. Turvaviga on võrreldud ka 2021. aastal avalikuks tulnud Log4Shell haavatavusega – teadurite sõnul on regreSSHion sama tõsise ja kriitilise mõjuga.

Viga mõjutab OpenSSH versioone 8.5p1 kuni 9.7p1 ning on parandatud versioonis 9.8p1. Täpsemalt mõjutab haavatavus glibc-põhiseid Linuxi süsteeme ning hetkel ei ole teada, et seda oleks võimalik kuritarvitada Windowsi või macOSi süsteemides.

Qualys on küll avaldanud tehnilist teavet turvavea kohta, kuid kontseptsiooni tõendust ei ole avalikuks tehtud, et vältida rünnete kasvu (SA, SW, ZDNET).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 25 turvaviga, nende hulgas oli kriitiline haavatavus Frameworki komponendis. Turvaviga tähisega CVE-2024-31320 võib kaasa tuua õigustega manipuleerimise ja mõjutab Androidi versioone 12 ning 12L. Suurem osa vigadest on hinnatud suure mõjuga haavatavusteks.

Sel korral ei avaldatud koos turvauuendusega Pixeli seadmete paikasid – ka eelmisel kuul said need avalikuks umbes kaks nädalat peale Androidi seadmete uuendamist.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Cisco paikas nullpäeva turvanõrkuse

Cisco parandas NX-OS tarkvaras nullpäeva turvanõrkuse tähisega CVE-2024-20399, mis võimaldab ründajal käivitada operatsioonisüsteemis suvalisi käsklusi.

Viga mõjutab järgmisi Cisco seadmeid:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode.

Kuna turvanõrkuse ärakasutamiseks peavad ründajal olema administraatoriõigused, siis on seda hinnatud keskmise mõjuga haavatavuseks CVSS skooriga 6.0/10.

Hiinast pärit häkkerite rühmitus Velvet Ant on juba asunud haavatavust kuritarvitama ning kõik Cisco seadmete kasutajad peaks tarkvara uuendama (DR).

Polyfill[.]io rünnak mõjutab ligi 400 000 hosti

Juuni lõpus avalikuks tulnud Polyfill[.]io tarneahela rünnak on palju laiema ulatusega kui esialgu arvati. Nüüdseks on selgunud, et enam kui 380 000 hosti suunavad kasutajaid pahaloomulisele domeenile. Nende hulgas on ka suurte ettevõtete nagu Mercedes-Benz ja WarnerBros domeenid.

Juuni lõpus tuli avalikuks info, et Hiina ettevõte Funnull on ostnud Polyfill.io teenuse ja muutnud seal kasutusel olevat JavaScripti teeki nii, et veebilehtede kasutajad suunatakse ümber pahatahtlikele või kelmusega tegelevatele saitidele. Kuna Polyfill.js on populaarne avatud lähtekoodiga teek vanemate brauserite toetamiseks, siis mõjutab see suurt hulka kasutajaid.

Turvaeksperdid soovitavad veebisaitide omanikel ettevaatusabinõuna oma koodibaasist eemaldada kõik viited hostile polyfill.io ja sellega seotud domeenidele (HN, Censys).

Apache parandas kriitilise turvavea Apache HTTP Serveris

Viga tähisega CVE-2024-39884 mõjutab Apache HTTP Serveri tarkvara ning selle kaudu on võimalik saada ligipääs lähtekoodile. Lisaks paigati veel mitmeid teisi haavatavusi, mis võimaldavad ründajatel teenuseid tõkestada, koodi kaugkäivitada ja saada volitamata juurdepääsu süsteemidele.

Apache Foundation soovitab kasutajatel uuendada tarkvara versioonile 2.4.61, kus turvavead on paigatud (SA).

Olulisemad turvanõrkused 2023. aasta 52. nädalal

Ründajad üritavad aktiivselt ära kasutada Apache OFBiz kriitilist turvanõrkust

Shadowserver Foundation on täheldanud katseid kasutada ära avatud lähtekoodiga Apache OFBiz tarkvaras leiduvat kriitilist haavatavust. See haavatavus, mida tähistatakse kui CVE-2023-49070, võimaldab ründajatel autentimisest mööda minna ja võltsida serveripoolset päringut (SSRF), mis võib viia suvalise koodi käivitamiseni ja andmete varguseni. Turvanõrkuse parandamiseks tuleb Apache OFBiz uuendada vähemalt versioonini 18.12.11 (SW).

Nuhkvarad kasutavad ära võimalikku turvanõrkust Google’i OAuthi lahenduses

Mitu pahavara kuritarvitavad väidetavalt Google OAuthi lõpp-punkti nimega MultiLogin, et taastada aegunud autentimisküpsised, mille abil võimaldatakse pahavarade kasutajatele volitamata juurdepääsu Google’i kontodele. Konkreetne turvanõrkus võimaldab pahalastel säilitada juurdepääsu kompromiteeritud kontodele ka pärast seda, kui mõjutatud kasutajad enda konto parooli lähtestavad. Meediaväljaannete info kohaselt ei ole Google konkreetset haavatavust ega selle ärakasutamist kinnitanud. Küll aga on mitmed pahavarade loojad väidetavalt sellest teadlikud ja vastavad lahendused selle ärakasutamiseks ka enda programmidele lisanud (BP).

Lihtne konfiguratsiooniviga seadis ohtu ligi miljoni Jaapani mänguarendajaga seotud inimese andmed

Jaapani mänguarendaja Ateami küberintsident paljastas, kuidas lihtne konfiguratsiooniviga pilveteenuse kasutamisel võib osutuda tõsiseks turberiskiks. Nimelt oli alates 2017. aasta märtsist määratud ettevõtte ühele Google Drive’i keskkonnale konfiguratsioonisäte selliselt, et kõik, kel oli vastav link, said keskkonnale juurdepääsu. Antud juhtum võis potentsiaalselt paljastada peaaegu miljoni inimese tundlikud andmed (BP).

Avalikult kättesaadavad andmed paiknesid kokku 1369 failis ja hõlmasid Ateami klientide, äripartnerite, töötajate, praktikantide ja tööotsijate isikuandmeid. Ohustatud andmete hulgas olid täisnimed, e-posti aadressid, telefoninumbrid, kliendihaldusnumbrid ja seadme identifitseerimisnumbrid (BP).

Kuigi hetkel puuduvad konkreetsed tõendid, et paljastatud teave on varastatud, pöörab see juhtum siiski tähelepanu pilveteenuste turvalise kasutamise olulisusele. Lisaks illustreerib see intsident, kuidas lihtsa konfiguratsioonvea tõttu võivad pahalased pääseda kergesti ligi tundlikele andmetele, mis võib viia potentsiaalse väljapressimiseni või andmete müügini teistele häkkeritele (BP)​.

Mõned soovitused antud juhtumi taustal:

  • Vaadake regulaarselt üle ja värskendage vajadusel pilvekeskondade konfiguratsioonisätteid.
  • Harige töötajaid turvalise andmetöötluse ja jagamise tavade kohta.
  • Rakendage tundlike andmete jaoks rangeid juurdepääsu kontrolle ja krüptimist.

Google Cloudi Kubernetese teenuses parandati haavatavus

Google Cloud parandas enda Kubernetese teenuses keskmise tõsidusega turvavea. Fluent Biti logimiskonteinerist ja Anthos Service Meshist leitud haavatavust saab ära kasutada õiguste suurendamiseks Kubernetese klastris. Lisaks võib antud haavatavus võimaldada andmete vargust ja põhjustada klastril tööhäireid. Haavatavuse ärakasutamise edukus sõltub sellest, kas ründaja on juba mõne meetodi abil, näiteks koodi kaugkäivitamise vea kaudu, FluentBiti konteinerile ligipääsu saanud. Haavatavus parandati turvauuendustega mitmes Google Kubernetes Engine’i (GKE) ja Anthos Service Meshi (ASM) versioonis (THN).

Nimekiri nendest versioonidest, milles on turvanõrkus parandatud:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Microsoft keelas pahavararünnakutes kuritarvitatud MSIX-i protokolli käsitlusrakenduse

Microsoft keelas MSIX ms-appinstalleri protokolli käsitlusrakenduse, mida erinevad grupeeringud kasutasid pahavara levitamiseks. Ründajad kuritarvitasid turvameetmetest mööda hiilimiseks ära Windows AppX Installeri haavatavust CVE-2021-43890. Konkreetset pahavara, mis antud ründevektoreid ära kasutas, jagati pahatahtlikke reklaamide ja andmepüügisõnumite abil. Microsoft soovitab installida App Installeri paigatud versiooni (1.21.34.210.0 või uuem). Kui see ei ole võimalik, soovitatakse administraatoritel ms-appistaller protokoll võimalusel süsteemides keelata (BP, MS).

Olulisemad turvanõrkused 2023. aasta 50. nädalal

  • Apple avaldas uue iOSi ja iPadOSi versiooni 17.2

Apple avaldas eelmise nädala alguses uued tarkvara versioonid iOS 17.2 ja iPadOS 17.2, kus on paigatud vähemalt 11 turvaviga. Kõige tõsisema mõjuga on mälupesa sisu muutmise viga ImageIO komponendis, mis võib kaasa tuua pahaloomulise koodi käivitamise. Täpsema loetelu paigatud vigadest leiab Apple’i veebilehelt (Apple).

Ühtlasi tuli välja ka turvauuendus vanematele Apple’i seadmetele. Versioonides iOS 16.7.3 ja iPadOS 16.7.3 on paigatud muuhulgas ka WebKiti veebibrauserimootorit mõjutavad nullpäeva turvanõrkused.

Soovitame Apple’i nutiseadmeid uuendada esimesel võimalusel (SW).

  • Microsoft andis välja oma igakuised turvauuendused

Microsoft parandas kokku 34 haavatavust, nende hulgas oli ka üks nullpäeva turvanõrkus. Parandatud vigadest võimaldavad koodi kaugkäivitada kaheksa haavatavust ja kolm neist on hinnatud kriitilise mõjuga veaks.

Paigatud nullpäeva turvanõrkus tähisega CVE-2023-20588 mõjutab teatud AMD protsessoreid, mis võivad eduka ründe korral tagastada tundlikku infot. Viga tuli avalikuks juba augustis, kuid siis ei avaldatud veale parandust.

Lisaks paigati ka kaheksa turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Adobe paikas oma toodetes 207 turvanõrkust

Adobe hoiatas nii Windowsi kui ka macOSi Adobe toodete kasutajaid pahatahtliku koodi käivitamise, mälulekete ja teenuse tõkestamise rünnete eest. Kokku paigati vähemalt 207 turvaviga, mis mõjutavad erinevaid Adobe tarkvarasid.

Kriitilise mõjuga vead paigati tarkvarades Adobe Illustrator, Substance 3D Sampler ja After Effects. Vead paigati ka tarkvarades Adobe Prelude, Adobe InDesign, Adobe Dimension ja Adobe Animate.

Soovitame kõigil Adobe toodete kasutajatel tarkvara uuendada (SW).

  • Google Chrome’i uues versioonis on parandatud 9 turvanõrkust

Google avaldas Chrome’i versiooni 120.0.6099.109 Windowsi, Maci ja Linuxi seadmetele. Parandatud turvanõrkuste seas on viis kõrge mõjuga ja üks keskmise mõjuga haavatavus. Kõige suurema mõjuga neist on V8 JavaScripti mootorit mõjutav haavatavus.

Ettevõtte ei avaldanud täpsemat infot turvanõrkuste kohta, et enamus kasutajaid jõuaks enne tarkvara uuendada. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada. Google on 2023. aasta jooksul paiganud juba seitse nullpäeva turvanõrkust Chrome’i veebilehitsejas (SW).

  • Ligi 40% Log4J rakendustest kasutab haavatavat tarkvara

Umbes 38% rakendustest, mis kasutavad Apache Log4j teeki, on haavatavuste tõttu ohus. Nende hulgas on ka endiselt rakendusi, mis on haavatavad kaks aastat tagasi paigatud kriitilisele turvanõrkusele Log4Shell. Kuna Log4Shell haavatavus mõjutab väga paljusid tarkvarasid ning seda oli lihtne kuritarvitada, siis muutus see kiirelt ründajate sihtmärgiks.

Rakenduste turvalisusega tegeleva ettevõte Veracode’i raporti alusel on endiselt paljud organisatsioonid jätnud tarkvara uuendamata ja on seetõttu ohus erinevatele Log4j turvanõrkuste rünnetele. Ettevõte kogus 90 päeva jooksul andmeid 3866 organisatsioonist ja enam kui 38 000 erinevast rakendusest. Selle tulemusel selgus, et suur hulk rakendusi kasutab endiselt haavatavaid versioone tarkvarast (BC).