Tag Archives: Atlassian

Olulised turvanõrkused 2023. aasta 38. nädalal

Eelmisel nädalal kajastati, kuidas Apple paikas kolm nullpäeva turvanõrkust. Turvanõrkused mõjutavad mitmeid Apple’i tooteid, turvauuendused on tootja väljastanud. Lisaks Apple’ile avalikustasid turvapaigad veel mitmed ettevõtted, sh Fortinet, GitLab, Atlassian jpt. Kõik olulisemad uudised on lühidalt välja toodud järgnevas kokkuvõttes.

  • Apple paikas kolm uut nullpäeva turvanõrkust

Apple avalikustas turvauuendused, et parandada kolm uut nullpäeva turvaviga. Turvavigu on tootja sõnul rünnakutes juba ära kasutatud. Haavatavused lubavad ründajatel käivitada pahaloomulist koodi ohvri seadmes, kui ohver külastab selleks otstarbeks loodud veebilehte, samuti on võimalik ühe nullpäeva turvanõrkuse abil haavatavas süsteemis õigusi suurendada. Konkreetsed nõrkused on parandatud operatsioonisüsteemides macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ja watchOS 9.6.3/10.0.1. Soovitame uuendused rakendada esimesel võimalusel (BP, Apple, Apple).

  • GitLab paikas kriitilise turvanõrkuse

GitLab paikas kriitilise turvavea (CVE-2023-4998), mis mõjutab tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versioone 13.12 kuni 16.2.7 ja 16.3 kuni 16.3.4. Turvaviga on hinnatud CVSS skooriga 9.6/10. Haavatavus on parandatud GitLab Community Edition ja Enterprise Edition versioonides 16.3.4 ning 16.2.7. Ettevõtte soovitab viivitamatult uuendada GitLabi tarkvara uuele versioonile (BC, Gitlab).

  • Fortinet paikas kõrge mõjuga turvavead oma toodetes

Turvanõrkus (CVE-2023-29183) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahaloomulist JavaScripti koodi käivitada. Turvaviga mõjutab FortiOSi versioone 6.2.x, 6.4.x, 7.0.x ja 7.2.x ning FortiProxy versioone 7.2.x ja 7.0.x. Teine kõrge mõjuga haavatavus (CVE-2023-34984) mõjutab FortiWebi versioone 6.3, 6.4, 7.0.x ja 7.2.x. Tarkvarade kasutajad peaksid esimesel võimalusel veenduma, et vastavad turvauuendused on rakendatud (SW, Fortinet, Fortinet).

  • Atlassian paikas neli turvanõrkust

Atlassian avalikustas turvauuendused neljale haavatavusele, mis mõjutavad kas Jira, Confluence’i, Bitbucketi või Bamboo tarkvara. Kõige tõsisemat haavatavust märgitakse tähisega CVE-2023-22513 (CVSS skoor 8.5/10.0) ja selle abil on autentitud ründajal võimalik käivitada haavatavas Bitbucketi süsteemis pahaloomulist koodi. Turvanõrkus on parandatud Bitbucketi versioonides 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 ja 8.14.0 (SW, Atlassian).

  • Tuhandeid Juniperi võrguseadmeid ohustab kriitiline turvanõrkus

Hinnanguliselt 12 000 Juniperi SRX-tulemüüri ja EX switchi on haavatavad koodi kaugkäivitamise vea suhtes, mida autentimata ründajad saavad ära kasutada. Vead tähistega CVE-2023-36845 ja CVE-2023-36846 avaldati juba augustis, kuid siis polnud teada, et nende koosmõjul tekib kriitiline haavatavus. Tootja soovitab kõigil mõjutatud Juniperi seadmete kasutajal uuendada tarkvara esimesel võimalusel, kuna haavatavuse kaudu võib saada ründaja ligipääsu ohvri võrgule. Täpsem loetelu mõjutatud seadmetest on lisatud linkidel (BC, Juniper).

Olulised turvanõrkused 2023. aasta 5. nädalal

Illustratsioon: Andres Varustin

QNAP palub uuendada NAS-seadmete tarkvara

QNAP avalikustas eelmisel nädalal uued versioonid QTSi ja QuTSi tarkvaradest, mis parandavad ühe kriitilise turvanõrkuse (CVE-2022-27596). Turvanõrkus mõjutab QNAPi NAS-seadmeid. Ründaja saab haavatavust ära kasutada, et paigaldada seadmetele pahavara. Sealjuures ei pea ründajal olema turvavea ärakasutamiseks süsteemis õiguseid ja selleks ei ole vaja ka kasutajapoolset tegevust (SA).

NAS-seadmed on ründajatele ajalooliselt palju huvi pakkunud ning eelkõige neile, kes korraldavad lunavararünnakuid. Näiteks mullu septembris kirjeldati, kuidas DeadBolti lunavaraga olid nakatunud tuhanded taolised seadmed (ArsTechnica). 

Kes ja mida peaks tegema?

Turvanõrkus mõjutab QNAPi seadmeid, mis kasutavad QTS 5.0.1 või QuTS hero h5.0.1 tarkvara. Haavatavus on parandatud tarkvarades:

  • QTS 5.0.1.2234 build 20221201 ja uuem
  • QuTS hero h5.0.1.2248 build 20221215 ja uuem

Atlassian parandas Jiral kriitilise turvanõrkuse

Eelmisel nädalal teatas Atlassian, et Jira Service Managementil on parandatud kriitiline turvanõrkus CVE-2023-22501 (9.4/10.0). Ründajal on võimalik turvanõrkuse abil teatud tingimustel saada teenusele ligipääs. Kui Jira Service Management on konfigureeritud nii, et väljaminevad kirjad on lubatud ja ründajal on ka kirjutamisõigused kasutaja kataloogi, saab ta kompromiteerida teised kasutajad, kellele on registreerimise jaoks mõeldud tokenid saadetud, kuid kes ei ole kunagi sisse loginud (Atlassian).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab Jira Service Management and Data Center versioone 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1, 5.5.0.

Turvanõrkus on parandatud versioonides 5.3.3, 5.4.2, 5.5.1,5.6.0 ning uuemates versioonides.

Häkkeritel on võimalik segada teatud elektriautode laadijate tööd

Eelmisel nädalal avaldati raport, mis tõi välja, et ründajatel on võimalik teatud OCPP (Open Charge Point Protocol) standardi versiooni kasutavate elektriautode laadijate tööd segada või varastada andmeid. OCPP abil suhtlevad laadimispunktid keskhaldussüsteemidega ja seda protokolli kasutatakse maailmas laialdaselt (SF).

Analüüsi kohaselt on OCPP-l kaks nõrkust – esiteks tekivad probleemid siis, kui laadimispunkt peab tegelema rohkem kui ühe ühendusega korraga. Ründajad võivad seetõttu segada algset laadimispunkti ja keskhaldusüsteemi vahelist ühendust, avades veel ühe täiendava ühenduse. Uurimus leidis, et enamik turul olevaid keskhaldussüsteeme käituvad sellises olukorras kahel erineval viisil. Ühed lõpetavad esialgse ühenduse, mistõttu ei ole kliendil võimalik enam autot laadida, teised hakkavad kasutama pahaloomulist ühendust ja ei suhtle enam esialgse ühendusega (kuid ei katkesta seda) (SF).

Teise nõrkusena tõid analüüsi autorid välja puudused autentimises. Nimelt on vastavalt OCPP protokolli standardi 1.6J versioonile keskhaldussüsteemidel kolm võimalust, kuidas laadimispunkte identifitseerida – laadimispunkti ID järgi, ID ja kasutajatunnuste kaudu või ID ja sertifikaadi kaudu. Kui kasutatakse esimest meetodit (ainult laadimispunkti ID järgi), on ründajal võimalik ühendus üle võtta ja tegutseda näiliselt kompromiteeritud laadimispunkti nimel (SF).  

Analüüs leidis ka, et enamikel juhtudel tuvastavadki keskhaldussüsteemid laadimispunkte ainult ID-põhiselt. Sellest tulenevalt eksisteerib raporti autorite sõnul ka oht, et ründaja võib häirida jõuründe (brute-force) abil paljude keskhaldussüteemi kasutavate laadijate tööd, kui laadimispunktid loovad OCPP ühenduse keskhaldusüsteemiga ja laadimispunktide identifitseerimine toimub mingi kindla URLi parameetri kaudu (SF).

Pikemalt saab avastatud nõrkustest lugeda siit.

mastodoni ja Atlassiani logod kõrvuti-

Olulised turvanõrkused 2022. aasta 46. nädalal

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Eelmisel nädalal avalikustas Mozilla Firefoxi veebilehitseja uue versiooni, milles on parandatud 19 turvaviga, k.a üheksa kõrge mõjuga haavatavust (SW). Nende üheksa haavatavuse abil võib ründajal õnnestuda hankida teatud laadi teavet kasutaja kohta ja häirida rakenduse tööd. Nimekirja parandatud vigadest leiate siit.

Kes ja mida peaks tegema?

Turvavead on paigatud Firefoxi versioonis 107. Kui te Firefoxi kasutate, on soovituslik uuendada veebilehitseja esimesel võimalusel. Juhised, kuidas seda teha, leiate siit.

Atlassian parandas kriitilised turvavead

Atlassian parandas oma toodetes Crowd Server and Data Center ja Bitbucket Server and Data Center kriitilised turvavead CVE-2022-43782 (9.0/10.0) ja CVE-2022-43781 (9.0/10.0) (BP).

CVE-2022-43782 põhineb konfiguratsiooniveal, mis võimaldab ründajal kõrvale hiilida parooli kontrollmehhanismidest. Nõrkuse kuritarvitamine on siiski võimalik ainult teatud tingimustel.

Näiteks, kui te uuendasite Crowdi süsteemi versioonilt 2.9.1 versioonini 3.0.0 või uuemale, siis see ei ole haavatav. Kui te paigaldasite kohe haavatava versiooni 3.0.0 või sellest uuema versiooni ning varem ühtegi vanemat versiooni tarkvarast ei kasutanud, on teie Crowdi tarkvara siiski mõjutatud. Samuti on nõrkuse ärakasutamise jaoks vajalik, et ründaja IP-aadress oleks lisatud rakenduse Remote Address konfiguratsiooni (versioonide 3.0.0 ja uuemate puhul ei ole vaikimisi seal ühtegi IP-aadressi). Haavatavus mõjutab Crowd Serveri versioone 3.0.0 kuni 3.7.2, 4.0.0 kuni 4.4.3 ja 5.0.0 kuni 5.0.2.

CVE-2022-43781 mõjutab seevastu Bitbucket Server and Data Center tarkvara ja võimaldab ründajatel potentsiaalselt käivitada pahaloomulist koodi haavatavates süsteemides. Turvanõrkuse vastu on mõjutatud süsteemid, mis kasutavad tarkvaraversiooni 7.0-7.21 või teatud eelduse korral (kui mesh.enabled=false) versiooni 8.0-8.4.

Kes ja mida peaks tegema?

Kui te kasutate neid mõjutatud versiooniga tarkvarasid, lähtuge tootjapoolsetest juhistest siin ja siin ning rakendage vajalikud uuendused ja/või kaitsemeetmed.

Infoturbeteemasid kajastavas Mastodoni keskkonnas oli tõsine turvaviga

Novembris avastati, et populaarsust koguvas infoturbeteemasid käsitlevas Mastodoni keskkonnas oli nõrkus, mille põhjustas ebaefektiivne HTML-sisendi filtreerimine. Nõrkuse abil saanuks varastada näiteks keskkonna kasutajate kasutajatunnuseid (Portswigger).

Mastodoni hinnangul oli nõrkus ainult selle keskkonna põhine, kuid sellest hoolimata väljastati uued tarkvara versioonid 4.0.1, 3.5.5 ja 3.4.10, milles on vajalikud parandused tehtud.

Pikemalt saab nõrkuse üksikasjade kohta lugeda siit.

Samba paikas koodi käivitamist võimaldava turvavea

Turvaviga CVE-2022-42898 mõjutab erinevaid Samba versioone ja peitub S4U2proxy teenuses. Nõrkus võimaldab ründajal viia mõjutatud süsteem spetsiifilise olukorrani (integer overflow), mille tõttu lakkab süsteem töötamast või õnnestub ründajal seal käivitada pahaloomulist koodi. Haavatavad on ainult 32-bitised süsteemid. Tootja hinnangul on enim ohustatud KDC (Key Distribution Center) serverid. Mõjutatud on kõik Samba versioonid, mis on vanemad kui 4.15.12, 4.16.7 või 4.17.3 (SW).

Kes ja mida peaks tegema?

Samba kasutajad peaksid tutvuma tootjapoolse informatsiooniga siin ja rakendama vajalikud turvapaigad. 

RIA analüüsi- ja ennetusosakond