Tag Archives: Azure

Olulisemad turvanõrkused 2024. aasta 6. nädalal

Ivanti teatas uuest turvanõrkusest

Ivanti teatas uuest kõrge kriitilisuse tasemega turvanõrkusest (CVE-2024-22024).  Turvanõrkus võib lubada autentimata juurdepääsu teatud ressurssidele. Haavatavus mõjutab ainult teatud versioone Ivanti tarkvaradest – Ivanti Connect Secure’i versioone 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1, Ivanti Policy Secure versiooni 22.5R1.1 ja ZTA versiooni 22.6R1.3. Ettevõte pakub mõjutatud tarkvaradele turvaparandusi ja soovitab need esimesel võimalusel rakendada.

Ivanti toodetega seotud turvanõrkustest on viimastel nädalatel räägitud palju, näiteks eelmise nädala uudiskirjas kajastasime, kuidas turvavigu tähistega CVE-2024-21888 ja CVE-2024-21893 üritatakse juba rünnete läbiviimiseks ära kasutada. Seetõttu on kõikidel vastavate tarkvarade kasutajatel ääretult oluline jälgida, kas nad on mainitud turvanõrkuste vastu haavatavad. Kui jah, tuleks esimesel võimalusel rakendada avalikustatud turvaparandused (SW, RIA, HN, BC, SA).

Fortinet hoiatab kriitliste turvanõrkuste eest FortiOSi ja FortiSIEMi tarkvarades

Mitmes Fortineti tarkvaras tulid avalikuks kriitilised turvavead. Näiteks leiti FortiOSi tarkvarast kaks kriitilist koodi kaugkäivitamise viga tähistega CVE-2024-21762 ja CVE-2024-23113, mida on ettevõtte sõnul juba rünnetes kuritarvitatud. Turvanõrkus võimaldab autentimata ründajatel käivitada haavatavates süsteemides suvalist koodi. Järgnevatest tabelitest näete, milliseid süsteeme mõlemad turvanõrkused mõjutavad, ja versioone, kus haavatavus on parandatud. Esimene tabel on seotud turvanõrkusega CVE-2024-21762 ja teine tabel turvanõrkusega CVE-2024-23113.

Versioon Mõjutatud Lahendus
FortiOS 7.6 Ei ole mõjutatud
FortiOS 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiOS 7.2 7.2.0 kuni 7.2.6 Uuendage versioonile 7.2.7 või uuemale
FortiOS 7.0 7.0.0 kuni 7.0.13 Uuendage versioonile 7.0.14 või uuemale
FortiOS 6.4 6.4.0 kuni 6.4.14 Uuendage versioonile 6.4.15 või uuemale
FortiOS 6.2 6.2.0 kuni 6.2.15 Uuendage versioonile 6.2.16 või uuemale
FortiOS 6.0 Kõik 6.0 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiProxy 7.2 7.2.0 kuni 7.2.8 Uuendage versioonile 7.2.9 või uuemale
FortiProxy 7.0 7.0.0 kuni 7.0.14 Uuendage versioonile 7.0.15 või uuemale
FortiProxy 2.0 2.0.0 kuni 2.0.13 Uuendage versioonile 2.0.14 või uuemale
FortiProxy 1.2 Kõik 1.2 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 1.1 Kõik 1.1 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 1.0 Kõik 1.0 versioonid Uuendage ühele eelnevalt mainitud versioonile.
CVE-2024-21762 turvanõrkusest mõjutatud Fortineti tarkvarade versioonid
Versioon Mõjutatud Lahendus
FortiOS 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiOS 7.2 7.2.0 kuni 7.2.6 Uuendage versioonile 7.2.7 või uuemale
FortiOS 7.0 7.0.0 kuni 7.0.13 Uuendage versioonile 7.0.14 või uuemale
FortiPAM 1.2 1.2.0 Uuendage versioonile 1.2.1 või uuemale.
FortiPAM 1.1 1.1.0 kuni 1.1.2 Uuendage versioonile 1.1.3 võ uuemale
FortiProxy 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiProxy 7.2 7.2.0 kuni 7.2.8 Uuendage versioonile 7.2.9 või uuemale
FortiProxy 7.0 7.0.0 kuni 7.0.14 Uuendage versioonile 7.0.15 või uuemale
FortiSwitchManager 7.2 7.2.0 kuni 7.2.3 Uuendage versioonile 7.2.4 või uuemale versioonile
FortiSwitchManager 7.0 7.0.0 kuni 7.0.3 Uuendage versioonile 7.0.4 või uuemale versioonile
CVE-2024-23113 turvanõrkusest mõjutatud Fortineti tarkvarade versioonid

Lisaks avastati Fortineti FortiSIEMi tarkvaras samuti kaks kriitilist turvaviga, mille kaudu on võimalik pahaloomulist koodi käivitada. Haavatavused on tähistega CVE-2024-23108 ja CVE-2024-23109 ning on hinnatud suurima võimaliku CVSS skooriga 10/10.

Turvanõrkused on parandatud järgnevates FortiSIEMi versioonides:

FortiSIEMi versioon 7.1.2 või hilisem

FortiSIEMi versioon 7.2.0 või hilisem

FortiSIEMi versioon 7.0.3 või hilisem

FortiSIEMi versioon 6.7.9 või hilisem

FortiSIEMi versioon 6.6.5 või hilisem

FortiSIEMi versioon 6.5.3 või hilisem

FortiSIEMi versioon 6.4.4 või hilisem

Soovitame kõikidel, kes mõjutatud tarkvarasid kasutavad, turvauuendused esimesel võimalusel rakendada, sest haavatavad Fortineti süsteemid on tihti olnud ründajate sihtmärkideks (BC, BC, Fortinet, Fortinet).

Androidile avalikustatud tarkvarauuendus parandab kriitilise turvavea

Google on kõrvaldanud Androidi operatsioonisüsteemil 2024. aasta veebruari turvaparandustega 46 turvaauku, sealhulgas kriitilise koodi kaugkäitusega seotud vea (CVE-2024-0031), mis mõjutab Androidi versioone 11–14. See konkreetne süsteemi komponendis leitud viga võib anda ründajatele võimaluse koodi kaugkäivitada ilma kõrgendatud õiguseid omamata. Turvaparandused kõrvaldavad ka muid õiguste tõstmise ja võimalike andmeleketega seotud turvavigu. Uuenduste olemasolul soovitame need esimesel võimalusel rakendada (SW).

Avastatud turvanõrkuste hulk kasvas neljandat aastat järjest

Qualyse avaldatud ülevaatest selgub, et avastatud turvanõrkuste koguhulk kasvas 2023. aastal neljandat aastat järjest, ulatudes ligi 26 500ni. See number on 1500 võrra suurem kui 2022. aastal. Lisaks juhiti raportis tähelepanu sellele, et:

  • Vähem kui üks protsent haavatavustest olid suurima võimaliku riskiskooriga, kuid neid kuritarvitati siiski aktiivselt.
  • 97 kõrge riskiskooriga turvaauku, mida tõenäoliselt ära kasutatakse, ei kuulunud CISA ärakasutatud haavatavuste (KEV) andmekataloogi.
  • 25 protsenti nendest turvaaukudest üritati ära kasutada samal päeval, kui haavatavus ise avalikustati.
  • 1/3 kõrge riskiskooriga haavatavustest mõjutasid võrguseadmeid ja veebirakendusi.

Täpsemalt saab ülevaatega tutvuda siin.

Canoni printeritel parandati seitse kriitilist turvanõrkust

Canon on värskendanud printerite tarkvara, et parandada seitse kriitilist turvaauku erinevates kontorite jaoks mõeldud printerites. Turvanõrkused võivad võimaldada pahaloomulist koodi käivitada või printerite tööd häirida, kui need on otse internetiga ühendatud. Turvanõrkused mõjutavad printerite püsivara versiooni 03.07 ja varasemaid versioone. Ettevõte ei ole teadlik, et haavatavusi oleks suudetud ära kasutada, kuid palub printerite kasutajatel siiski seadmed esimesel võimalusel uuendada (Canon, SW).

Microsoft Azure’i HDInsight teenusel leiti kolm uut turvaviga

Teadlased leidsid Microsoft Azure’i HDInsighti teenuses kolm uut turvaviga, mis mõjutavad jõudlust ja võivad lubada volitamata kontrolli mõjutatud süsteemide üle. Üks haavatavus võib põhjustada teenuste töös tõrkeid ja kahe abil on võimalik suurendada mõjutatud süsteemis kasutajaõigusi või saada ligipääs tundlikele andmetele. Turvanõrkustele on olemas parandused, kuid HDInsight teenuse eripära tõttu on paranduste rakendamiseks vaja luua uusima versiooniga uus klaster (DR).

Cisco parandas võrguseadmetel kriitilised turvanõrkused

Cisco on parandanud Cisco Expresswayd kasutavatel võrguseadmetel kolm haavatavust, mis lubavad ründajatel petta legitiimseid kasutajaid tegema muudatusi, mida nad ei kavatsenud teha, nagu volitamata kasutajate lisamine või seadete muutmine seda mõistmata. Antud haavatavused on eriti salakavalad, kuna need tuginevad legitiimsete kasutajate usalduse ja lubade väärkasutamisel. Cisco soovitab mõjutatud seadmete kasutajatel värskendada need uusimale versioonile, et kaitsta end võimalike küberrünnakute eest (BP).

Olulised turvanõrkused 2023. aasta 13. nädalal

Apple paikas WebKiti nullpäeva turvanõrkuse ka vanemates seadmetes

Eelmisel kuul avalikustati ja paigati nullpäeva turvanõrkus (CVE-2023-23529) uuematel iPhone’i nutitelefonidel ja iPadi tahvelarvutitel. Nüüd on see turvapaik saadaval ka vanematele mudelitele. Apple’i kinnitusel on haavatavust kuritarvitatud ning ründajatel on võimalik kompromiteeritud seadmes käivitada pahatahtlikku koodi (BP).

Kes ja mida peaks tegema?

Turvaviga on parandatud iOSi ja iPadOSi versioonides 15.7.4, mida pakutakse järgnevatele mudelitele:

iPhone 6s;
iPhone 7;
iPhone SE (esimene generatsioon);
iPad Air 2;
iPad mini (neljas generatsioon);
iPod touch (seitsmes generatsioon).

Soovitame kõigil, kes mainitud seadmeid kasutavad, uus versioon esimesel võimalusel rakendada.

Apple parandas uute iOSi, iPadOSi ja macOSi versioonidega mitukümmend turvaviga

Apple avalikustas iOS-ist ja iPad OS-ist uue versiooni tähisega 16.4, mis parandab 33 haavatavust. Samuti avalikustati uued macOSi versioonid. MacOS Ventura 13.3 parandab peaaegu 60 haavatavust, macOS Monterey 12.6.4 ja Big Sur 11.7.5 aga enam kui 25 haavatavust. Mõned parandatud vead on üsna tõsised, kuigi teadaolevalt pole ühtegi haavatavust rünnakutes ära kasutatud. Märkimisväärsemad vead on seotud Safari brauseri WebKiti tarkvaraga ja ka iPhone’i operatsioonisüsteemi kerneliga. Kaks kerneliga seotud nõrkust CVE-2023-27969 ja CVE-2023-27933 võivad lubada ründajal koodi käivitada (SW).

Kes ja mida peaks tegema?

Kui te kasutate tooteid, mis kasutavad iOSi, iPad OSi või macOSi, kontrollige uuenduste olemasolu ja rakendage need esimesel võimalusel.

WordPressi pistikprogrammi turvanõrkus ohustab miljoneid veebilehti

WordPressi pistikprogrammil Elementor Pro avastati kõrge mõjuga haavatavus, mida aktiivselt kuritarvitatakse. Autentitud ründaja saab turvanõrkust ära kasutada administraatorikonto loomiseks, mille abil on teoreetiliselt võimalik haavatav veebileht täielikult üle võtta. Turvaviga mõjutab veebilehte, kui kasutatakse Elementor Pro nimelist pistikprogrammi koos WooCommerce’i lahendusega (SA, NinTechNet).

Kes ja mida peaks tegema?

Kõik Elementor Pro pistikprogrammid, mis kasutavad versiooni 3.11.6 või vanemat, on haavatavad. Kui te seda pistikprogrammi kasutate, uuendage see esimesel võimalusel kõige uuemale versioonile.

WiFi protokolli viga võimaldab ründajatel võrguliiklust pealt kuulata

IEEE 802.11 WiFi protokolli standardis avastati turvanõrkus. Nimelt sisaldab IEEE 802.11 standard energiasäästumehhanisme, mis võimaldavad WiFi-seadmetel energiat säästa, puhverdades või seades järjekorda puhkeolekus olevate seadmete jaoks mõeldud andmeid. Standard ei anna aga selgeid juhiseid nende järjekorras olevate andmete turvalise haldamise kohta ega sea piiranguid, näiteks seda, kui kaua võivad andmed selles olekus püsida. Turvaviga mõjutab nii Linuxi, FreeBSD, iOSi kui ka Androidi seadmeid ning võimaldab kaaperdada TCP ühendusi või veebiliiklust pealt kuulata. Täpsem nimekiri mõjutatud seadmetest ja ülevaade turvanõrkusest on viidatud lingil (BC).

Microsoft paikas Azure’i mõjutanud turvanõrkuse

Microsoft parandas konfiguratsioonivea, mis mõjutas Azure Active Directory pääsuhaldusteenust. Turvaviga võimaldas mitmetel rakendustel volitamata juurdepääsu. Üks neist rakendustest oli sisuhaldussüsteem, mis toetab Bingi otsingumootorit. Vea abil ei olnud mitte ainult võimalik muuta otsingutulemusi, vaid käivitada ka suure mõjuga XSS-rünnakuid Bingi kasutajate vastu. Selliste rünnakute abil oleks olnud võimalik kompromiteerida kasutajate isikuandmeid, sealhulgas Outlooki e-kirju ja SharePointi dokumente (HN). 


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 3. nädalal

GitLab paikas kaks kriitilist turvanõrkust

Kaks kriitilist turvaviga (CVE-2022-41903 ja CVE-2022-23521) võimaldavad koodi kaugkäitust. CVE-2022-23521 nõrkust saab ära kasutada juhul, kui sihtmärk kloonib või uuendab failide hoiukohti (repositooriumeid). CVE-2022-41903 nõrkust on võimalik ära kasutada näiteks juhul, kui arhiveeritakse Giti hoidlaid (X41).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud Giti versioonis 2.39.1 ning Gitlab Community Edition ja Enterprise Edition versioonides 15.7.5, 15.6.6 ja 15.5.9. Nende tarkvarade kasutajatel soovitame kindlasti vastavad uued versioonid rakendada. Täpsemalt saate nõrkuste kohta lugeda GitLabi kodulehelt (GitLab).


Sudo redigeerimisfunktsioonil avastati turvanõrkus

18. jaanuaril avalikustati, et sudo redigeerimisfunktsioonil (sudo -e aka sudoedit) on turvaviga, mille abil on pahaloomulisel kasutajal võimalik teatud tingimustel muuta faile, mida tavaolukorras ei lubaks sudo poliitika muuta. Sudo funktsiooni kasutatakse laialdaselt Linuxi distributsioonides. Selle funktsiooni kasutamist reguleerib fail (sudoers), kus on välja toodud failide muutmisõigused kasutajapõhiselt. Turvanõrkust saab ära kasutada juhul, kui pahaloomulisel kasutajal on võimalik käivitada süsteemis sudoedit (Sudo).

Kes ja mida peaks tegema?

Turvaviga mõjutab sudo versioone 1.8.0 kuni 1.9.12p1 (kaasaarvatud). Kõik versioonid, mis on vanemad kui 1.8.0, ei ole nõrkuse vastu haavatavad. Nõrkus on parandatud ka sudo versioonis 1.9.12p2.


OpenTexti tarkvaras paigati mitu turvaviga

OpenTexti sisuhaldustarkvaras paigati mitu haavatavust. Nendest üks CVE-2022-45923 võimaldab autentimata ründajal käivitada haavatavas tarkvaras pahaloomulist koodi. CVE-2022-45927 lubab aga ründajal autentimisest mööda pääseda ja teeb pahaloomulise koodi käivitamise haavatavas süsteemis seeläbi lihtsamaks. Lisaks avastati veel viite tüüpi turvanõrkuseid (Sec-Consult).

Kes ja mida peaks tegema?

Turvavead on paigatud OpenTexti sisuhaldustarkvara versioonis 22.4, mille soovitame tarkvara kasutamise korral rakendada.


Cisco paikas kõrge mõjuga turvanõrkuse

Turvanõrkuse CVE-2023-20010 abil on ründajal võimalik teostada SQL-süsti (SQL injection) ehk rünnata andmebaasipõhist rakendust. Haavatavus tuleneb sellest, et veebiliidesed ei suuda korrektselt kontrollida kasutajate sisendit. Haavatavust on hinnatud kriitilisuse skooriga 8.1/10.0. Turvanõrkusest on mõjutatud Cisco toodete Unified Communications Manager (CM) ja  Unified Communications Manager Session Management Edition (CM SME) veebiliidesed. Õnnestunud ründe korral on ründajal võimalik lugeda või muuta andmebaasipõhise rakendusega seotud infot või suurendada haavatavas keskkonnas enda õiguseid (Cisco).

Kes ja mida peaks tegema?

Turvanõrkused on parandatud tarkvarauuendustega. Tutvuge tootja kodulehel avaldatud juhistega ja uuendage vajadusel mõjutatud tarkvara (Cisco).


Neli Azure’i teenust olid haavatavad SSRF tüüpi nõrkuste vastu

Eelmisel nädalal avalikustatud analüüsi kohaselt olid neli Azure’i teenust (Azure API Management, Azure Functions, Azure Machine Learning ja Azure Digital Twins) haavatavad SSRF (server side request forgery) tüüpi turvanõrkuste vastu.  Sealjuures õnnestus analüüsi autoritel kahte turvanõrkust ära kasutada nii, et nad ei pidanud end selleks autentima. SSRF tüüpi nõrkuste puhul on tegu haavatavustega, mis võimaldavad ründajal kuritarvitada veebirakendust ja esitada päringuid sisemiste ressursside lugemiseks, värskendamiseks või nende edastamiseks välistele allikatele[1].

Konkreetsed turvanõrkused lubasid teoreetiliselt skaneerida lokaalseid porte, ja tuvastada uusi teenuseid ning faile ehk koguda informatsiooni, mis ei tohiks olla avalikult kättesaadav. Turvanõrkustest anti Microsoftile teada ja need parandati kiiresti (Orca).


RIA analüüsi- ja ennetusosakond