Tag Archives: bluetooth

Olulisemad turvanõrkused 2023. aasta 49. nädalal

Androidi turvauuendused parandavad kriitilise turvavea

Androidi nutiseadmetes paigati 85 turvaviga. Nende hulgas on ka kriitiline koodi kaugkäivitamist võimaldav turvaviga (CVE-2023-40088), mis ei vaja kasutajapoolset tegevust haavatavuse edukaks kuritarvitamiseks. Samuti ei ole haavatavuse kuritarvitamiseks vaja kõrgendatud õiguseid. Teadaolevalt ei ole viga rünnete läbiviimisel veel ära kasutatud, kuid RIA soovitab Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (BC, SA, Android).

Atlassian parandas enda toodetes neli kriitilist turvaviga

Atlassian avaldas parandused nelja kriitilise koodi kaugkäitamise haavatavuse kohta, mis mõjutavad Confluence’i, Jira ja Bitbucketi tarkvaru. Kõik haavatavused said kriitilisuse skooriks vähemalt 9.0/10.0-st ja neid tähistatakse kui CVE-2023-22522, CVE-2023-22523, CVE-2023-22524 ja CVE-2022-1471. RIA soovitab esimesel võimalusel tarkvarad uuendada (HNAtlassian).

WordPressi administraatoritele saadetakse võltsitud turvauuenduste kirju

WordPressi haldajatele saadetakse võltsitud WordPressi turvateatisi fiktiivse haavatavuse kohta, et nakatada veebilehti pahatahtliku pistikprogrammiga. Kirja sisus on väidetud, et platvormil leiti kriitiline koodi kaugkäivitamist võimaldav viga ja selle parandamiseks tuleks alla laadida turvapaik. Kui lingile vajutada, siis suunatakse kasutaja kurjategijate loodud lehele, mis näeb välja identne õige WordPressi veebilehega (BC).

Lisaks paigati WordPressi uues versioonis 6.4.2 viga, mida on võimalik koos mõne teise haavatavusega ära kasutada pahatahtliku koodi kaugkäivitamiseks. Kõigil WordPressi kasutajatel on soovitatud tarkvara uuendada esimesel võimalusel, kuna haavatavuse tõttu on võimalik saada täielik kontroll veebilehe üle (SA, WordPress).

Tõsine Bluetoothi haavatavus võib lubada seadmetesse alla laadida pahaloomulisi rakendusi

Hiljutine turvahaavatavus CVE-2023-45866 mõjutab Androidi, Linuxi ja Apple’i seadmeid, võimaldades ründajatel sisestada klahvivajutused Bluetoothi turvavea kaudu. See viga võimaldab Bluetoothi levialas asuvatel ründajatel luua ühenduse tuvastatavate seadmetega ilma kasutaja kinnitust vajamata, võimaldades neil teha selliseid toiminguid nagu rakenduste installimine või käskude käivitamine. Haavatavus tuvastati esmalt macOS-is ja iOS-is, mõjutades isegi lukustusrežiimis (Lockdown Mode) olevaid seadmeid. Hiljem tuvastati see ka Androidis ja Linuxis (SW).

Mõjutatud on kõik Androidi versioonid alates versioonist 4.2.2. Google’i sõnul parandavad turvavea 2023. aasta detsembri turvauuendused (SW).

Kuigi Linuxi erinevatele distributsioonidele on parandus olemas juba 2020. aastast, on see tihti vaikimisi seades keelatud. Mõjutatud on Linuxi operatsioonisüsteemi kasutavad seadmed, mis on seatud olekusse avastatav/ühendatav (SW).

Lisaks on macOS ja iOS haavatavad, kui Bluetooth on lubatud ja Magic Keyboard on seadmes rakendatud. Sellisel juhul ei kaitse potentsiaalse ründe eest ka lukustusrežiim (Lockdown Mode) (SW).

USA valitsusasutuste vastu on üritatud ära kasutada Adobe ColdFusioni kriitilist turvanõrkust

Häkkerid on aktiivselt kasutanud Adobe ColdFusioni kriitilist turvaauku, mille tähistus on CVE-2023-26360, et tungida USA valitsusasutuste serveritesse. See haavatavus võimaldab ründajatel käivitada mis tahes koodi sihtmärgiks valitud serverites, mis kasutavad veebirakenduste arendusplatvormi Adobe ColdFusioni aegunud versioone. Turvaviga kasutati algselt nullpäeva haavatavusena, enne kui Adobe paranduse välja andis.

USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) on liigitanud antud häkkimiskatsed luuretegevuseks, mis tavaliselt hõlmavad teabe kogumist sihitud võrkude ja süsteemide kohta. CISA avalikustas föderaalasutustele ja osariikide teenistustele hoiatuse ja soovitused, et nad rakendaksid oma Adobe ColdFusioni tarkvaradele kohe saadaolevad turvavärskendused (CISA).

Riski maandamiseks ja võimalike ärakasutamiste eest kaitsmiseks soovitatakse ColdFusion uuendada uusimale saadaolevale versioonile. Lisaks soovitatakse rakendada võrgu segmenteerimist, kasutada tulemüüri ja/või veebirakenduste tulemüüri (WAF) ning kasutada nii palju kui võimalik mitmefaktorilist autentimist, et veelgi tugevdada kaitset selliste haavatavuste vastu (CISA).

5Ghoul-nimelised turvanõrkused mõjutavad 5G-modemeid

5Ghoul koondnimetusega haavatavused on turvanõrkused, mis leiti Qualcommi ja MediaTeki valmistatud 5G-modemites. Neid kasutatakse paljudes nutitelefonides, ruuterites ja USB-modemites. Teadlased avastasid 14 erinevat turvaprobleemi, millest kümmet on ka avalikkusega jagatud (SA).

Konkreetsed haavatavused võivad põhjustada teenuste töös tõrkeid või sundida mõjutatud seadmeid kasutama vähem turvalist võrku. Neid saab kuritarvitada haavatavatele seadmetele ilma füüsilist juurdepääsu omamata, imiteerides lihtsalt legitiimset 5G võrgusignaali. Mõned kriitilisemad haavatavused on tähistatud kui CVE-2023-33043, CVE-2023-33044 ja CVE-2023-33042 (SA).

Nii Qualcomm kui ka MediaTek on avaldanud turvahoiatused, mis käsitlevad avalikustatud 5Ghouli haavatavusi. Turvavärskendused tehti seadmemüüjatele kättesaadavaks kaks kuud tagasi. Tarkvara levitamise keerukuse tõttu, eriti Android-seadmetes, võib aga kuluda veidi aega, enne kui parandused turvavärskenduste kaudu lõppkasutajatele jõuavad. See tähendab, et kuigi nende haavatavuste jaoks on paigad olemas, sõltub nende juurutamine üksikutele seadmetele erinevatest teguritest, sealhulgas seadmete tootjatest ja konkreetsetest mõjutatud mudelitest (SA).

Sierra Wirelessi ruuterite turvanõrkused võivad mõjutada kriitilist infrastruktuuri

Turvanõrkused mõjutavad Sierra Wireless OT/IoT ruutereid ja võivad seetõttu ohustada kriitilist infrastruktuuri. Turvanõrkuste abil on võimalik autentimisest mööda minna, käivitada pahatahtlikku koodi ja teenuste tööd häirida. Sierra AirLink ruutereid kasutavad maailmas näiteks mitmed tööstusettevõtted ja hädaabiteenuse pakkujad oma kriitilise tähtsusega süsteemides. Kõigil kasutajatel soovitatakse üle minna ALEOS-i (AirLink Embedded Operating System) versioonile 4.17.0, kus vead on paigatud (BC, Forescout).

Olulisemad turvanõrkused 2023. aasta 48. nädalal

  • Apple paikas kaks nullpäeva turvanõrkust

Apple on avalikustanud erakorralised turvavärskendused, et kõrvaldada kaks nullpäeva turvaauku, mida on ettevõtte sõnul rünnetes aktiivselt ära kasutatud (SA).

Mõlemad haavatavused on seotud WebKitiga ja mõjutavad iPhone’i, iPadi ja Maci seadmeid. Haavatavusi saab ära kasutada tundliku teabe varastamiseks või suvalise pahaloomulise koodi käivitamiseks mõjutatud seadmes (SA).

Apple on kõrvaldanud nullpäeva turvanõrkused iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 ja Safari 17.1.2 versioonides. Soovitatav on nimetatud tarkvarad uuendada esimesel võimalusel (SA).

Sel aastal on ettevõte paiganud juba 20 nullpäeva haavatavust (BC).

  • CACTUS-nimeline lunavarakampaania kasutab hiljuti avastatud turvavigu

CACTUS-nimeline lunavarakampaania kasutab hiljuti avalikustatud turvavigu pilvanalüütika ja äriteabe platvormis Qlik Sense, et saada esmane juurdepääs sihtmärgiks valitud keskkondadele. Analüütikute hinnangul kuritarvitatakse viimase kolme kuu jooksul avalikustatud platvormi turvanõrkuseid, sealhulgas haavatavusi CVE-2023-41265 ja CVE-2023-41266 (THN).

Pärast mõjutatud süsteemidesse sisse tungimist, kasutavad ründajad Qlik Sense Scheduler teenust, et täiendavaid pahaloomulisi tööriistu sinna alla laadida. Rünnete käigus on muudetud ka süsteemiga seotud administraatorikontode paroole. Rünnete lõpetuseks krüpteeritakse failid CACTUS-nimelise lunavaraga (AW).

Konkreetse tarkvara arendaja on kõikidele turvanõrkustele avalikustanud ka parandused, rohkem infot leiate tootja kodulehelt (Qlik).

  • LogoFAIL turvanõrkused ohustavad miljoneid arvuteid

Hiljuti UEFIs (Unified Extensible Firmware Interface) avastatud LogoFAIL-nimelised haavatavused kujutavad miljonite arvutite jaoks kriitilist turvaohtu. Need haavatavused mõjutavad sadu tarbija- ja ettevõtteklassi x86- ja ARM-mudeleid erinevatelt tarnijatelt, sealhulgas Intelilt, Acerilt ja Lenovolt. LogoFAIL turvanõrkuste mõju on märkimisväärne, kuna see võib potentsiaalselt lubada mõjutatud süsteemid üle võtta, hoolimata arvutitele paigaldatud kaitsemeetmetest. Nende haavatavuste laialdane levik on tekitanud ekspertides muret laiemalt, mitte ainult üksikute tarnijate kontekstis. Turvauuendused avaldatakse eeldatavasti 6. detsembril (DR).

  • VMware parandas üle kahe nädala paikamata olnud kriitilise turvanõrkuse Cloud Director tarkvaras

VMware parandas hiljuti Cloud Directori tarkvaral kriitilise autentimisest möödapääsemist võimaldava haavatavuse, mis oli olnud turvapaigata üle kahe nädala pärast selle avalikustamist 14. novembril (BP).

Cloud Director on platvorm, mis võimaldab administraatoritel hallata mitmes kohas asuvaid andmekeskusi virtuaalsete andmekeskustena (VDC). Autentimisest möödaviimise turvaviga, mis on identifitseeritud kui CVE-2023-34060, mõjutab ainult neid seadmeid, mis töötavad versiooniga VCD Appliance 10.5 ning mis uuendati sellele versioonile vanemalt versioonilt (BP).

Kellel ei ole võimalik kohe turvaparandust rakendada, pakub VMware ka ajutisi kaitsemeetmeid. Täpsemalt saab nende kohta lugeda tootja kodulehelt (VMware).

  • Zyxel parandas enda seadmete kolm kriitilist haavatavust

Zyxel avalikustas hiljuti turvapaigad, et parandada 15 haavatavust, mis mõjutavad võrguga ühendatud salvestusseadmeid (network-attached storage), tulemüüre ning  pääsupunkte (acces point) (THN).

15 turvanõrkuse seas parandati kolm kriitilist viga, mille abil on võimalik autentimisest mööda pääseda. Lisaks 15 haavatavusele parandas Zyxel hiljuti veel üheksa turvaviga, mida sai kasutada süsteemifailidele ja administraatori logidele juurdepääsuks ning teenusetõkestusrünnete tekitamiseks (THN).

Arvestades, et Zyxeli seadmed on sageli ründajate sihikul, on mõjutatud seadmete kasutajatel tungivalt soovitatav turvariskide leevendamiseks rakendada uusimaid värskendusi (THN).

  • Google parandas Chrome’il nullpäeva turvanõrkuse

Google andis hiljuti välja turvavärskenduse, et parandada Google Chrome’i kriitiline nullpäeva haavatavus, mida on rünnakutes juba ka ära kasutatud (BP).

Haavatavuse CVE-2023-6345 edukas kuritarvitamine võimaldab ründajal häirida ohvri brauseri tööd või käivitada seal suvalist koodi. Turvanõrkus on parandatud Windowsi kasutajatele mõeldud brauseri versioonis 119.0.6045.199/.200 ning Maci ja Linuxi kasutajatele mõeldud versioonis 119.0.6045.199. Kasutajatel on soovitatav rakendada uusimad värskendused, et leevendada võimalikke turvariske ja tagada nende tarkvara kiire värskendamine (BP).

  • Teadlased avastasid kuus Bluetoothi mõjutavat haavatavust koondnimetusega BLUFFS

Eurecomi teadlased on välja töötanud kuus uut rünnakut, mille koondnimetus on “BLUFFS”, mis võivad murda Bluetoothi seansside saladust, võimaldades seadmes esineda kellegi teisena ja Man-in-the-middle (MitM) tüüpi rünnakuid (BP).

Rünnakud kasutavad ära kaht varem tundmatut Bluetoothi standardi viga, mis on seotud sellega, kuidas seansivõtmed tuletatakse andmete dekrüpteerimiseks. Need vead ei ole spetsiifilised riist- või tarkvarakonfiguratsioonidele, vaid on hoopis arhitektuursed, mis tähendab, et need mõjutavad Bluetoothi põhitasandil (BP).

Rünnaku õnnestumiseks peab ründav seade olema kahe haavatava Bluetooth-seadme traadita levialas, mis käivitavad krüpteerimisprotseduuri (BP).

Turvanõrkuseid jälgitakse identifikaatori CVE-2023-24023 järgi ja need mõjutavad Bluetoothi põhispetsifikatsiooni 4.2–5.4. BLUFFS mõjutab 2014. aasta detsembris välja antud Bluetooth 4.2 ja kõiki versioone kuni uusima, 2023. aasta veebruaris välja antud Bluetooth 5.4 (BP).

19 soovitust, kuidas muuta nutitelefoni kasutamine turvalisemaks

Foto: canva.com

1. Kasuta ekraanilukku

See võib tunduda sama elementaarne kui juhis rohelise fooritulega teed ületada, aga paraku unustavad paljud ka põhitõed. Ekraanilukuta telefon on nagu PIN-koodita pangakaart. Selleta on sõnumid, dokumendid, e-kirjad, pildid jne kättesaadavad igaühele, kelle kätte seade satub. Kasuta vähemalt kuuekohalist PIN-koodi või parooli – mida pikem ja juhuslikum, seda turvalisem. Väldi ekraanimustrit – selle kasutamine on küll mugavam, aga jätab ekraanile jälje, mille põhjal võivad kõrvalised isikud õige mustri ära arvata ja telefoni pääseda.

2. Määra SIM-kaardile turvaline PIN

Kui telefonis olevale SIM-kaardile pole määratud PIN-koodi, see on 0000 või midagi sama kasutut, muuda see kohe ära. SIM-kaardi turvamine on eriti oluline, kui kasutad sõnumipõhist kaheastmelist autentimist, millest tuleb juttu allpool.

3. Seadista automaatne lukustamine

Lukusta telefon iga kord, kui selle käest paned, aga kindluse mõttes seadista nii, et see lukustuks automaatselt võimalikult lühikese ooteaja järel. Lisaks turvalisuse suurendamisele aitab see säästa telefoni akut.

4. Suhtu näotuvastusse ja sõrmejäljelugejasse ettevaatusega

Paljud kaasaegsed telefonid kasutavad autentimiseks näotuvastust või sõrmejäljelugejat. See on mugavam kui PIN-koodi või parooli sisestamine, kuid paraku pole kõikide telefonide biomeetrilise isikutuvastuse lahendused piisavalt turvalised. Mõne telefoni näotuvastuse petmiseks piisab sellele kasutaja pildi näitamisest ja sõrmejäljelugeja eksitamiseks selle ette paigaldatud kaitseklaasist või -ümbrisest. Sellistest „väravavahtidest“ soovitame hoiduda.

5. Uuenda tarkvara

Ei telefoni operatsioonisüsteem ega paigaldatud äpid pole veatud. Aja jooksul leitakse nende nõrgad kohad, mille kaudu pääsevad küberkurjamid ligi telefonis olevatele andmetele. Vastutustundlikud arendajad paikavad turvaaugud esimesel võimalusel ja sama innukalt peaksid kasutajana telefonis tarkvara uuendama. Mida kauem seda edasi lükkad, seda suuremaks kasvab oht, et telefoni sisule pääsevad ligi võõrad.

6. Muuda Wifi pääsupunkt turvalisemaks

Telefoni Wifi hotspot ehk pääsupunkt on abiks, kui soovid jagada mobiilset andmesidet, näiteks, oma arvutiga. Veendu, et pääsupunkt oleks kaitstud tugeva parooliga (muidu pääsevad kõik lähedalasuvad seadmed seda kasutama) ja kindlalt krüpteeritud. Mõnikord võib vaikeseadetes määratud krüpteering olla aegunud või ebaturvaline. Hetkel on kõige kindlam kasutada turvaprotokolli WPA2.

7. Eelista avalikele Wifi-võrkudele mobiilset andmesidet

Võimalusel väldi avalikesse ja tundmatutesse Wifi-võrkudesse sisenemist ning kasuta nende asemel mobiilset andmesidet, mis on enamasti turvalisem. Kui kasutad siiski avalikku Wifi-võrku, ära sisesta seal oma pangakaardi andmeid ega paroole.

8. Anna äppidele vaid vajalikud õigused

Kui paigaldad telefoni uue rakenduse, loe hoolega, milliseid õiguseid see küsib. Kaamerarakendus vajab ligipääsu piltidele, aga taskulambiäpp mitte. Kaardirakenduse huvi su asukoha suhtes on mõistetav, aga kui seda küsib retseptiäpp, tundub asi kahtlane. Kontrolli telefoni seadetest, millised õigused oled andnud juba varem paigaldatud äppidele ja tee vajadusel muudatusi. Lähtu põhimõttest: nii palju kui vajalik, nii vähe kui võimalik.

9. Seadista teavitused lakoonilisemaks

Seadista teavitused nii, et lukustatud telefon näitaks vaid seda, milline rakendus teavituse saatis, mitte selle sisu. Nii näevad teised, kes su telefoni kätte saavad, vaid seda, et said vestlusäpist hulga sõnumeid, aga ei saa lugeda, mida sõnumi saatja kirjutas.

10. Kasuta vaid ametlikku rakendustepoodi

Ehkki Androidi operatsioonisüsteem võimaldab äppe paigaldada ka muul moel, laadi neid alla ainult ametlikust rakendustepoest. Enne seda loe arvustusi, tutvu arendaja muude projektidega ja vaata, millal neid viimati uuendati. Petturid loovad pahavara, mis matkivad mõnd tuntud äppi ja võivad lisaks andmevargusele kaasa tuua rahalisi kaotusi, kui kasutaja sinna heauskselt oma pangakaardi andmed sisestab.

11. Kasuta paroolihaldurit

Selleks, et vältida paroolide ristkasutust, tuleks meeles pidada kümneid, mõnel juhul sadu salasõnu. Kuna see käib enamusele üle jõu, soovitame kasutada spetsiaalseid paroolihaldureid, mis loovad, säilitavad ja kaitsevad pikki ning turvalisi salasõnu. Ära hoia paroole ega muud tundlikku infot failides ega rakendustes, millele pääseb ligi ilma salasõna või turvalise biomeetrilise tuvastuseta.

12. Lülita Bluetooth välja, kui seda ei vaja

Vaikimisi on telefonides Bluetooth sisse lülitatud, kuid sellegagi kaasneb risk.
2017. aastal selgus, et Bluetoothi kaudu saab luua ühenduse võõra telefoniga ja laadida sellesse pahavara. See haavatavus on parandatud, kuid järgmine võib ilmuda sama ootamatult. Aktiveeri Bluetooth ainult siis, kui seda on vaja, näiteks HOIA äpi kasutamiseks.

13. Lülita asukoha märgistamine välja

Telefonide kaamerarakendused salvestavad lisaks pildile ka selle metaandmed, muu seas ka pildi tegemise asukoha. Kui laadida selline pilt sotsiaalmeediasse, on selle asukohainfo kättesaadav kõigile, kes pilti näevad. Mõtle, kas ikka tahad tervele maailmale teada anda, kus parasjagu asud. Võib juhtuda, et tuttavatest rohkem huvitab see info varast, kes otsib sobivat hetke, kui kodust kaugel viibid.

14. Kasuta viirusetõrjet

Ehkki Androidi ja iOS operatsioonisüsteemi on sisse ehitatud mitmeid turvalahendusi, võid neile lisaks paigaldada telefoni mõne eraldi viirusetõrjeprogrammi. Eelista tuntud ettevõtteid, millel on pikk ja edukas ajalugu arvutite viirusetõrje pakkumisel. Äppi otsides ole tähelepanelik, muidu võid sattuda mõne võltsingu ohvriks, mis viiruste eemaldamise asemel need su telefoni paigaldab.

15. Väldi avalikke laadimispunkte

Lennujaamades, hotellides, kohvikutes ja muudes avalikes kohtades olevad laadimispunktid aitavad küll tühja akut turgutada, kuid nende kaudu võivad lisaks elektrienergiale liikuda ka andmed. Kui laadija on nakatunud pahavaraga, võib see nakatada ka laetava telefoni ja varastada sealt paroole, pilte või muid andmeid. Kasuta isiklikku laadijat, akupanka või andmesidefiltrit, mis laseb laadimiskaablist läbi ainult elektri. Kui tingimata pead telefoni avalikus laadimispunktis kosutama, lülita see laadimise ajaks välja.

16. Kasuta ekraanifiltrit

Kui kasutad telefoni ühistranspordis, kohvikus või muus avalikus kohas, näevad ka kõrvalseisjad, mis selle ekraanilt loed või vaatad. Uudishimulike pilkude vastu aitab ekraanifilter. See on kate, mille eesmärk on piirata ekraani vaatenurka. Otsevaates on kõik selge ja klaar, aga kõrvalseisjale mitte.

17. Ole ettevaatlik sõnumite teel saabunud linkidega

Paljud kasutajad, kes suhtuvad e-posti teel saabunud õngitsuskirjadesse eluterve skepsisega, langevad pettuse ohvriks, kui neile lähenetakse SMS-i või sõnumirakenduste vahendusel. Eestis on nähtud nii klassikalist SMS-spämmi, mille eesmärk on meelitada kasutama perioodilist ja tasulist teenust, kui ka katseid petta välja kasutaja Smart-ID PIN-koode.

18. Kustuta kasutud äpid

Küllap on sinugi telefonis rakendusi, mille oled paigaldanud aastate eest, kasutanud vaid kord või paar ning seejärel unustanud. Kustuta need ja hoia telefonis vaid äppe, mida endiselt kasutad. Su telefonis võib olla rakendusi, mida pole aastaid uuendatud ega paigatud ning mis on seetõttu haavatavad.

19. Seadista kaugkustutamine

Seadista oma telefon nii, et selle kaotamise või varguse korral saad telefonis olevad andmed mõne teise seadme abil kustutada. See ei too telefoni tagasi, aga lisab kindlust, et keegi teine ei pääse selles olnud andmetele ega selle kaudu kasutatud kontodele ligi.