Tag Archives: Atlassian

Olulisemad turvanõrkused 2023. aasta 49. nädalal

Androidi turvauuendused parandavad kriitilise turvavea

Androidi nutiseadmetes paigati 85 turvaviga. Nende hulgas on ka kriitiline koodi kaugkäivitamist võimaldav turvaviga (CVE-2023-40088), mis ei vaja kasutajapoolset tegevust haavatavuse edukaks kuritarvitamiseks. Samuti ei ole haavatavuse kuritarvitamiseks vaja kõrgendatud õiguseid. Teadaolevalt ei ole viga rünnete läbiviimisel veel ära kasutatud, kuid RIA soovitab Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (BC, SA, Android).

Atlassian parandas enda toodetes neli kriitilist turvaviga

Atlassian avaldas parandused nelja kriitilise koodi kaugkäitamise haavatavuse kohta, mis mõjutavad Confluence’i, Jira ja Bitbucketi tarkvaru. Kõik haavatavused said kriitilisuse skooriks vähemalt 9.0/10.0-st ja neid tähistatakse kui CVE-2023-22522, CVE-2023-22523, CVE-2023-22524 ja CVE-2022-1471. RIA soovitab esimesel võimalusel tarkvarad uuendada (HNAtlassian).

WordPressi administraatoritele saadetakse võltsitud turvauuenduste kirju

WordPressi haldajatele saadetakse võltsitud WordPressi turvateatisi fiktiivse haavatavuse kohta, et nakatada veebilehti pahatahtliku pistikprogrammiga. Kirja sisus on väidetud, et platvormil leiti kriitiline koodi kaugkäivitamist võimaldav viga ja selle parandamiseks tuleks alla laadida turvapaik. Kui lingile vajutada, siis suunatakse kasutaja kurjategijate loodud lehele, mis näeb välja identne õige WordPressi veebilehega (BC).

Lisaks paigati WordPressi uues versioonis 6.4.2 viga, mida on võimalik koos mõne teise haavatavusega ära kasutada pahatahtliku koodi kaugkäivitamiseks. Kõigil WordPressi kasutajatel on soovitatud tarkvara uuendada esimesel võimalusel, kuna haavatavuse tõttu on võimalik saada täielik kontroll veebilehe üle (SA, WordPress).

Tõsine Bluetoothi haavatavus võib lubada seadmetesse alla laadida pahaloomulisi rakendusi

Hiljutine turvahaavatavus CVE-2023-45866 mõjutab Androidi, Linuxi ja Apple’i seadmeid, võimaldades ründajatel sisestada klahvivajutused Bluetoothi turvavea kaudu. See viga võimaldab Bluetoothi levialas asuvatel ründajatel luua ühenduse tuvastatavate seadmetega ilma kasutaja kinnitust vajamata, võimaldades neil teha selliseid toiminguid nagu rakenduste installimine või käskude käivitamine. Haavatavus tuvastati esmalt macOS-is ja iOS-is, mõjutades isegi lukustusrežiimis (Lockdown Mode) olevaid seadmeid. Hiljem tuvastati see ka Androidis ja Linuxis (SW).

Mõjutatud on kõik Androidi versioonid alates versioonist 4.2.2. Google’i sõnul parandavad turvavea 2023. aasta detsembri turvauuendused (SW).

Kuigi Linuxi erinevatele distributsioonidele on parandus olemas juba 2020. aastast, on see tihti vaikimisi seades keelatud. Mõjutatud on Linuxi operatsioonisüsteemi kasutavad seadmed, mis on seatud olekusse avastatav/ühendatav (SW).

Lisaks on macOS ja iOS haavatavad, kui Bluetooth on lubatud ja Magic Keyboard on seadmes rakendatud. Sellisel juhul ei kaitse potentsiaalse ründe eest ka lukustusrežiim (Lockdown Mode) (SW).

USA valitsusasutuste vastu on üritatud ära kasutada Adobe ColdFusioni kriitilist turvanõrkust

Häkkerid on aktiivselt kasutanud Adobe ColdFusioni kriitilist turvaauku, mille tähistus on CVE-2023-26360, et tungida USA valitsusasutuste serveritesse. See haavatavus võimaldab ründajatel käivitada mis tahes koodi sihtmärgiks valitud serverites, mis kasutavad veebirakenduste arendusplatvormi Adobe ColdFusioni aegunud versioone. Turvaviga kasutati algselt nullpäeva haavatavusena, enne kui Adobe paranduse välja andis.

USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) on liigitanud antud häkkimiskatsed luuretegevuseks, mis tavaliselt hõlmavad teabe kogumist sihitud võrkude ja süsteemide kohta. CISA avalikustas föderaalasutustele ja osariikide teenistustele hoiatuse ja soovitused, et nad rakendaksid oma Adobe ColdFusioni tarkvaradele kohe saadaolevad turvavärskendused (CISA).

Riski maandamiseks ja võimalike ärakasutamiste eest kaitsmiseks soovitatakse ColdFusion uuendada uusimale saadaolevale versioonile. Lisaks soovitatakse rakendada võrgu segmenteerimist, kasutada tulemüüri ja/või veebirakenduste tulemüüri (WAF) ning kasutada nii palju kui võimalik mitmefaktorilist autentimist, et veelgi tugevdada kaitset selliste haavatavuste vastu (CISA).

5Ghoul-nimelised turvanõrkused mõjutavad 5G-modemeid

5Ghoul koondnimetusega haavatavused on turvanõrkused, mis leiti Qualcommi ja MediaTeki valmistatud 5G-modemites. Neid kasutatakse paljudes nutitelefonides, ruuterites ja USB-modemites. Teadlased avastasid 14 erinevat turvaprobleemi, millest kümmet on ka avalikkusega jagatud (SA).

Konkreetsed haavatavused võivad põhjustada teenuste töös tõrkeid või sundida mõjutatud seadmeid kasutama vähem turvalist võrku. Neid saab kuritarvitada haavatavatele seadmetele ilma füüsilist juurdepääsu omamata, imiteerides lihtsalt legitiimset 5G võrgusignaali. Mõned kriitilisemad haavatavused on tähistatud kui CVE-2023-33043, CVE-2023-33044 ja CVE-2023-33042 (SA).

Nii Qualcomm kui ka MediaTek on avaldanud turvahoiatused, mis käsitlevad avalikustatud 5Ghouli haavatavusi. Turvavärskendused tehti seadmemüüjatele kättesaadavaks kaks kuud tagasi. Tarkvara levitamise keerukuse tõttu, eriti Android-seadmetes, võib aga kuluda veidi aega, enne kui parandused turvavärskenduste kaudu lõppkasutajatele jõuavad. See tähendab, et kuigi nende haavatavuste jaoks on paigad olemas, sõltub nende juurutamine üksikutele seadmetele erinevatest teguritest, sealhulgas seadmete tootjatest ja konkreetsetest mõjutatud mudelitest (SA).

Sierra Wirelessi ruuterite turvanõrkused võivad mõjutada kriitilist infrastruktuuri

Turvanõrkused mõjutavad Sierra Wireless OT/IoT ruutereid ja võivad seetõttu ohustada kriitilist infrastruktuuri. Turvanõrkuste abil on võimalik autentimisest mööda minna, käivitada pahatahtlikku koodi ja teenuste tööd häirida. Sierra AirLink ruutereid kasutavad maailmas näiteks mitmed tööstusettevõtted ja hädaabiteenuse pakkujad oma kriitilise tähtsusega süsteemides. Kõigil kasutajatel soovitatakse üle minna ALEOS-i (AirLink Embedded Operating System) versioonile 4.17.0, kus vead on paigatud (BC, Forescout).

Olulisemad turvanõrkused 2023. aasta 44. nädalal

  • Confluence’i tarkvaras avastati kriitiline turvanõrkus

Atlassian teavitas eelmise nädala alguses, et nende Confluence’i tarkvaras on kriitiline turvanõrkus, mida tähistatakse kui CVE-2023-22518. Haavatavus võib potentsiaalselt lubada autentimata ründajatel, kes saavad saata mõjutatud Confluence’ile spetsiaalsete parameetritega päringuid, taastada konkreetse Confluence’i andmebaas ja lõpuks käivitada suvalisi süsteemikäske (PD). Atlassiani sõnul võib autentimata ründaja haavatavuse abil põhjustada kliendi Confluence’i keskkonnas andmekadu (Atlassian). Ettevõte andis 3. novembril ka teada, et nõrkust on üritatud aktiivselt kuritarvitada (Atlassian). RIA avaldas turvanõrkuse kohta käiva ülevaate 31. oktoobril enda blogis (RIA).

Atlassiani sõnul on turvavea vastu haavatavad kõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id.

Põhiliseks vastumeetmeks on uuendada Confluence ühele järgnevatest versioonidest:

7.19.16 või hilisem;
8.3.4 või hilisem;
8.4.4 või hilisem;
8.5.3 või hilisem;
8.6.1 või hilisem.

Ettevõtte ametlikus ohuteates on kirjeldatud ka alternatiivsed võimalused enda haavatavat Confluence’i kaitsta, kui uuendamine ei ole mingil põhjusel võimalik (Atlassian). Siiski tuleks prioritiseerida kaitsemeetmena uuendamist.

  • Microsoft Exchange’il avastati neli nullpäeva turvanõrkust

Microsoft Exchange Serveril avastati neli nullpäeva turvaauku, mida autentitud ründaja saab eemalt ära kasutada suvalise koodi käivitamiseks või haavatavatest süsteemidest tundliku teabe varastamiseks. Turvanõrkusi tähistatakse nelja erineva tähisega: ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 ja ZDI-23-1581. Microsofti sõnul on ZDI-23-1578 turvanõrkuse vastu kaitstud kõik kliendid, kes on rakendanud Exchange’ile augustikuu turvauuendused.  Teiste turvanõrkuste puhul on ründajal vaja kätte saada Exchange’i kasutava meilikonto kasutajatunnused, et turvavigu oleks võimalik kuritarvitada (BP).

  • Kriitilist Apache ActiveMQ turvaviga üritatakse lunavararünnakutes ära kasutada

Küberturbeekspertide sõnul on hiljutiste lunavararünnakute jaoks kasutatud Apache ActiveMQ kriitilist turvaauku, millest teatati 25. oktoobril ja mida tähistatakse kui CVE-2023-46604. Turvanõrkus võimaldab haavatavas süsteemis käivitada pahaloomulist koodi ja see üle võtta (TR).

Hiljuti avaldati ka üks analüüs, kus uuriti kaht rünnakut, mille käigus konkreetset turvanõrkust üritati kuritarvitada. Analüüsis leiti, et rünnakute käigus üritati süsteemid krüpteerida HelloKitty lunavaraga. Ekspertide hinnangu kohaselt olid aga krüpteerimiskatsed “kohmakad”, mis tähendas, et ründajatel ei õnnestunud isegi mitme katse käigus faile krüpteerida (Rapid7).

Turvaveast mõjutatud Apache ActiveMQ versioonid on järgnevad (Apache):

Kõik 5.18.x versioonid enne 5.18.3

Kõik 5.17.x versioonid enne 5.17.6

Kõik 5.16.x versioonid enne 5.16.7

Kõik versioonid, mis on vanemad kui 5.15.16

OpenWire Module 5.18.x versioonid enne 5.18.3

OpenWire Module 5.17.x versioonid enne 5.17.6

OpenWire Module 5.16.x versioonid enne 5.16.7

OpenWire Module 5.8.x versioonid enne 5.15.16

Kasutajatel soovitatakse uuendada mõjutatud tarkvara ühele järgnevatest versioonidest: 5.15.16, 5.16.7, 5.17.6 või 5.18.3.

  • Teadlased avastasid 34 haavatavat Windowsi draiverit

Teadlased avastasid 34 Windowsi draiverit, mida pahalased saavad kuritarvitada süsteemide kompromiteerimiseks. Mõnda neist haavatavatest draiveritest võivad kurjategijad kasutada näiteks arvuti mälu oluliste osade kustutamiseks (THN).

Haavatavate draiverite hulgas olid muuhulgas AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.M. rtif.sys, rtport.sys, stdcdrv64.sys ja TdkLib64.sys (THN).

34 draiverist kuus võimaldavad juurdepääsu kerneli mälule, mida saab siis kuritarvitada õiguste tõstmiseks või turbelahenduste kaotamiseks. Seitse draiverit, sealhulgas Inteli stdcdrv64.sys, saab kasutada püsivara kustutamiseks SPI-välkmälust, muutes süsteemi käivitamatuks (THN).

Eelnevat kirjeldatud ohtude eest kaitsmiseks on oluline hoida oma arvuti tarkvara ajakohasena (THN).

  • Ründajad kuritarvitavad F5 BIG-IP kriitilisi turvanõrkusi

Ründajad kuritarvitavad aktiivselt F5 BIG-IP kriitilist haavatavust, mis võimaldab neil käivitada süsteemikäske. Viga, mida jälgitakse kui CVE-2023-46747, võimaldab autentimata ründajal, kellel on BIG-IP-süsteemile võrgujuurdepääs halduspordi kaudu, käivitada pahaloomulist koodi (SW).

Turvanõrkusele on avalikustatud ka kontseptsiooni tõendus (PoC), mis suurendab kuritarvitamise tõenäosust.  Ründajad on antud kriitilist turvanõrkust kasutanud koos teise uue turvaveaga BIG-IP konfiguratsioonis, mida tähistatakse kui CVE-2023-46748 (SW).

26. oktoobril avalikustas F5 turvanõrkuste vastu parandused BIG-IP versioonide 13.x kuni 17.x jaoks ja kutsus kliente üles neid võimalikult kiiresti rakendama (SW).

Ettevõte on mõlema vea jaoks välja andnud ka vastavad indikaatorid (IoC), et aidata organisatsioonidel võimalikku kompromiteerimist tuvastada. F5 hoiatab siiski aga, et kõik kompromiteeritud süsteemid ei pruugi olla tuvastatavad avaldatud indikaatoritega ning osav ründaja võib enda tegevuse jäljed ka eemaldada.

Ründajad kasutavad turvaauke kombineeritult, seega võib enamiku rünnakute peatamiseks piisata samas ainult CVE-2023-46747 vastu avalikustatud turvaparanduse rakendamisest (SW). Siiski on soovituslik rakendada kõik avalikustatud turvaparandused.

  • Kubernetese jaoks mõeldud NGINX Ingress kontrolleri turvavead võivad lubada häkkeritel mandaate varastada

Kubernetese NGINX Ingressi kontrolleril on kolm turvaviga, mis võivad lubada häkkeril klastrist mandaate varastada. Need haavatavused võivad samuti võimaldada ründajal sisestada kontrolleri protsessi kahjulikku koodi ja saada volitamata juurdepääsu tundlikele andmetele. Üks haavatavustest, CVE-2022-4886, võimaldab ründajal varastada kontrollerist Kubernetese API mandaate.

Tarkvara arendajad on avalikustanud mõned viisid nende haavatavuste leevendamiseks, näiteks teatud valikute rakendamine või NGINX-i uuemale versioonile värskendamine (THN).

Kriitiline turvanõrkus CVE-2023-22518 Confluence’i tarkvaras

Lühikirjeldus

30. oktoobril avalikustas Atlassian, et Confluence’i tarkvara mõjutab kriitiline turvanõrkus CVE-2023-22518 (CVSS 9.1/10.0). Atlassiani kinnitusel võib autentimata ründaja haavatavuse abil põhjustada klientide Confluence’ides andmekadu (Atlassian). Samas ei ole ettevõtte hinnangul ründajal siiski võimalik turvanõrkuse abil haavatavatest süsteemidest andmeid välja viia.  Hetkel ei ole teada, et turvanõrkust oleks aktiivselt juba kuritarvitatud. Samuti ei ole 31. oktoobri seisuga ühtegi turvanõrkuse kontseptsiooni tõendust (PoCi) avalikustatud, mis tavaliselt turvavigade kuritarvitamise aktiivsust tõstab.

Milliseid süsteeme haavatavus mõjutab?

Atlassiani sõnul on turvavea vastu haavatavad kõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id[1].

Vastumeetmed ja soovitused

1) Esimesel võimalusel uuendada Confluence ühele järgnevatest versioonidest:

7.19.16 või hilisem;
8.3.4 või hilisem;
8.4.4 või hilisem;
8.5.3 või hilisem;
8.6.1 või hilisem.

2) RIA ei soovita hoida Confluence’i avalikul kujul internetist kättesaadavana, kuna see tõstab oluliselt küberründe toimumise tõenäosust. Seetõttu soovitame Confluence Server ja Data Center süsteemidele piirata internetist avalik ligipääs. Kui teie organisatsioon ise Confluence’i halduse eest ei vastuta, pöörduge selle sooviga teenusepakkuja poole.

3) Kompromiteerimise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee.

Atlassiani ametlik ohuteavitus:

https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

[1] Kui te pääsete Confluence’ile ligi domeeni atlassian.net kaudu, on see majutatud Atlassiani pilvekeskkonnas ja sellisel juhul ei ole teie Confluence selle turvanõrkuse suhtes haavatav.