Tag Archives: Atlassian

mastodoni ja Atlassiani logod kõrvuti-

Olulised turvanõrkused 2022. aasta 46. nädalal

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Eelmisel nädalal avalikustas Mozilla Firefoxi veebilehitseja uue versiooni, milles on parandatud 19 turvaviga, k.a üheksa kõrge mõjuga haavatavust (SW). Nende üheksa haavatavuse abil võib ründajal õnnestuda hankida teatud laadi teavet kasutaja kohta ja häirida rakenduse tööd. Nimekirja parandatud vigadest leiate siit.

Kes ja mida peaks tegema?

Turvavead on paigatud Firefoxi versioonis 107. Kui te Firefoxi kasutate, on soovituslik uuendada veebilehitseja esimesel võimalusel. Juhised, kuidas seda teha, leiate siit.

Atlassian parandas kriitilised turvavead

Atlassian parandas oma toodetes Crowd Server and Data Center ja Bitbucket Server and Data Center kriitilised turvavead CVE-2022-43782 (9.0/10.0) ja CVE-2022-43781 (9.0/10.0) (BP).

CVE-2022-43782 põhineb konfiguratsiooniveal, mis võimaldab ründajal kõrvale hiilida parooli kontrollmehhanismidest. Nõrkuse kuritarvitamine on siiski võimalik ainult teatud tingimustel.

Näiteks, kui te uuendasite Crowdi süsteemi versioonilt 2.9.1 versioonini 3.0.0 või uuemale, siis see ei ole haavatav. Kui te paigaldasite kohe haavatava versiooni 3.0.0 või sellest uuema versiooni ning varem ühtegi vanemat versiooni tarkvarast ei kasutanud, on teie Crowdi tarkvara siiski mõjutatud. Samuti on nõrkuse ärakasutamise jaoks vajalik, et ründaja IP-aadress oleks lisatud rakenduse Remote Address konfiguratsiooni (versioonide 3.0.0 ja uuemate puhul ei ole vaikimisi seal ühtegi IP-aadressi). Haavatavus mõjutab Crowd Serveri versioone 3.0.0 kuni 3.7.2, 4.0.0 kuni 4.4.3 ja 5.0.0 kuni 5.0.2.

CVE-2022-43781 mõjutab seevastu Bitbucket Server and Data Center tarkvara ja võimaldab ründajatel potentsiaalselt käivitada pahaloomulist koodi haavatavates süsteemides. Turvanõrkuse vastu on mõjutatud süsteemid, mis kasutavad tarkvaraversiooni 7.0-7.21 või teatud eelduse korral (kui mesh.enabled=false) versiooni 8.0-8.4.

Kes ja mida peaks tegema?

Kui te kasutate neid mõjutatud versiooniga tarkvarasid, lähtuge tootjapoolsetest juhistest siin ja siin ning rakendage vajalikud uuendused ja/või kaitsemeetmed.

Infoturbeteemasid kajastavas Mastodoni keskkonnas oli tõsine turvaviga

Novembris avastati, et populaarsust koguvas infoturbeteemasid käsitlevas Mastodoni keskkonnas oli nõrkus, mille põhjustas ebaefektiivne HTML-sisendi filtreerimine. Nõrkuse abil saanuks varastada näiteks keskkonna kasutajate kasutajatunnuseid (Portswigger).

Mastodoni hinnangul oli nõrkus ainult selle keskkonna põhine, kuid sellest hoolimata väljastati uued tarkvara versioonid 4.0.1, 3.5.5 ja 3.4.10, milles on vajalikud parandused tehtud.

Pikemalt saab nõrkuse üksikasjade kohta lugeda siit.

Samba paikas koodi käivitamist võimaldava turvavea

Turvaviga CVE-2022-42898 mõjutab erinevaid Samba versioone ja peitub S4U2proxy teenuses. Nõrkus võimaldab ründajal viia mõjutatud süsteem spetsiifilise olukorrani (integer overflow), mille tõttu lakkab süsteem töötamast või õnnestub ründajal seal käivitada pahaloomulist koodi. Haavatavad on ainult 32-bitised süsteemid. Tootja hinnangul on enim ohustatud KDC (Key Distribution Center) serverid. Mõjutatud on kõik Samba versioonid, mis on vanemad kui 4.15.12, 4.16.7 või 4.17.3 (SW).

Kes ja mida peaks tegema?

Samba kasutajad peaksid tutvuma tootjapoolse informatsiooniga siin ja rakendama vajalikud turvapaigad. 

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 40. nädalal

  • Microsoft Exchange turvanõrkuste uued vastumeetmed

Microsoft uuendas 5. oktoobril enda soovitusi, mis aitavad leevendada nullpäeva turvanõrkuste (CVE-2022-41040 ja CVE-2022-41082) mõju. Esialgsed vastumeetmed osutusid ebapiisavaks, kuna ründajatel oli võimalik neist mööda minna. Microsoft tegeleb turvapaikade loomisega, kuid senikaua tuleks rakendada nende soovitatud kaitsemeetmed (MSRC, BP).

Oleme neist turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Atlassian Bitbucket teenuse turvanõrkused

Atlassian Bitbucketi näol on tegemist veebipõhise koodihoidlaga, milles hoitakse nii avalikke kui ka privaatseid arendusprojekte.

Tegemist ei ole nullpäeva turvanõrkusega. Atlassian Bitbucketi haavatavusel (CVE-2022-36804) on olemas parandus ja see on avalik juba 24. augustist, kuid üle-eelmisel nädalal lisati see CISA ärakasutatud turvanõrkuste nimekirja. Turvaveast on mõjutatud kõik Atlassian Bitbucket Server ja Data Center versioonid alates 6.10.17, millele tuleks teha tarkvarauuendus esimesel võimalusel (MB, Atlassian).

Turvanõrkust CVE-2022-36804 on hinnatud kriitiliseks skooriga vahemikus 9.0/10.0 kuni 10.0/10.0 ja see võimaldab lugemisõigusega ründajal käivitada suvalist koodi saates pahatahtliku HTTP-päringu.

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki Atlassian Bitbucket Server ja Data Center versioone, mis on uuemad kui 6.10.17 ja kõigil nende versioonide kasutajatel tuleks uuendada tarkvara.

Täpsem nimekiri mõjutatud versioonidest ja parandustest on leitavad Atlassiani kodulehel ja need on võimalik alla laadida siit.

Kui mingil põhjusel ei õnnestu tarkvara uuendada, siis tootja soovitab ajutise leevendusena avalikud koodihoidlad sulgeda käsuga feature.public.access=false.

  • Fortinet teenustes avastati kriitiline turvanõrkus

Turvanõrkus (CVE-2022-40684) mõjutab Fortinet teenuseid FortiGate, FortiProxy ja FortiSwitchManager. Tegemist on haavatavusega, mille kaudu on võimalik autentimisest mööda minna ja mis on hinnatud kriitiliseks skooriga 9.6/10.0. Turvavea tõttu on võimalik saada ligipääs administratiivliidesele ja selle kaudu tuvastada paikamata seadmed. Turvaviga mõjutab FortiOS versioone 7.0.0 kuni 7.0.6 ja 7.2.0 kuni 7.2.1, FortiProxy versioone 7.0.0 kuni 7.0.6 ja 7.2.0 ning FortiSwitchManager versioone 7.0.0 ja 7.2.0. Ettevõte soovitab uuendada tarkvara esimesel võimalusel versioonidele 7.0.7 või 7.2.2 (HN, BP, Tenable, Fortinet, BP).

Kes ja mida peaks tegema?

Kõik, kes kasutavad järgmisi Fortinet teenuseid peaks uuendama tarkvara esimesel võimalusel:

  • FortiOS – alates 7.0.0 kuni 7.0.6 ja alates 7.2.0 kuni 7.2.1
  • FortiProxy – alates 7.0.0 kuni 7.0.6 ja 7.2.0
  • FortiSwitchManager – 7.0.0 ja 7.2.0

Viga on parandatud FortiOS versioonides 7.0.7 ja 7.2.2, FortiProxy versioonides 7.0.7 ja 7.2.1 ning FortiSwitchManager versioonis 7.2.1.

Kuna turvaviga on võimalik kaugelt ära kasutada, siis on tootja sõnul tarkvara uuendamine eriti oluline. Fortinet kinnitas, et haavatavust on juba ründe läbiviimiseks ära kasutatud. Kui ei ole võimalik tarkvara uuendada, siis on Fortinet välja pakkunud ka ajutise lahenduse administratiivliidesele ligipääsu omavate IP-aadresside piiramise näol.

  • Google paikas mitu turvanõrkust Androidi platvormil

Google parandas 42 turvaviga Android operatsioonisüsteemis, mõned neist on hinnatud kriitiliseks kuna võimaldavad koodi kaugkäivitamist. Neli turvanõrkust hinnati kriitiliseks ehk kõrgemalt kui skooriga 9.0/10.0. Android operatsioonisüsteemi kasutavad Google mobiilseadmed nagu nutitelefonid ja -kellad ning tahvelarvutid. Seda kasutab umbes 70% kõigist mobiiltelefonidest (MB, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks üle kontrollima, kas nende mobiiltelefon, tahvelarvuti või muu seade pakub turvauuendust uuele versioonile. Kui võimalik, siis tuleks tarkvarauuendus alla laadida ja paigaldada. Google turvaparandused on rakendatud Androidi versioonides 10, 11, 12, 12L ja 13.

  • Zimbra teenuse kriitiline turvanõrkus

Zimbra Collaboration Suite (ZCS) tarkvaras avastati kriitiline turvanõrkus (CVE-2022-41352) skooriga 9.8/10.0, mida on ära kasutatud rünnete läbiviimiseks. Haavatavus võimaldab pahatahtlikku koodi kaugkäivitada ja hetkel sellele parandust ei ole, kuid ettevõte on koostanud juhise turvanõrkuse vältimiseks (BP, AT, Zimbra).

Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Kes ja mida peaks tegema?

Zimbra ei ole veel avaldanud turvapaika, kuid on olemas juhis turvavea mõjude leevendamiseks. Kõik Zimbra administraatorid peaks üle kontrollima, kas neil on serveris pax pakett installeeritud.

RIA analüüsi- ja ennetusosakond

Avastati kriitiline turvanõrkus Confluence’i tarkvaras

Uuendatud 6. juunil kell 12

Nimetus: CVE-2022-26134

Taust

2. juunil avalikustas Atlassian Confluence’i tarkvara mõjutava kriitilise nullpäeva turvanõrkuse CVE-2022-26134 , mille abil saab autentimata kasutaja haavatavas süsteemis teostada koodi kaugkäitust. Turvanõrkuse avastas üks küberturbeettevõte, kes analüüsis parasjagu kliendi küberintsidenti ja leidis, et selle käigus oli kasutatud just seda seniteadmata haavatavust[1]. Ettevõtte sõnul kasutavad tõenäoliselt mitmed Hiinaga seostatavad küberühmitused hetkel aktiivselt seda turvanõrkust haavatavate süsteemide ründamiseks. Need rühmitused ei ole ainsad, kes on üritanud haavatavust kuritarvitada, vaid haavatavate süsteemide kaardistamisega tegelevad ka paljud teised pahatahtlikud osapooled[2].

Võimalik mõju ja haavatavad süsteemid

Turvanõrkus võimaldab süsteemi paigaldada autentimata kasutajal näiteks veebikesta, mille abil saab anda täiendavaid pahaloomulisi käske. Käskude abil on potentsiaalselt võimalik varastada kompromiteeritud süsteemides leiduvaid andmeid, paigaldada täiendavat pahavara, liikuda lateraalselt edasi või krüpteerida haavatavad süsteemid sootuks.

Kui 03.06.2022 kella 16:00 seisuga ei olnud turvanõrkuse kontseptsiooni tõendus (POC) veel avalikult kättesaadav, siis õige pea avalikustati ka see[3]. Seetõttu on väga oluline, et mõjutatud süsteemide haldajad võtaksid arvesse järgnevas peatükis välja toodud vastumeetmeid ja soovitusi. Tootja on juba jõudnud väljastada ka osadele tarkvaraversioonidele turvapaigad, samuti ka info ajutiste vastumeetmete kohta, kui turvapaikade rakendamine ei ole kohe võimalik. Täpsemat informatsiooni leiate tootja ametlikult kodulehelt.

Haavatavad on Confluence Serveri ja Data Centeri kõik versioonid, mis on uuemad kui 1.3.0[4]. Tootja on seisuga 06.06.2022 09:30 väljastanud turvapaigad versioonidele 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 ja 7.18.1. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’i lehed.

Võimalikud vastumeetmed ja soovitused

  1. Rakendada turvapaik, kui see on kättesaadav. Täpsema informatsiooni leiate tootja kodulehelt.
  2. Kõikidele Confluence Server ja Data Center süsteemidele tuleks piirata internetist ligipääs, näiteks ACL reeglitega.
  3. Kui ligipääsu piiramine ei ole võimalik, tuleks Confluence Serveri ja Data Centeri süsteemide kasutamine ajutiselt peatada ning oodata seni, kuni tootja väljastab turvapaiga ja see rakendada.
  4. Soovitame enda veebirakenduse tulemüüri pakkujalt uurida, milliseid kaitsemeetmeid Confluence’i vastu suunatud rünnete kohta pakutakse. Kui te ei ole veebirakenduse tulemüüri kasutusele võtnud, soovitame seda teha.
  5. Tootja hinnangul võib ohtu vähendada ka spetsiaalse reegli rakendamine veebirakenduse tulemüüris, mis blokeerib kõik URLid, mis sisaldavad ${.
  6. Veenduge, et rakendatud oleks süsteemide logimine ja võimalus logisid ka võimaliku intsidendi korral kätte saada ja analüüsida. Võimalusel tuleks logide varundusi hoida eraldatud süsteemis.
  7. Soovitame tutvuda järgneva intsidendi analüüsiga siin ning uurida, kas märkate logidest artiklis välja toodud IOC-sid. Samuti on artiklis välja toodud Yara reeglid, mis aitavad tuvastada süsteemidest veebikestade olemasolu, mida selle konkreetse intsidendi jooksul kasutati.
  8. Haavatavate süsteemide kompromiteerumise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee
  9. Kuna turvanõrkuse kohta tuleb informatsiooni jooksvalt juurde, soovitame jälgida CERT-EE igahommikust uudiskirja, mis kajastab kõige olulisemaid kübermaailmaga seotud uudiseid. Kui te ei ole sellega veel liitunud, siis leiate liitumiseks vajaliku informatsiooni siit. Samuti soovitame aeg-ajalt uurida tootja ametlikku lehte siin.

[1] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[2] https://blog.cloudflare.com/cloudflare-observations-of-confluence-zero-day-cve-2022-26134/

[3] https://www.bleepingcomputer.com/news/security/exploit-released-for-atlassian-confluence-rce-bug-patch-now/

[4] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

3. juuni 2022 kella 16 seisuga ei ole turvanõrkuse kontseptsiooni tõendus (POC) veel avalikult kättesaadav. See vähendab küll veel hetkel haavatavuse laialdast kasutamist, kuid suure tõenäosusega avaldatakse kontseptsiooni tõendus ka lähiajal. Juhime samuti tähelepanu sellele, et selleks ajaks ei olnud tootja väljastanud turvapaika haavatavuse parandamiseks. Seetõttu on tähtis, et mõjutatud süsteemide haldajad võtaksid arvesse järgnevas peatükis välja toodud vastumeetmeid ja soovitusi.

Haavatav on Confluence Server versioon 7.18.0 ning Confluence Data Centeri versioonid 7.4.0 või uuemad[2]. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’i lehed [3].

Võimalikud vastumeetmed ja soovitused

  1. Kõikidele Confluence Server ja Data Center süsteemidele tuleb piirata internetist ligipääs, näiteks ACL reeglitega.
  2. Kui ligipääsu piiramine ei ole võimalik, tuleks Confluence Serveri ja Data Centeri süsteemide kasutamine ajutiselt peatada ning oodata seni, kuni tootja väljastab turvapaiga ja see rakendada.
  3. Kui kahte eelnevat soovitust ei ole võimalik järgida, siis võib tootja hinnangul ohtu vähendada ka spetsiaalse reegli rakendamine veebirakenduse tulemüüris, mis blokeerib kõik URLid, mis sisaldavad ${.
  4. Veenduge, et rakendatud oleks süsteemide logimine ja võimalus logisid ka võimaliku intsidendi korral kätte saada ja analüüsida. Võimalusel tuleks logide varundusi hoida eraldatud süsteemis.
  5. Kui tootja on turvapaiga kättesaadavaks teinud, tuleks see kohe rakendada.
  6. Soovitame tutvuda järgneva intsidendi analüüsiga siin ning uurida, kas märkate logidest artiklis välja toodud IOC-sid. Samuti on artiklis välja toodud Yara reeglid, mis aitavad tuvastada süsteemidest veebikestade olemasolu, mida selle konkreetse intsidendi jooksul kasutati.
  7. Haavatavate süsteemide kompromiteerumise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee
  8. Kuna turvanõrkuse kohta tuleb informatsiooni jooksvalt juurde, soovitame jälgida CERT-EE igahommikust uudiskirja, mis kajastab kõige olulisemaid kübermaailmaga seotud uudiseid. Kui te ei ole sellega veel liitunud, siis leiate liitumiseks vajaliku informatsiooni siit. Samuti soovitame aktiivselt jälgida jooksvalt uuendatavat blogi siin ning tootja ametlikku lehte siin.

[1] https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

[2] https://blog.cloudflare.com/cloudflare-customers-are-protected-from-the-atlassian-confluence-cve-2022-26134/

[3] https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html