Tag Archives: Chrome

Olulised turvanõrkused 2023. aasta 10. nädalal

Avalikustati Microsoft Wordi kriitilise turvavea kontseptsiooni tõendus

Microsoft parandas veebruari turvauuendustega Microsoft Wordi kriitilise turvavea tähisega CVE-2023-21716. Turvaviga on seotud wwlib.dll failiga ja võimaldab koodi kaugkäivitamist. Haavatavusel on ka väga kõrge kriitilisuse skoor (9.8/10), kuna seda ei ole keeruline ära kasutada ja selle jaoks ei ole vaja kõrgendatud õiguseid. Ründaja saab turvanõrkust ära kasutada pahaloomuliste RTF failide abil.

Nüüd on turvanõrkusele avalikult kättesaadav ka proof-of-concept (PoC) ehk kontseptsiooni tõendus. Microsofti hinnangul on haavatavuse kuritarvitamine hetkel siiski vähetõenäoline, kuid sellised kontseptsiooni tõendused muudavad pahaloomuliste failide loomise, mis turvanõrkust ära suudavad kasutada, kindlasti lihtsamaks (BC, Microsoft).

Kes ja mida peaks tegema?

Microsofton turvanõrkuse jaoks avalikustanud turvaparanduse ja samuti mõned alternatiivmeetmed, kui turvaparanduse rakendamine ei ole võimalik. Rohkem infot leiate Microsofti veebilehelt. Soovitame kindlasti turvaparanduse rakendamist.

Fortinet hoiatab uue kriitilise haavatavuse eest

FortiOS-i ja FortiProxy haldusliidese haavatavus CVE-2023-25610 (9.3/10.0) võib lubada ründajal käivitada haavatavas seadmes autentimata suvalist koodi ja/või teostada teenusetõkestusrünnak spetsiaalselt selleks loodud päringute kaudu. Fortinetile teadaolevalt ei ole seda haavatavust veel ära kasutatud (Fortinet).

Kes ja mida peaks tegema?

Haavatavus mõjutab järgnevaid FortiOSi ja FortiProxy versioone:

FortiOSi versioonid 7.2.0-7.2.3;
FortiOSi versioonid 7.0.0-7.0.9;
FortiOSi versioonid 6.4.0-6.4.11;
FortiOSi versioonid 6.2.0-6.2.12;
kõik FortiOSi 6.0 versioonid;
FortiProxy versioonid 7.2.0-7.2.2;
FortiProxy versioonid 7.0.0-7.0.8;
FortiProxy versioonid 2.0.0-2.0.11;
kõik FortiProxy 1.2 versioonid;
kõik FortiProxy 1.1 versioonid.

Fortinet on haavatavuse turvauuendustega parandanud. Rohkem infot versioonide kohta, milles on haavatavus parandatud, leiate siit.

Kui te kasutate ülal mainitud haavatavate versioonidega Fortineti tarkvarasid, rakendage turvauuendused esimesel võimalusel.

Androidi seadmetes paigati kaks kriitilist koodi kaugkäitust võimaldavat turvanõrkust

Google avalikustas 6. märtsil, et selle kuu turvauuendustega parandatakse Androidi operatsioonisüsteemides mitukümmend turvaviga.

Nende seas on ka kaks koodi kaugkäitust võimaldavat turvanõrkust (CVE-2023-20951, CVE-2023-20954), mis on hinnatud kriitiliseks. Nende turvanõrkuste ärakasutamiseks pole vaja mitte mingit kasutajapoolset tegevust (nt linkidele klõpsamist, pahaloomuliste failide avamist vms).

Selliste tõsiste turvanõrkuste abil on ründajatel potentsiaalselt võimalik käivitada haavatavates seadmetes pahavara ja saada teatud tingimustel kontroll kogu seadme üle. Google ei ole turvanõrkuste kohta täpsemaid detaile jaganud.

Lisaks kahele kriitilisele turvanõrkusele paigati märtsi turvauuendustega veel mitukümmend madalama kriitilise tasemega nõrkust (BP, Android).

Kes ja mida peaks tegema?

Turvauuendusi pakutakse Androidi operatsioonisüsteemi versioonidele 11, 12 ja 13. Kui teie Androidi seade kasutab versiooni 10 või vanemat, siis sellele turvauuendusi enam ei pakuta, kuna vastavate versioonide tootjapoolne tugi on lõppenud. Selline seade tuleks võimalikult kiiresti uuema vastu vahetada!

Kui sinu Androidi operatsioonisüsteemi kasutav nutitelefon või tahvelarvuti pakub turvauuendusi, rakenda need palun esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kutsume kõiki üles suhtuma oma seadmetes pakutavatesse uuendustesse tõsiselt ning neid alati rakendama.

Jenkinsi tarkvara mõjutavad koodi kaugkäitust võimaldavad nõrkused

Jenkins on avatud lähtekoodiga tarkvara, mida kasutatakse tarkvaraarenduses. Jenkins Server and Update Center keskkonnas, mille abil saab Jenkinsile alla laadida erinevaid pistikprogramme, avastati kaks haavatavust, mida nimetatakse koondnimetusega CorePlague. Haavatavused on seotud sellega, kuidas keskkond pistikprogramme töötleb. Kui ründaja pahaloomulise pistikprogrammi Jenkinsi Update Center keskkonda ülesse laeb ja ohver pistikprogrammide jaoks mõeldud halduskeskkonna avab, on võimalik teostada XSS (Cross Site Scripting) rünne. Eduka ärakasutamise korral võimaldavad haavatavused autentimata ründajal käivitada suvalist koodi ohvri Jenkinsi serveris, mille abil on tal võimalik server täielikult üle võtta (Aquasec).

Kes ja mida peaks tegema?

Haavatavad on Jenkinsi serverid versiooniga 2.270 kuni 2.393 (kaasaarvatud) ja LTS 2.277.1 kuni 2.375.3 (kaasaarvatud). Haavatavad on ka Jenkinsi Update Center versioonid 3.15 ja vanemad. Haavatavate tarkvarade kasutamise korral uuendage need esimesel võimalusel.  Rohkem infot leiate Jenkinsi kodulehelt.

Joomla sisuhaldustarkvara turvanõrkust kuritarvitatakse üha aktiivsemalt

Kolm nädalat tagasi parandati Joomla sisuhaldustarkvaral, mida paljud veebilehed kasutavad, turvanõrkus, mis lubas ründajal ligi pääseda kasutajatunnuseid sisaldavale andmebaasile lihtsa päringu abil. Kuna haavatavuse ärakasutamine on suhteliselt kerge, on selle populaarsus ründajate seas ajas kasvanud (SANS).

Kes ja mida peaks tegema?

Haavatavad on Joomla tarkvara versioonid 4.0.0 kuni 4.2.7 (kaasaarvatud). Turvanõrkus on parandatud alates versioonist 4.2.8. Kui te haavatava versiooniga Joomla tarkvara kasutate, uuendage see esimesel võimalusel vähemalt versioonini 4.2.8. Sellisel juhul turvanõrkus teile ohtu ei kujuta (NSFOCUS).

Chrome’i uues versioonis on parandatud 40 turvanõrkust

Google avalikustas eelmisel nädalal Chrome’i uue -versiooni tähisega 111, milles on paigatud 40 turvanõrkust. 40-st nõrkusest kaheksa on kõrge mõjuga, 11 keskmise mõjuga ja viis madala mõjuga (SW, Google).

Kes ja mida peaks tegema?

Windowsile on uus versioon saadaval tähisega 111.0.5563.64/.65, Linuxile ja macOSile aga tähisega 111.0.5563.64. Soovitame kõikidel Chrome’i kasutajatel rakendada uus versioon esimesel võimalusel. Juhised, kuidas Chrome’i uuendada, leiate siit.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 6. nädalal

Illustratsioon: Andres Varustin

OpenSSL paikas kõrge mõjuga turvavead

OpenSSL paikas kokku kaheksa turvaviga, millest kõige suurema mõjuga haavatavus (CVE-2023-0286) võimaldab ründajal lugeda mälu sisu ja viia läbi teenusetõkestusründeid. Siiski juhivad tarkvara arendajad tähelepanu sellele, et haavatavus mõjutab tõenäoliselt ainult neid rakendusi, mis kasutavad tühistatud sertifikaatide loendi (Certificate Revocation List) võrgust kättesaamiseks spetsiaalseid lahendusi. Teised väiksema mõjuga turvanõrkused on välja toodud arendaja kodulehel (SW, OpenSSL).

Kes ja mida peaks tegema?

Kõigil, kes kasutavad OpenSSLi versioone 3.0, 1.1.1 ja 1.0.2, soovitatakse see uuendada esimesel võimalusel.

OpenSSL 3.0 kasutajad peaksid uuendama tarkvara versioonini 3.0.8.

OpenSSL 1.1.1 kasutajad peaksid uuendama tarkvara versioonini 1.1.1t.

OpenSSL 1.0.2 kasutajad peaksid uuendama tarkvara versioonini 1.0.2zg (võimalik vaid eritingimustel) (OpenSSL).

OpenSSH uus versioon parandab mitu turvaviga

OpenSSH avaldas uue versiooni 9.2, kus on parandatud mitu turvaviga. Sealhulgas parandati ka turvaviga tähistusega CVE-2023-25136, mille abil on ründajal teoreetiliselt võimalik käivitada haavatavas süsteemis pahatahtlikku koodi või teostada selle vastu teenusetõkestusrünnak. Siiski märgivad tarkvara arendajad, et haavatavust ei ole lihtne ära kasutada tulenevalt sshd protsessi kaitsemeetmetest (HN, JFrog).

Kes ja mida peaks tegema?

CVE-2023-25136 mõjutab ainult OpenSSH versiooni 9.1p1 ja on parandatud versioonis  9.2p1. Kuigi nõrkust ei ole lihtne ära kasutada, soovitatakse OpenSSH uuendada kõige uuemale versioonile, et vältida võimalikku küberintsidenti (JFrog).

Turvanõrkus lubab häkkeritel muuta aega Dahua videovalvekaamerate süsteemides

Turvanõrkus tähisega CVE-2022-30564 avastati eelmisel aastal ja möödunud nädalal teavitas Dahua, et teatud nende tooteid see tõesti mõjutab. Selle abil on ründajal võimalik muuta aega mõjutatud seadmete süsteemides ja seda saab ründaja teha siis, kui ta saadab avalikult kättesaadavale süsteemile vastava päringu. Siiski on ründajal vaja teada spetsiaalseid rakendusliidese (API) parameetreid, et seda turvanõrkust ära kasutada (Redinent).

Turvanõrkuse avastanud ettevõtte sõnul on haavatavus eriti ohtlik just seetõttu, et internetist on avalikult kättesaadavad tuhanded sellised kaamerad. Kuna pahaloomulised osapooled saavad videosalvestiste aega muuta vastavalt vajadusele, avaldab turvaviga otsest mõju ka siis, kui videosalvestist on vaja uurimise käigus kasutada tõendina (Redinent).

Kes ja mida peaks tegema?

Nimekiri mõjutatud toodetest on avaldatud tootja kodulehel. Kui te neid kasutate, uuendage tooted esimesel võimalusel. Samuti ei tohiks videovalvekaamera süsteemi hoida internetist avalikult kättesaadavana.

Androidi uue versiooniga paigati 40 turvanõrkust

Google avalikustas eelmisel nädalal Androidi operatsioonisüsteemile turvauuendused, mis parandavad 40 turvanõrkust, millest 17 on kõrge mõjuga. Kõige kriitilisemaks parandatud haavatavuseks on turvaviga Frameworki komponendis, mille abil on ründajal võimalik mõjutatud süsteemis enda õiguseid suurendada. Kõik parandatud turvanõrkused on välja toodud siin.

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutavale seadmele pakutakse uuendusi, soovitame need rakendada (SW, Android).

Chrome’i uue versiooniga parandati 15 turvanõrkust

Google avalikustas uue Chrome’i versiooni tähisega 110, mis on mõeldud Windowsi, Mac OSi ja Linuxi operatsioonisüsteemidele. Uue versiooniga parandati 15 turvanõrkust, millest kolm on kõrge ja viis keskmise mõjuga. Kolme kõrge mõjuga haavatavust saab ära kasutada spetsiifiliste HTMLi lehtede abil. Google ei maininud, et nõrkuseid oleks jõutud ära kasutada (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada Chrome esimesel võimalusel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 2. nädalal

Microsoft parandas nullpäeva turvanõrkuse

Microsoft avalikustas uuenduste teisipäeva raames parandused 98 turvaveale. 11 turvaviga on hinnatud kriitiliseks. Üks parandatud haavatavustest on märgitud nullpäeva turvanõrkuseks. Sellise nimetuse saavad turvavead, mis Microsofti hinnangul avalikustatakse või mida aktiivselt on kuritarvitatud enne, kui parandusele on olemas ametlik turvapaik (BC).

Nullpäeva turvanõrkuse CVE-2023-21674 abil on võimalik ründajal omandada SYSTEM tasemel ehk kõrgendatud tasemel õigused. Selliste õigustega on ründajal näiteks võimalik käivitada ilma takistusteta erinevat tüüpi pahavara või teha muid pahaloomulisi tegevusi.

Kes ja mida peaks tegema?

Haavatavustele on saadaval turvaparandused, soovitame tutvuda tootja avalikustatud informatsiooniga ja vajadusel uuendada enda mõjutatud süsteem. Nimekirja parandatud turvavigadest leiate siit.

FortiOSi turvanõrkust kasutatakse valitsusasutuste ründamisel

Hiljuti parandatud FortiOS SSL-VPNi turvanõrkust CVE-2022-42475 kasutatakse valitsusasutustega seotud sihtmärkide ründamisel. Haavatavus parandati eelmise aasta detsembris ja võimaldab autentimata kasutajal käivitada pahatahtlikku koodi haavatavates seadmetes. Fortinet paikas turvanõrkusega FortiOS versioonis 7.2.3 (Fortinet).

Haavatavust on hiljuti ära kasutatud, et paigaldada ohvri seadmesse spetsiifilist laadi pahavara. Pahavara varjamiseks on üritatud jätta mulje, et tegu on justkui Fortineti IPSi komponendiga. Lisaks muudele funktsioonidele suudab pahavara manipuleerida süsteemi logifaile või peatada logimine süsteemis täielikult (SA).

Kes ja mida peaks tegema?

Kui te ei ole veel seda teinud, siis rakendage esimesel võimalusel FortiOSi versioon 7.2.3, milles on haavatavus parandatud. Samuti soovitame tutvuda Fortineti tehnilise analüüsiga, milles kirjeldatakse eelpool mainitud pahavaraga seotud leide.

Adobe parandas oma toodetes 29 turvanõrkust

Turvauuendused avaldati PDF-failide lugemistarkvaradele Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Ettevõtte sõnul on tegemist kriitiliste turvanõrkustega, kuna haavatavuste ärakasutamine võib kaasa tuua näiteks rakenduste töö katkemise, pahatahtliku koodi käivitamise või lubab ründajal õigusi suurendada (SW).

Kes ja mida peaks tegema?

Tutvuge tootja kodulehel avaldatud juhistega ja uuendage vajadusel mõjutatud tarkvara.

Aegunud Cisco seadmeid ohustab kriitiline turvanõrkus

Kriitiline turvanõrkus CVE-2023-20025 ja kaks keskmise kriitilisuse tasemega turvanõrkust CVE-2023-20026 ja CVE-2023-20045  ohustavad teatud Cisco ruuterite mudeleid. Turvanõrkustele CVE-2023-20025 ja CVE-2023-20026 on avalikult kättesaadavad ka kontseptsiooni tõendused, kuid hetkel ei ole märgatud, et neid haavatavusi aktiivselt kuritarvitatakse (HNS).

CVE-2023-20025 – Turvanõrkus mõjutab Cisco RV016, RV042, RV042G ja RV082 VPN ruuterite veebiliidest ja võimaldab autentimisest mööda pääseda. CVE-2023-20026 lubab veebiliidese kaudu käivitada pahatahtlikku koodi. CVE-2023-20045 on koodi kaugkäitust lubav turvaviga, mille vastu on haavatavad RV160 ja RV260 seeriate VPN ruuterid. Turvanõrkuse kasutamiseks peab ründajal olema administraatori õigustega kasutaja kasutajatunnused. Turvanõrkusele ei ole avaldatud kontseptsiooni tõendust.

Tarkvarauuendusi, mis turvanõrkused paikaks (HNS), ei looda, kuna:

  • RV082 ja RV016 on aegunud.
  • RV042 ja RV042G ei saa alates 2021. aasta jaanuarist hooldus- ega veaparandusi.
  • RV 160 ja RV260 (ja RV345P, RV340W, RV260W, RV260P ja RV160W) said viimased tarkvarapaigad 2022. aasta septembris ja rohkem turvauuendusi ei saa.

Kes ja mida peaks tegema?

Kuna tegu on aegunud seadmetega ja tootja turvanõrkustele parandusi ei paku, tuleb vajadusel seadmed välja vahetada uuemate vastu. Kui seadmete väljavahetamine uuemate vastu ei ole võimalik, soovitatakse seadmete haldajatel alternatiivse vastumeetmena blokeerida seadmete veebiliidestele ligipääs ACLi reeglite abil. Enne reeglite rakendamist soovitatakse meedet põhjalikult testkeskkonnas testida, et vältida võimalikke hilisemaid probleeme seadmete kasutamisel.

Zoomi tarkvaras parandati kolm kõrge tasemega haavatavust

Zoomi tarkvaras paigati kolm kõrge tasemega turvaviga. Kõik haavatavused lubavad ründajal süsteemis enda õiguseid suurendada (SW).

CVE-2022-36930 (8.2/10.0) – Windowsi kasutajatele mõeldud Zoom Rooms tarkvara, mis kasutab vanemat versiooni kui 5.13.0, sisaldab haavatavust, mille abil on võimalik ründajal enda õiguseid süsteemis suurendada.

CVE-2022-36929 (7.8/10.0)– Windowsi kasutajatele mõeldud Zoom Rooms tarkvara enne versiooni 5.12.7 sisaldab õiguste suurendamise haavatavust, millega on lokaalsel madala õigustega kasutajal võimalik omandada SYSTEM tasemel õigused.

CVE-2022-36927 (8.8/10.0) – MacOSi kasutajate jaoks mõeldud Zoom Rooms tarkvara, mis kasutab vanemat versiooni kui 5.11.3, sisaldab haavatavust, mille abil on ründajal võimalik saada juurkasutaja õigused.

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, uuendage see esimesel võimalusel.

Chrome’i uues versioonis on parandatud 17 turvanõrkust

Google avaldas Chrome’i versiooni 109 Windowsi, Maci ja Linuxi operatsioonisüsteemi kasutavatele seadmetele. Parandatud haavatavuste seas on kaks kõrge ja kaheksa keskmise mõjuga haavatavust (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame Chrome’i kasutajatel uuendada veebilehitseja esimesel võimalusel.

RIA analüüsi- ja ennetusosakond