Tag Archives: Apple

Olulised turvanõrkused 2023. aasta 4. nädalal

Avaldati CryptoAPI turvanõrkuse PoC

Kriitilisest turvanõrkusest CVE-2022-24689 teavitati avalikkust eelmise aasta oktoobris, kuid nüüd on sellele avalikult kättesaadav ka kontseptsiooni tõendus (proof of concept  ehk PoC). Ründajal on võimalik turvanõrkuse abiga kuritarvitada avalikke x.509 sertifikaate ning kasutada neid autentimiseks või koodi allkirjastamiseks (näiteks näitamaks, et pahavara näol on tegu usaldusväärse programmiga). PoCi avalikustajate sõnul on vanad Chrome’i (v48 ja varasemad) ja Chromiumi-põhised rakendused, mis kasutavad CryptoAPIt, selle nõrkuse vastu haavatavad. Samuti mainiti, et kuna analüüsimine veel käib, ei pruugi eelnevalt mainitud tarkvarad olla ainukesed, mis on turvanõrkusest mõjutatud (BC).

Kes ja mida peaks tegema? Windowsi operatsioonisüsteemide kasutajad peaksid veenduma, et neil on kõige hiljutisemad turvauuendused rakendatud. Arendajatele soovitatakse kaitsemeetmena kasutada rakenduste puhul WinAPIt, et kontrollida sertifikaatide tõepärasust (BC). 

Microsoft juhtis tähelepanu Exchange’ide regulaarse uuendamise vajalikkusele

Microsoft avaldas blogipostituse, milles toonitas Exchange’i kasutajatele, et serverite uuendamine on oluline osa Exchange’ide kaitsmisel ja seda peaks regulaarselt tegema. Ründajad, kes otsivad paikamata Exchange’i servereid, ei kao Microsofti sõnul kuhugi, kuna neid kuritarvitades on ründajatel võimalik palju halba korda saata. Näiteks sisaldavad kasutajate meilipostkastid tihti tundlikku informatsiooni, samuti on Exchange’i serverites koopia aadressiraamatust ja serverite abil on teatud juhtudel võimalik rünnata ka Active Directoryt (Microsoft).

Kes ja mida peaks tegema?

Kirjutamise hetkel on kõige hiljutisemad Exchange’i versioonid järgnevad:

  • Exchange Server 2019 puhul CU12
  • Exchange Server 2016 puhul CU23
  • Exchange Server 2013 puhul CU23 ( Exchange Server 2013 tootjapoolne tugi lõppeb 11. aprillil 2023. aastal)

Jaanuari turvauuenduste paketi leiate siit.

VMware parandas logide analüüsimiseks mõeldud tööriistas kriitilised turvavead

VMware avalikustas eelmisel nädalal turvauuendused logide analüüsimiseks mõeldud tööriistale vRealize Log Insight (VMware Aria Operations for Logs).  Turvauuendused parandavad kaks kriitilist turvanõrkust (CVE-2022-31706, CVE-2022-31704), mida autentimata ründaja saab kasutada koodi kaugkäivitamiseks haavatavas süsteemis. Mõlemad turvanõrkused on hinnatud kriitilisuse skooriga 9.8/10.0 (BC).

Kes ja mida peaks tegema?

VMware avaldas juhised, kuidas uuendada vRealize Log Insight kõige uuemale versioonile. Kui uuendamine ei ole võimalik, saab ajutiselt kasutada ka alternatiivset kaitsemeedet. Selleks tuleb süsteemiadministraatoritel juurkasutajana sisse logida igasse vRealize Log Insighti sõlme (node) ja käivitada vastav VMware’i skript. Kui alternatiivset vastumeedet on vaja kasutada, tutvuge esmalt VMware’i juhistega siin.

Apple parandas eelmise aasta nullpäeva turvanõrkuse ka vanematel seadmetel

Eelmise aasta detsembris avalikustati nullpäeva turvanõrkus CVE-2022-42856. Kui varasemalt pakuti turvauuendust uuematele Apple’i seadmetel, siis nüüd on vastav turvauuendus saadaval ka Apple’i vanematele toodetele nagu iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ja iPod touch (kuues generatsioon). Ründajad saavad seda haavatavust ära kasutada, kui sihtmärk külastab spetsiaalse sisuga veebilehte, mis on ründajate kontrolli all. Pärast seda, kui ohver on veebilehte külastanud, on ründajatel võimalik ohvri seadmes käivitada käske, paigaldada täiendavat pahavara või teha muid pahaloomulisi tegevusi. Apple’i sõnul on võimalik, et seda turvanõrkust on aktiivselt ära kasutatud (Apple, BC). Täiendavat informatsiooni ei ole ettevõte avalikkusega jaganud.

Kes ja mida peaks tegema?

Turvanõrkus on paigatud iOSi versioonis 12.5.7 ja seda pakutakse järgnevatele seadmetele: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (kuues versioon).

Realtek SDK turvanõrkust üritatakse aktiivselt ära kasutada IoT- seadmete ründamiseks

Eelmisel nädalal avaldatud Unit 42 analüüsist selgub, et 2022. aasta augustist oktoobrini tundsid ründajad rohkem huvi ühe kindla Realtek Jungle SDK turvanõrkuse vastu (CVE-2021-35394). Kui tavaliselt ei ületa analüüsi autorite sõnul üht kindlat turvanõrkust kuritarvitavate rünnete hulk 10% kogu rünnete hulgast, siis eelmiste aasta augustis oktoobrini üritati just seda kindlat Realteki haavatavust ära kasutada 40% rünnakukatsete puhul. 2022. aasta detsembri seisuga oli ettevõte tuvastanud kokku 134 miljonit ründekatset, mille puhul üritati ära kasutada haavatavust CVE-2021-35394 (9.8/10.0). Sealjuures moodustasid 134 miljonist 97% rünnakukatsed, mis olid tehtud alates 2022. aasta augustist. Paljudel juhtudel üritati selle konkreetse Realteki turvanõrkuse abil paigaldada haavatavatele IoT-seadmetele pahavara. (Unit42, OneKey).

Kes ja mida peaks tegema?

Haavatavusest on mõjutatud Realtek Jungle SDK versioonid v2.x kuni v3.4.14B (kaasaarvatud). Tootja parandas haavatavuse turvauuendusega juba 2021. aasta augustis. Tarneahelate keerukused on mõnel juhul tekitanud aga probleeme uuenduse jõudmisega lõppkasutajateni. Soovitame uuenduse olemasolul see ka kohe rakendada.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 50. nädalal

Fortinet paikas FortiOSi SSL-VPNi turvanõrkuse

Fortinet teavitas, et paikas FortiOSi SSL-VPNi turvanõrkuse. Turvaviga on hinnatud kriitiliseks skooriga 9.3/10.0 ja tähistatakse CVE-2022-42475. Turvaviga võimaldab autentimata ründajal pahatahtlikku koodi kaugkäivitada. Kuna FortiOSi tarkvara kasutatakse maailmas laialdaselt, siis pakuvad need haavatavused ka küberkurjategijatele huvi ja neid kasutatakse tihti rünnete läbiviimiseks. Ettevõtte kinnitusel on ka turvaviga CVE-2022-42475 rünnetes ära kasutatud (SA, BP, Fortinet).  

Kes ja mida peaks tegema?

Fortineti hinnangul mõjutab turvanõrkus CVE-2022-42475 FortiOSi versioone 7.2.0 kuni 7.2.2, 7.0.0 kuni 7.0.8, 6.4.0 kuni 6.4.10, 6.2.0 kuni 6.2.11 ning FortiOS-6K7K versioone 7.0.0 kuni 7.0.7, 6.4.0 kuni 6.4.9, 6.2.0 kuni 6.2.11 ja 6.0.0 kuni 6.0.14

Haavatavus on parandatud FortiOSi tarkvara versioonides 7.2.3, 7.0.9, 6.4.11, 6.2.12 ja 6.0.16. Soovitame FortiOS tarkvara uuendada esimesel võimalusel.

Apple paikas Webkiti nullpäeva turvanõrkuse

Apple paikas selle aasta kümnenda nullpäeva turvanõrkuse (CVE-2022-42856), mida on kasutatud iPhone’ide vastu suunatud rünnetes. Viga mõjutab Apple Webkiti veebibrauseri mootorit ja võib kaasa tuua pahatahtliku koodi käivitamise, kui kasutaja avab ründaja loodud veebilehe. Apple Webkiti funktsionaalisust kasutavad kõik kolmandate osapoolte veebilehitsejad, nende hulgas Google Chrome, Mozilla Firefox ja Microsoft Edge (BP, HN, SW).

Kes ja mida peaks tegema?

Ettevõtte sõnul mõjutab turvanõrkus kõiki järgnevaid Apple’i seadmeid: iPhone 6s , iPhone 7, iPhone SE, iPad Pro, iPad Air 2 ja uuemad, iPad viies generatsioon ja uuemad, iPad mini 4 ja uuemad ning iPod touch (seitsmes generatsioon). Kui Sa kasutad mõnd veebilehitsejat Apple’i seadmes, siis oled juba potsentsiaalselt ohus.

Kõik nende seadmete kasutajad peaks iOS tarkvara uuendama. Turvaviga on parandatud tarkvara versioonides iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 ja macOS Ventura 13.1. Täpsema Apple’i turvauuenduste infot leiab siit.

Microsoft paikas kaks nullpäeva turvanõrkust ja 49 haavatavust

Parandatud vigadest kuus on hinnatud kriitiliseks, kuna need võimaldavad koodi kaugkäivitamist. Parandati kaks nullpäeva turvanõrkust (CVE-2022-44698 ja CVE-2022-44710), millest ühte (CVE-2022-44698)  on juba rünnetes ära kasutatud. Turvanõrkust (CVE-2022-44698) on hinnatud keskmise skooriga 5.4/10 (BP).

Kes ja mida peaks tegema?

Kõik Microsofti toodete kasutajad peaks üle kontrollima, kas mõni neil kasutusel olev tarkvara sai turvapaiga ja esimesel võimalusel tarkvara uuendama.

Turvaviga (CVE-2022-44698) mõjutab Microsofti tarkvarasid Windows 10, Windows 11, Windows Server 2016, Windows Server 2019, Windows Server 2022 ja Windows Server 2022 Datacenter Azure Edition.

Turvaiga (CVE-2022-44710) mõjutab Microsofti tarkvara Windows 11.

Mitmed turvauuendused avaldati veebilehitsejale Microsoft Edge.

Täielikku raportit parandatud vigadest näeb siin.

Mozilla parandas turvanõrkused Firefoxi veebilehitsejas ja meiliprogrammis Thunderbird

Vead on paigatud Firefoxi versioonis 108, Firefox ESR versioonis 102.6 ja Thunderbirdi versioonis 102.6. Mitmed paigatud haavatavused võimaldavad ründajal saada ligipääs komporomiteeritud süsteemidele ja seetõttu on need hinnatud kõrge mõjuga turvavigadeks (Mozilla, CISA).

Kes ja mida peaks tegema?

Mozilla tarkvarade Firefox, Firefox ESR ja Thunderbird kasutajad peaks turvapaigad rakendama esimesel võimalusel.

Adobe paikas 38 turvanõrkust

Adobe parandas 38 turvanõrkust, mõned neist võimaldavad ründajal koodi käivitada ja õigustega manipuleerida (SW).

Kes ja mida peaks tegema?

Turvavead mõjutavad Adobe Experience Manager (AEM), Adobe Campaign Classic (ACC) ja Illustrator tarkvarasid. Nende tarkvarade kasutajad peaks uuendused paigaldama esimesel võimalusel.

Samba paikas mitu kriitilist turvanõrkust

Samba tarkvaras parandati neli turvanõrkust, mis võimaldavad ründajal saada nakatunud süsteemid enda kontrolli alla. Kõrge mõjuga haavatavused (CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 ja CVE-2022-45141) on parandatud Samba versioonides 4.17.4, 4.16.8 ja 4.15.13 (HN, SA).

Turvaviga CVE-2022-38023 (8.1/10.0) võimaldab kasutada nõrka RC4-HMAC Kerberose krüpteerimise tüüpi.

Turvaviga CVE-2022-37966 (8.1/10.0) võimaldab Windows Kerberose RC4-HMAC õigustega manipuleerida.

Turvaviga CVE-2022-37967 (7.2/10.0) võimaldab Windows Kerberose õigustega manipuleerida.

Turvavea CVE-2022-45141 (8.1/10.0) võimaldab Samba AD (active directory) domeenikontrolleril kasutada nõrka RC4-HMAC krüpteeringut.

Kes ja mida peaks tegema?

Kõik Samba tarkvara kasutajad peaksid tarkvara uuendama versioonidele 4.17.4, 4.16.8 ja 4.15.13, mis avalikustati 15. detsembril. Täpsem info ja tarkvara uuendused on Samba kodulehel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 45. nädalal

Microsoft paikas uuenduste teisipäeva raames 68 turvaviga

Microsoft avalikustas, et parandas enda toodetes 68 turvaviga, millest kuut on aktiivselt ära kasutatud (BP). Uuenduste teisipäev on igakuine päev, mil ettevõte koondab ja publitseerib informatsiooni uutest turvanõrkustest, mis on firma toodetes paigatud.  

Microsoftilt tulid parandused muuhulgas ka kahele turvanõrkusele, mida teatakse koondnimetusega ProxyNotShell. Need kaks haavatavust võimaldavad suurendada õiguseid haavatavas süsteemis ja seal potentsiaalselt pahaloomulist koodi käivitada. Microsoft pakkus algselt mõjutatud süsteemidele (Microsoft Exchange Server 2013, 2016 ja 2019) välja ajutised kaitsemeetmed, kuid nüüd on olemas ka turvauuendused. RIA kirjutas pikemalt nendest haavatavustes septembri lõpus enda blogis.

Samuti paikas ettevõte turvanõrkuse CVE-2022-41091, mis lubas pahaloomulisel osapoolel ühest Microsofti kaitsemeetmest (Mark of the Web ehk MOTW) mööda pääseda. MOTW on kaitsemeede, mis hoiatab kasutajaid kahtlaste failide avamise korral. Meetme rakendudes kuvab Windows kasutajale hoiatusteate, milles palutakse temalt faili avamise jaoks kinnitust. Nõrkuse tõttu aga ei rakendunud teatud failide puhul (nt .LNK failid) see kaitsemeede. Ründajad saavad seda haavatavust ära kasutada, et käivitada lihtsamalt pahaloomulisi programme sihtmärgi süsteemis(des). 

Kes ja mida peaks tegema?

RIA soovitab tutvuda kõikide paigatud nõrkustega ja uurida, milliseid süsteeme need mõjutavad. Vajadusel tuleb rakendada vastavad turvauuendused, et vältida nõrkuste ärakasutamist. Täpsemalt saate ülevaate parandatud nõrkustest siit.

Apple paikas kaks olulise mõjuga haavatavust enda toodetes

USA tehnoloogiahiid avalikustas uued iOSi (16.1.1), macOSi (13.0.1) ja iPadOSi (16.1.1) tarkvaraversioonid, milles on parandatud kaks olulist turvaviga (CVE-2022-40303 ja CVE-2022-40304). Mõlema haavatavuse abil on ründajal võimalik rakenduste tööd häirida või käivitada pahaloomulist koodi. Apple ei ole teadlik, et neid haavatavusi oleks jõutud ära kasutada (SW).

Parandatud turvanõrkuste nimekiri macOS 13.0.1 versioonis.

Parandatud turvanõrkuste nimekiri iOS 16.1.1 ja iPadOS 16.1.1 versioonides.

Kes ja mida peaks tegema?

Kui teie Apple tooted pakuvad teile tarkvara uuendamise võimalust, rakendage uuendus esimesel võimalusel.

Juhendi, kuidas macOSi uuendada, leiate siit. Juhendi, kuidas iOSi/iPadOSi uuendada, leiate siit.

VMware parandas kolm kriitilist turvaviga

VMware paikas kolm kriitilist turvanõrkust VMware Workspace ONE Assistis, mis võimaldavad autentimisest mööda minna ja omandada süsteemis administraatori tasemel õigused. Ründajal peab olema võrguligipääs haavatavale Workspace ONE Assist serverile. Turvanõrkuseid tähistatakse nimetustega CVE-2022-31685, CVE-2022-31686 ja CVE-2022-31687 ja kõiki on hinnatud skooriga 9.8/10.

Kes ja mida tegema peaks?

Turvanõrkused parandati VMware Workspace ONE Assisti versioonis 22.10. Kui te te seda toodet kasutate, tutvuge VMWare’i juhistega ja rakendage versioon 22.10 esimesel võimalusel.

Lenovo parandas sülearvutitel kaks kõrge tasemega haavatavust

Lenovo parandas erinevatel sülearvutitel kaks kõrge tasemega haavatavust (BP). Nõrkuste kaudu on ründajatel võimalik deaktiveerida UEFI Secure Boot. Selle tagajärjel saab ründaja mööda minna kõigist seadme kaitsemeetmetest, et paigaldada pahavara, mis ei kao operatsioonisüsteemide korduvinstalleerimisel.

CVE-2022-3430 – Mõne Lenovo sülearvuti jaoks mõeldud WMI häälestusdraiver võib kõrgendatud õigustega ründajal lubada muuta Secure Booti sätteid.

CVE-2022-3431 – Mõne sülearvutimudeli tootmise jooksul kasutati draiverit, millel oli nõrkus ning see draiver unustati deaktiveerida. Selliste mudelite puhul on võimalik kõrgendatud õigustega ründajal muuta Secure Booti sätteid.

Kes ja mida peaks tegema?

Lenovo toodete kasutajatel soovitatakse kontrollida, kas nende kasutatavad tooted on haavatavad. Selleks tuleb külastada tootja veebilehte, kus on haavatavad mudelid välja toodud ning rakendada vajadusel turvauuendused.

Google Pixel 6 ja 5 nutitelefonide lukustuskuvast on võimalik mööda pääseda

Üks küberturvalisuse ekspert avastas, et tal oli võimalik enda Pixel 6 nutitelefoni lukustuskuvast mööda pääseda (BP). Nimelt tekkis temal selline tavatu situatsioon siis, kui tal oli vaja seade uuesti PUK-koodiga avada. Koodi kasutamise järgselt pidi ekspert uue PIN-koodi looma ja sisestama. Kui ta oli seda teinud, ei küsinud seade enam lukustuskuva parooli, vaid kasutajal tuli ainult lõpetada biomeetrilise autentimise protseduur. Kuna Androidi seadmed küsivad seadme taaskäivitamisel alati lukustuskuva parooli või mustrit, tekitas eelnevalt kirjeldatud situatsioon eksperdis kahtlust. Uurides nõrkuse asjaolusid täpsemalt, selgus, et pahatahtlikul osapoolel õnnestuks ka biomeetrilist autentimist vältida ning saada ligipääs seadme koduekraanile.

See tähendab, et kõigil kellel on seadmele füüsiline juurdepääs, on võimalik seade turvavea abiga avada. Selleks tuleb ründajal lihtsalt kasutada personaalset SIM-kaarti, keelata biomeetriline autentimine (proovides sõrmejäljega end ebaõnnestunult autentida liiga palju kordi), sisestada kolm korda vale PIN-kood ja esitada PUK-kood.

Kes ja mida peaks tegema?

Turvaviga (CVE-2022-20465) mõjutab kõiki Google Pixel 6 ja 5 seadmeid, mis kasutavad Androidi versioone 10,11,12 ja 13 ja millele ei ole rakendatud 7. novembril avaldatud uuendus. Kui te selliseid telefone kasutate, uuendage seade esimesel võimalusel. 

SAP paikas mitu kriitilist turvanõrkust enda toodetes

SAP paikas mitu turvanõrkust (CVE-2022-41203, CVE-2021-20223, CVE-2022-35737 ja CVE-2022-41204 ), mis on hinnatud kriitiliseks (vastavalt skooridega 9.9/10.0; 9.8/10.0 ja 9.6/10.0). Turvavead mõjutavad SAPi tarkvarasid BusinessObjects and SAPUI5. Kui neid edukalt ära kasutada, võivad need avalda mõju nii süsteemide käideldavusele, terviklusele kui konfidentsiaalsusele (SW).

Kes ja mida peaks tegema?

Mõjutatud tarkvarade versioonid on välja toodud tootjapoolses ülevaates siin. Vajadusel tuleb rakendada turvapaigad.