Tag Archives: Apache

Olulisemad turvanõrkused 2023. aasta 52. nädalal

Ründajad üritavad aktiivselt ära kasutada Apache OFBiz kriitilist turvanõrkust

Shadowserver Foundation on täheldanud katseid kasutada ära avatud lähtekoodiga Apache OFBiz tarkvaras leiduvat kriitilist haavatavust. See haavatavus, mida tähistatakse kui CVE-2023-49070, võimaldab ründajatel autentimisest mööda minna ja võltsida serveripoolset päringut (SSRF), mis võib viia suvalise koodi käivitamiseni ja andmete varguseni. Turvanõrkuse parandamiseks tuleb Apache OFBiz uuendada vähemalt versioonini 18.12.11 (SW).

Nuhkvarad kasutavad ära võimalikku turvanõrkust Google’i OAuthi lahenduses

Mitu pahavara kuritarvitavad väidetavalt Google OAuthi lõpp-punkti nimega MultiLogin, et taastada aegunud autentimisküpsised, mille abil võimaldatakse pahavarade kasutajatele volitamata juurdepääsu Google’i kontodele. Konkreetne turvanõrkus võimaldab pahalastel säilitada juurdepääsu kompromiteeritud kontodele ka pärast seda, kui mõjutatud kasutajad enda konto parooli lähtestavad. Meediaväljaannete info kohaselt ei ole Google konkreetset haavatavust ega selle ärakasutamist kinnitanud. Küll aga on mitmed pahavarade loojad väidetavalt sellest teadlikud ja vastavad lahendused selle ärakasutamiseks ka enda programmidele lisanud (BP).

Lihtne konfiguratsiooniviga seadis ohtu ligi miljoni Jaapani mänguarendajaga seotud inimese andmed

Jaapani mänguarendaja Ateami küberintsident paljastas, kuidas lihtne konfiguratsiooniviga pilveteenuse kasutamisel võib osutuda tõsiseks turberiskiks. Nimelt oli alates 2017. aasta märtsist määratud ettevõtte ühele Google Drive’i keskkonnale konfiguratsioonisäte selliselt, et kõik, kel oli vastav link, said keskkonnale juurdepääsu. Antud juhtum võis potentsiaalselt paljastada peaaegu miljoni inimese tundlikud andmed (BP).

Avalikult kättesaadavad andmed paiknesid kokku 1369 failis ja hõlmasid Ateami klientide, äripartnerite, töötajate, praktikantide ja tööotsijate isikuandmeid. Ohustatud andmete hulgas olid täisnimed, e-posti aadressid, telefoninumbrid, kliendihaldusnumbrid ja seadme identifitseerimisnumbrid (BP).

Kuigi hetkel puuduvad konkreetsed tõendid, et paljastatud teave on varastatud, pöörab see juhtum siiski tähelepanu pilveteenuste turvalise kasutamise olulisusele. Lisaks illustreerib see intsident, kuidas lihtsa konfiguratsioonvea tõttu võivad pahalased pääseda kergesti ligi tundlikele andmetele, mis võib viia potentsiaalse väljapressimiseni või andmete müügini teistele häkkeritele (BP)​.

Mõned soovitused antud juhtumi taustal:

  • Vaadake regulaarselt üle ja värskendage vajadusel pilvekeskondade konfiguratsioonisätteid.
  • Harige töötajaid turvalise andmetöötluse ja jagamise tavade kohta.
  • Rakendage tundlike andmete jaoks rangeid juurdepääsu kontrolle ja krüptimist.

Google Cloudi Kubernetese teenuses parandati haavatavus

Google Cloud parandas enda Kubernetese teenuses keskmise tõsidusega turvavea. Fluent Biti logimiskonteinerist ja Anthos Service Meshist leitud haavatavust saab ära kasutada õiguste suurendamiseks Kubernetese klastris. Lisaks võib antud haavatavus võimaldada andmete vargust ja põhjustada klastril tööhäireid. Haavatavuse ärakasutamise edukus sõltub sellest, kas ründaja on juba mõne meetodi abil, näiteks koodi kaugkäivitamise vea kaudu, FluentBiti konteinerile ligipääsu saanud. Haavatavus parandati turvauuendustega mitmes Google Kubernetes Engine’i (GKE) ja Anthos Service Meshi (ASM) versioonis (THN).

Nimekiri nendest versioonidest, milles on turvanõrkus parandatud:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Microsoft keelas pahavararünnakutes kuritarvitatud MSIX-i protokolli käsitlusrakenduse

Microsoft keelas MSIX ms-appinstalleri protokolli käsitlusrakenduse, mida erinevad grupeeringud kasutasid pahavara levitamiseks. Ründajad kuritarvitasid turvameetmetest mööda hiilimiseks ära Windows AppX Installeri haavatavust CVE-2021-43890. Konkreetset pahavara, mis antud ründevektoreid ära kasutas, jagati pahatahtlikke reklaamide ja andmepüügisõnumite abil. Microsoft soovitab installida App Installeri paigatud versiooni (1.21.34.210.0 või uuem). Kui see ei ole võimalik, soovitatakse administraatoritel ms-appistaller protokoll võimalusel süsteemides keelata (BP, MS).

Olulisemad turvanõrkused 2023. aasta 50. nädalal

  • Apple avaldas uue iOSi ja iPadOSi versiooni 17.2

Apple avaldas eelmise nädala alguses uued tarkvara versioonid iOS 17.2 ja iPadOS 17.2, kus on paigatud vähemalt 11 turvaviga. Kõige tõsisema mõjuga on mälupesa sisu muutmise viga ImageIO komponendis, mis võib kaasa tuua pahaloomulise koodi käivitamise. Täpsema loetelu paigatud vigadest leiab Apple’i veebilehelt (Apple).

Ühtlasi tuli välja ka turvauuendus vanematele Apple’i seadmetele. Versioonides iOS 16.7.3 ja iPadOS 16.7.3 on paigatud muuhulgas ka WebKiti veebibrauserimootorit mõjutavad nullpäeva turvanõrkused.

Soovitame Apple’i nutiseadmeid uuendada esimesel võimalusel (SW).

  • Microsoft andis välja oma igakuised turvauuendused

Microsoft parandas kokku 34 haavatavust, nende hulgas oli ka üks nullpäeva turvanõrkus. Parandatud vigadest võimaldavad koodi kaugkäivitada kaheksa haavatavust ja kolm neist on hinnatud kriitilise mõjuga veaks.

Paigatud nullpäeva turvanõrkus tähisega CVE-2023-20588 mõjutab teatud AMD protsessoreid, mis võivad eduka ründe korral tagastada tundlikku infot. Viga tuli avalikuks juba augustis, kuid siis ei avaldatud veale parandust.

Lisaks paigati ka kaheksa turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Adobe paikas oma toodetes 207 turvanõrkust

Adobe hoiatas nii Windowsi kui ka macOSi Adobe toodete kasutajaid pahatahtliku koodi käivitamise, mälulekete ja teenuse tõkestamise rünnete eest. Kokku paigati vähemalt 207 turvaviga, mis mõjutavad erinevaid Adobe tarkvarasid.

Kriitilise mõjuga vead paigati tarkvarades Adobe Illustrator, Substance 3D Sampler ja After Effects. Vead paigati ka tarkvarades Adobe Prelude, Adobe InDesign, Adobe Dimension ja Adobe Animate.

Soovitame kõigil Adobe toodete kasutajatel tarkvara uuendada (SW).

  • Google Chrome’i uues versioonis on parandatud 9 turvanõrkust

Google avaldas Chrome’i versiooni 120.0.6099.109 Windowsi, Maci ja Linuxi seadmetele. Parandatud turvanõrkuste seas on viis kõrge mõjuga ja üks keskmise mõjuga haavatavus. Kõige suurema mõjuga neist on V8 JavaScripti mootorit mõjutav haavatavus.

Ettevõtte ei avaldanud täpsemat infot turvanõrkuste kohta, et enamus kasutajaid jõuaks enne tarkvara uuendada. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada. Google on 2023. aasta jooksul paiganud juba seitse nullpäeva turvanõrkust Chrome’i veebilehitsejas (SW).

  • Ligi 40% Log4J rakendustest kasutab haavatavat tarkvara

Umbes 38% rakendustest, mis kasutavad Apache Log4j teeki, on haavatavuste tõttu ohus. Nende hulgas on ka endiselt rakendusi, mis on haavatavad kaks aastat tagasi paigatud kriitilisele turvanõrkusele Log4Shell. Kuna Log4Shell haavatavus mõjutab väga paljusid tarkvarasid ning seda oli lihtne kuritarvitada, siis muutus see kiirelt ründajate sihtmärgiks.

Rakenduste turvalisusega tegeleva ettevõte Veracode’i raporti alusel on endiselt paljud organisatsioonid jätnud tarkvara uuendamata ja on seetõttu ohus erinevatele Log4j turvanõrkuste rünnetele. Ettevõte kogus 90 päeva jooksul andmeid 3866 organisatsioonist ja enam kui 38 000 erinevast rakendusest. Selle tulemusel selgus, et suur hulk rakendusi kasutab endiselt haavatavaid versioone tarkvarast (BC).

Olulisemad turvanõrkused 2023. aasta 44. nädalal

  • Confluence’i tarkvaras avastati kriitiline turvanõrkus

Atlassian teavitas eelmise nädala alguses, et nende Confluence’i tarkvaras on kriitiline turvanõrkus, mida tähistatakse kui CVE-2023-22518. Haavatavus võib potentsiaalselt lubada autentimata ründajatel, kes saavad saata mõjutatud Confluence’ile spetsiaalsete parameetritega päringuid, taastada konkreetse Confluence’i andmebaas ja lõpuks käivitada suvalisi süsteemikäske (PD). Atlassiani sõnul võib autentimata ründaja haavatavuse abil põhjustada kliendi Confluence’i keskkonnas andmekadu (Atlassian). Ettevõte andis 3. novembril ka teada, et nõrkust on üritatud aktiivselt kuritarvitada (Atlassian). RIA avaldas turvanõrkuse kohta käiva ülevaate 31. oktoobril enda blogis (RIA).

Atlassiani sõnul on turvavea vastu haavatavad kõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id.

Põhiliseks vastumeetmeks on uuendada Confluence ühele järgnevatest versioonidest:

7.19.16 või hilisem;
8.3.4 või hilisem;
8.4.4 või hilisem;
8.5.3 või hilisem;
8.6.1 või hilisem.

Ettevõtte ametlikus ohuteates on kirjeldatud ka alternatiivsed võimalused enda haavatavat Confluence’i kaitsta, kui uuendamine ei ole mingil põhjusel võimalik (Atlassian). Siiski tuleks prioritiseerida kaitsemeetmena uuendamist.

  • Microsoft Exchange’il avastati neli nullpäeva turvanõrkust

Microsoft Exchange Serveril avastati neli nullpäeva turvaauku, mida autentitud ründaja saab eemalt ära kasutada suvalise koodi käivitamiseks või haavatavatest süsteemidest tundliku teabe varastamiseks. Turvanõrkusi tähistatakse nelja erineva tähisega: ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 ja ZDI-23-1581. Microsofti sõnul on ZDI-23-1578 turvanõrkuse vastu kaitstud kõik kliendid, kes on rakendanud Exchange’ile augustikuu turvauuendused.  Teiste turvanõrkuste puhul on ründajal vaja kätte saada Exchange’i kasutava meilikonto kasutajatunnused, et turvavigu oleks võimalik kuritarvitada (BP).

  • Kriitilist Apache ActiveMQ turvaviga üritatakse lunavararünnakutes ära kasutada

Küberturbeekspertide sõnul on hiljutiste lunavararünnakute jaoks kasutatud Apache ActiveMQ kriitilist turvaauku, millest teatati 25. oktoobril ja mida tähistatakse kui CVE-2023-46604. Turvanõrkus võimaldab haavatavas süsteemis käivitada pahaloomulist koodi ja see üle võtta (TR).

Hiljuti avaldati ka üks analüüs, kus uuriti kaht rünnakut, mille käigus konkreetset turvanõrkust üritati kuritarvitada. Analüüsis leiti, et rünnakute käigus üritati süsteemid krüpteerida HelloKitty lunavaraga. Ekspertide hinnangu kohaselt olid aga krüpteerimiskatsed “kohmakad”, mis tähendas, et ründajatel ei õnnestunud isegi mitme katse käigus faile krüpteerida (Rapid7).

Turvaveast mõjutatud Apache ActiveMQ versioonid on järgnevad (Apache):

Kõik 5.18.x versioonid enne 5.18.3

Kõik 5.17.x versioonid enne 5.17.6

Kõik 5.16.x versioonid enne 5.16.7

Kõik versioonid, mis on vanemad kui 5.15.16

OpenWire Module 5.18.x versioonid enne 5.18.3

OpenWire Module 5.17.x versioonid enne 5.17.6

OpenWire Module 5.16.x versioonid enne 5.16.7

OpenWire Module 5.8.x versioonid enne 5.15.16

Kasutajatel soovitatakse uuendada mõjutatud tarkvara ühele järgnevatest versioonidest: 5.15.16, 5.16.7, 5.17.6 või 5.18.3.

  • Teadlased avastasid 34 haavatavat Windowsi draiverit

Teadlased avastasid 34 Windowsi draiverit, mida pahalased saavad kuritarvitada süsteemide kompromiteerimiseks. Mõnda neist haavatavatest draiveritest võivad kurjategijad kasutada näiteks arvuti mälu oluliste osade kustutamiseks (THN).

Haavatavate draiverite hulgas olid muuhulgas AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.M. rtif.sys, rtport.sys, stdcdrv64.sys ja TdkLib64.sys (THN).

34 draiverist kuus võimaldavad juurdepääsu kerneli mälule, mida saab siis kuritarvitada õiguste tõstmiseks või turbelahenduste kaotamiseks. Seitse draiverit, sealhulgas Inteli stdcdrv64.sys, saab kasutada püsivara kustutamiseks SPI-välkmälust, muutes süsteemi käivitamatuks (THN).

Eelnevat kirjeldatud ohtude eest kaitsmiseks on oluline hoida oma arvuti tarkvara ajakohasena (THN).

  • Ründajad kuritarvitavad F5 BIG-IP kriitilisi turvanõrkusi

Ründajad kuritarvitavad aktiivselt F5 BIG-IP kriitilist haavatavust, mis võimaldab neil käivitada süsteemikäske. Viga, mida jälgitakse kui CVE-2023-46747, võimaldab autentimata ründajal, kellel on BIG-IP-süsteemile võrgujuurdepääs halduspordi kaudu, käivitada pahaloomulist koodi (SW).

Turvanõrkusele on avalikustatud ka kontseptsiooni tõendus (PoC), mis suurendab kuritarvitamise tõenäosust.  Ründajad on antud kriitilist turvanõrkust kasutanud koos teise uue turvaveaga BIG-IP konfiguratsioonis, mida tähistatakse kui CVE-2023-46748 (SW).

26. oktoobril avalikustas F5 turvanõrkuste vastu parandused BIG-IP versioonide 13.x kuni 17.x jaoks ja kutsus kliente üles neid võimalikult kiiresti rakendama (SW).

Ettevõte on mõlema vea jaoks välja andnud ka vastavad indikaatorid (IoC), et aidata organisatsioonidel võimalikku kompromiteerimist tuvastada. F5 hoiatab siiski aga, et kõik kompromiteeritud süsteemid ei pruugi olla tuvastatavad avaldatud indikaatoritega ning osav ründaja võib enda tegevuse jäljed ka eemaldada.

Ründajad kasutavad turvaauke kombineeritult, seega võib enamiku rünnakute peatamiseks piisata samas ainult CVE-2023-46747 vastu avalikustatud turvaparanduse rakendamisest (SW). Siiski on soovituslik rakendada kõik avalikustatud turvaparandused.

  • Kubernetese jaoks mõeldud NGINX Ingress kontrolleri turvavead võivad lubada häkkeritel mandaate varastada

Kubernetese NGINX Ingressi kontrolleril on kolm turvaviga, mis võivad lubada häkkeril klastrist mandaate varastada. Need haavatavused võivad samuti võimaldada ründajal sisestada kontrolleri protsessi kahjulikku koodi ja saada volitamata juurdepääsu tundlikele andmetele. Üks haavatavustest, CVE-2022-4886, võimaldab ründajal varastada kontrollerist Kubernetese API mandaate.

Tarkvara arendajad on avalikustanud mõned viisid nende haavatavuste leevendamiseks, näiteks teatud valikute rakendamine või NGINX-i uuemale versioonile värskendamine (THN).