Tag Archives: Apple

Olulisemad turvanõrkused 2023. aasta 43. nädalal

  • Apple avaldas turvauuendused iOSi ja macOSi tarkvaradele

Apple avaldas eelmisel nädalal turvauuendused iOSi ja macOSi tarkvaradele. iOSi tarkvaras paigati 21 ja macOSi tarkvaras 44 haavatavust. Turvanõrkused lubavad ründajatel potentsiaalselt käivitada pahaloomulist koodi, haavatavates süsteemides õigusi suurendada või varastada süsteemidest tundlikku informatsiooni. Hetkel ei ole haavatavusi teadaolevalt rünnetes ära kasutatud. RIA soovitab nõrkustega seotud Apple’i seadmed uuendada iOS 17.1, iPadOS 17 ja macOS Sonoma 14.1 (SW, Apple, Apple).

  • Firefoxil ja Chrome’il paigati kõrge mõjuga turvanõrkused

Mozilla avaldas Firefoxi uue versiooni tähisega 119, milles on parandatud 11 turvanõrkust, nende hulgas kolm kõrge mõjuga haavatavust. Vigade tõttu võib haavatava sirviku kasutaja sattuda ohvriks clickjacking-nimelisele rünnakule. Samuti parandavad turvauuendused kaks haavatavust, mis lubavad ründajal potentsiaalselt käivitada pahaloomulist koodi. Lisaks avaldati ka turvapaigad tarkvaradele Firefox ESR 115.4 ja Thunderbird 115.4.1. Teisipäeval teavitas ka Google, et on paiganud Chrome’i veebilehitseja versioonis 118.0.5993.117 kaks turvanõrkust. RIA soovitab nii Firefoxi kui ka Chrome’i veebilehitsejad uuendada esimesel võimalusel (SW, Mozilla, Chrome).

  • Citrix hoiatab kriitilise turvanõrkuse eest

Citrix hoiatas eelmisel nädalal turvanõrkuse (CVE-2023-4966) eest, mis mõjutab NetScaler ADC ja Gateway seadmeid ning mida on juba rünnete läbiviimisel kuritarvitatud. Veale avalikustati turvaparandus kaks nädalat tagasi. Rünnakute suhtes haavatavad NetScaleri seadmed peavad olema konfigureeritud lüüsina (VPN virtuaalserver, ICA puhverserver, CVPN, RDP puhverserver) või AAA virtuaalserverina. Nõrkust on võimalik autentimata ründajal kaugelt ära kasutada.

Hiljuti avaldatud ülevaatest selgus, et ründajad on haavatavust kuritarvitanud sessioonide varastamiseks, et kaheastmelisest autentimisest mööda pääseda. Tootja soovitab haavatavad seadmed paigata esimesel võimalusel (BC, Netscaler, Mandiant).

  • VMware’i tarkvaras olev viga laseb autentimisest mööda minna

VMware’i hoiatas kliente Aria Operations for Logs nimelises tarkvaras peituva turvanõrkuse (CVE-2023-34051) eest, mis võimaldab ründajal autentimisest mööda minna ja käivitada pahatahtlikku koodi. Veale on avaldatud ka kontseptsiooni tõendus, mis võib kaasa tuua rünnete kasvu. Viga on parandatud Aria Operations for Logs versioonis 8.14 (SA, VMware). RIA soovitab kõigil mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel.

  • Riikliku taustaga küberrühmitus kuritarvitab Roundcube’i meiliteenuse turvanõrkust

Hiljuti avaldatud raportist selgus, et küberspionaaži poolest tuntud riikliku taustaga küberrühmitus on oktoobris kuritarvitanud XSS-i turvanõrkust, mis peitub Roundcube’i meiliserveri tarkvaras. Raport kajastab, kuidas antud rühmitus on sihtinud Euroopa valitsusasutusi ja erinevaid mõttekodasid. Ründajatel on võimalik spetsiaalselt koostatud e-kirja abil käivitada Roundcube’i kasutaja brauseris suvalist JavaScripti koodi.

Raporti autorite hinnangul on küberrühmitus üritanud turvanõrkust ära kasutada selleks, et ligi pääseda haavatavat tarkvara kasutava kasutaja e-kirjadele. Turvanõrkus on paigatud Roundcube’i versioonides 1.4.15, 1.5.5 ja 1.6.4 (ESET, SW).

Olulisemad turvanõrkused 2023. aasta 40. nädalal

  • Confluence’i mõjutab väga oluline turvanõrkus

Atlassiani arendatud Confluence’i tarkvaras avastati kriitiline turvaviga, mille kohta andis ettevõtte välja ka hoiatuse. Turvanõrkus tähisega CVE-2023-22515 võimaldab ründajal saada haavatavas süsteemis administraatoriõigused. Ettevõte kinnitas, et piiratud arv klientide süsteeme on langenud ka seda turvanõrkust kuritarvitatavate rünnakute ohvriks (Atlassian).

Atlassiani sõnul mõjutab viga Confluence Server ja Confluence Data Center versioone alates 8.0.0. Turvanõrkus on paigatud versioonides 8.3.3 või uuemates, 8.4.3 või uuemates või 8.5.2 või uuemates. Turvaveast ei ole mõjutatud Atlassiani pilveteenust kasutavad Confluence’i süsteemid, ehk kui Confluence’i lehele pääseb ligi atlassian.net domeeni kaudu, siis ei ole see ka mõjutatud (Atlassian).

Atlassian rõhutab, et lisaks uuendamisele on oluline veenduda, et haavatavat süsteemi ei jõutud kompromiteerida. Selleks tõi ettevõte enda hoiatusteavituses välja ka mõned näpunäited, kuidas seda kindlaks teha (Atlassian).

  • Apple’i seadmed said tarkvarauuendused, parandati muuhulgas nullpäeva turvanõrkus

Apple avalikustas enda toodetud seadmetele turvavärskendused, et kõrvaldada uus nullpäeva haavatavus tähisega CVE-2023-42824, mida on ära kasutatud iPhone’i ja iPadi seadmete vastu suunatud rünnakutes (Apple).

Turvanõrkus on seotud kerneliga ja lubab juba haavatavas süsteemis oleval ründajal enda õiguseid seal tõsta. Apple’i sõnul võidi seda nõrkust ära kasutada iPhone’idel, mis kasutasid vanemat iOSi versiooni kui 16.6. Haavatavus mõjutab iPhone XS-i ja uuemaid versioone ning erinevaid iPadi mudeleid. See on parandatud iOS ja iPadOS versioonis 17.0.3 (Apple).

Turvavärskendustega parandati ka nõrkus, mida tähistatakse kui CVE-2023-5217 ning mille abil on võimalik käivitada suvalist koodi. Kui kasutate iPhone’i või iPadi, soovitame tarkvarauuendused rakendada esimesel võimalusel (Apple).

  • Androidile avalikustatud turvauuendused paikavad mitu nullpäeva turvanõrkust

Google avalikustas Androidi operatsioonisüsteemile 2023. aasta oktoobri turvavärskendused, mis parandavad 54 turvanõrkust. Nende hulgas on kaks turvaviga, mida on teadaolevalt aktiivselt ära kasutatud. Nendeks on haavatavused tähistega CVE-2023-4863 ja CVE-2023-4211 (BC, Android).

CVE-2023-4863 on puhvri ületäitumise haavatavus laialt kasutuses olevas teegis libwebp, mis mõjutab paljusid tarkvaratooteid, sealhulgas Chrome’i, Firefoxi, iOSi, Microsoft Teamsi jpt. RIA kajastas seda nõrkust ka eelmise nädala ülevaates (39. nädal). CVE-2023-4211 mõjutab aga Arm Mali GPU draiverite mitut versiooni, mida kasutatakse paljudes Androidi operatsioonisüsteemiga seadmete mudelites. Haavatavus võib võimaldada ründajatel tundlikele andmetele ligi pääseda (BC, Android).

Kui kasutate Androidi operatsioonisüsteemiga seadmeid, rakendage uuendused esimesel võimalusel (BC, Android).

  • TorchServe’i raamistikus avastati kriitilised haavatavused

TorchServe’i raamistikus avastati kriitilised haavatavused, mis kujutavad tehisintellekti mudelitele olulist ohtu. Haavatavused avastanud ekspertide hinnangul näitavad need turvanõrkused, et AI-rakendused on avatud lähtekoodiga vigadele vastuvõtlikud sarnaselt paljudele muudele tarkvaradele (Oligio).

TorchServe’i, mida haldavad Amazon ja Meta, kasutatakse tootmiskeskkondades PyTorchil põhinevate süvaõppemudelite rakendamiseks ja seda rakendatakse laialdaselt, sealhulgas sellistes suurtes ettevõtetes nagu Amazon, Google ja Walmart (Oligio).

Haavatavuste ärakasutamine võib anda ründajatele juurdepääsu tehisintellekti kasutavate mudelite andmetele, võimaluse sisestada pahatahtlikke mudeleid tootmiskeskondadesse, muuta AI tulemusi või võtta serverite üle täielik kontroll (Oligio).

Kõik TorchServe’i versioonid kuni versioonini 0.8.1 on haavatavad. Haavatavused, mida ühiselt nimetatakse ShellTorchiks, hõlmavad muuhulgas kriitilist SSRF-i haavatavust, mis viib koodi kaugkäitamiseni (RCE) ja Javaga seotud RCE-d. Ekspertide sõnul rõhutavad need haavatavused vajadust AI infrastruktuuri tugevdatud turvameetmete järele, et kaitsta tehisintellekti mudeleid võimaliku väärkasutuse eest (Oligio).

  • Looney Tunables nimelise haavatavuse jaoks avalikustati kontseptsiooni tõendus

Kübereksperdid juhtisid eelmisel nädalal tähelepanu turvanõrkusele, mida tuntakse Looney Tunables nime all ja mis mõjutab üht olulist Linuxi kernel komponenti (glibc) (Qualys).

Haavatavus võib võimaldada ründajal oma õigusi suurendada, et saada süsteemi üle täielik kontroll juurõiguste abil. Turvanõrkuse olemasolu on tuvastatud erinevate Linuxi distributsioonide seas, sealhulgas Fedora 37 ja 38, Ubuntu 22.04 ja 23.04 ning Debian 12 ja 13 vaikeinstallatsioonides (Qualys).

Parim viis selle haavatavuse leevendamiseks on paikamine. Kui CVE-2023-4911 teid mõjutab, peaksite oma süsteemi parandama vastavalt mõjutatud distributsioonile. Täpsemat informatsiooni turvanõrkuse tuvastamise ja paikamise kohta leiate ka näiteks siit.

Olulised turvanõrkused 2023. aasta 38. nädalal

Eelmisel nädalal kajastati, kuidas Apple paikas kolm nullpäeva turvanõrkust. Turvanõrkused mõjutavad mitmeid Apple’i tooteid, turvauuendused on tootja väljastanud. Lisaks Apple’ile avalikustasid turvapaigad veel mitmed ettevõtted, sh Fortinet, GitLab, Atlassian jpt. Kõik olulisemad uudised on lühidalt välja toodud järgnevas kokkuvõttes.

  • Apple paikas kolm uut nullpäeva turvanõrkust

Apple avalikustas turvauuendused, et parandada kolm uut nullpäeva turvaviga. Turvavigu on tootja sõnul rünnakutes juba ära kasutatud. Haavatavused lubavad ründajatel käivitada pahaloomulist koodi ohvri seadmes, kui ohver külastab selleks otstarbeks loodud veebilehte, samuti on võimalik ühe nullpäeva turvanõrkuse abil haavatavas süsteemis õigusi suurendada. Konkreetsed nõrkused on parandatud operatsioonisüsteemides macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ja watchOS 9.6.3/10.0.1. Soovitame uuendused rakendada esimesel võimalusel (BP, Apple, Apple).

  • GitLab paikas kriitilise turvanõrkuse

GitLab paikas kriitilise turvavea (CVE-2023-4998), mis mõjutab tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versioone 13.12 kuni 16.2.7 ja 16.3 kuni 16.3.4. Turvaviga on hinnatud CVSS skooriga 9.6/10. Haavatavus on parandatud GitLab Community Edition ja Enterprise Edition versioonides 16.3.4 ning 16.2.7. Ettevõtte soovitab viivitamatult uuendada GitLabi tarkvara uuele versioonile (BC, Gitlab).

  • Fortinet paikas kõrge mõjuga turvavead oma toodetes

Turvanõrkus (CVE-2023-29183) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahaloomulist JavaScripti koodi käivitada. Turvaviga mõjutab FortiOSi versioone 6.2.x, 6.4.x, 7.0.x ja 7.2.x ning FortiProxy versioone 7.2.x ja 7.0.x. Teine kõrge mõjuga haavatavus (CVE-2023-34984) mõjutab FortiWebi versioone 6.3, 6.4, 7.0.x ja 7.2.x. Tarkvarade kasutajad peaksid esimesel võimalusel veenduma, et vastavad turvauuendused on rakendatud (SW, Fortinet, Fortinet).

  • Atlassian paikas neli turvanõrkust

Atlassian avalikustas turvauuendused neljale haavatavusele, mis mõjutavad kas Jira, Confluence’i, Bitbucketi või Bamboo tarkvara. Kõige tõsisemat haavatavust märgitakse tähisega CVE-2023-22513 (CVSS skoor 8.5/10.0) ja selle abil on autentitud ründajal võimalik käivitada haavatavas Bitbucketi süsteemis pahaloomulist koodi. Turvanõrkus on parandatud Bitbucketi versioonides 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 ja 8.14.0 (SW, Atlassian).

  • Tuhandeid Juniperi võrguseadmeid ohustab kriitiline turvanõrkus

Hinnanguliselt 12 000 Juniperi SRX-tulemüüri ja EX switchi on haavatavad koodi kaugkäivitamise vea suhtes, mida autentimata ründajad saavad ära kasutada. Vead tähistega CVE-2023-36845 ja CVE-2023-36846 avaldati juba augustis, kuid siis polnud teada, et nende koosmõjul tekib kriitiline haavatavus. Tootja soovitab kõigil mõjutatud Juniperi seadmete kasutajal uuendada tarkvara esimesel võimalusel, kuna haavatavuse kaudu võib saada ründaja ligipääsu ohvri võrgule. Täpsem loetelu mõjutatud seadmetest on lisatud linkidel (BC, Juniper).