Tag Archives: Chrome

Olulisemad turvanõrkused 2024. aasta 14. nädalal

WordPressi populaarsest LayerSlideri pistikprogrammist leiti kriitiline turvaviga

WordPressi pistikprogrammist LayerSlider leitud kriitiline haavatavus tähisega CVE-2024-2879 võimaldab ründajal teostada pahatahtlikke SQL-päringuid ning hankida seeläbi tundlikku teavet veebilehe andmebaasidest. Haavatavus on hinnatud kriitilise CVSS-skooriga 9.8/10.

LayerSlideri pistikprogramm võimaldab luua liugureid, pildigaleriisid ja animatsioone WordPressi saitidel ning see on kasutusel enam kui miljonil veebilehel. Haavatavus mõjutab plugin’i versioone 7.9.11 kuni 7.10.0 ning eduka ründe korral on võimalik saada kontroll kogu veebilehe üle. Kasutajatel soovitatakse uuendada pistikprogramm turvapaigatud versioonile 7.10.1. Kuna WordPressi haavatavused on tihti ründajate sihtmärkideks, siis tuleks veebilehtede haldajatel regulaarselt uuendada tarkvara, eemaldada need pistikprogrammid, mida ei ole vaja ja kasutada tugevaid paroole (SWBC).

Ivanti parandas VPN-lüüsi haavatavuse

Ivanti avaldas turvauuenduse, mis paikab neli turvaviga Connect Secure’i ja Policy Secure’i tarkvarades. Kõige suurema mõjuga neist on kriitiline haavatavus tähisega CVE-2024-21894,  mis võimaldab autentimata ründajatel koodi kaugkäitada. Ivanti väitel on koodi kaugkäitamise riskid piiratud teatud tingimustega, ent ettevõte ei esitanud haavatavate konfiguratsioonide üksikasju.

Shodani monitooringu kohaselt on üle 29 000 internetile avatud seadme, mis kasutavad Ivanti Connect Secure’i VPNi. Umbes 16 500 seadet on internetile avatud ja turvanõrkuse tõttu ohus. Kuna Ivanti haavatavusi on riiklikud küberrühmitused sel aastal juba ära kasutanud, siis on eriti oluline tarkvara uuendada niipea kui võimalik. Hetkel teadaolevalt ei ole nimetatud turvanõrkusi õnnestunud ära kasutada (BC, HN, BC)

Google parandas Chrome’i nullpäeva turvanõrkuse

Nullpäeva haavatavust tähisega CVE-2024-3159 kasutati ära eelmisel kuul Pwn2Own häkkimisvõistluse ajal. Turvanõrkus mõjutab Chrome V8 JavaScripti mootorit ning võimaldab kasutada loodud HTML-lehti, et pääseda ligi andmetele väljaspool mälupuhvrit. Nädal tagasi parandas Google veel kaks Chrome’i nullpäeva turvanõrkust (CVE-2024-2887 ja CVE-2024-2886), mida kasutati edukalt ära Pwn2Own võistlusel. Sel aastal on Chrome’i veebilehitsejas paigatud juba neli nullpäeva turvanõrkust (BC).

Kriitilist Magento turvanõrkust kasutatakse ära rünnete läbiviimisel

Magento tarkvaras olev kriitiline turvaviga tähisega CVE-2024-20720 on saanud ründajate sihtmärgiks. Turvanõrkus on hinnatud kriitilise CVSS skooriga 9.1/10 ja võimaldab veebilehtedel käivitada pahatahtlikku koodi. Haavatavus on ohtlik, kuna selle ärakasutamiseks ei pea kasutaja midagi täiendavalt tegema. Adobe paikas turvavea nii Adobe Commerce’i kui ka Magento tarkvarades. Kõigil Magento tarkvara kasutajatel on

soovitatav uuendada tarkvara versioonidele 2.4.6-p4, 2.4.5-p6 või 2.4.4-p7. Magento on vabavaraline platvorm, mida kasutab 170 000 e-poodi üle maailma (SA, SW).

Enam kui 92 000 D-Linki NAS-seadet on turvanõrkuse tõttu ohus

Küberturbe teadur avastas mitmetes D-Linki NAS-seadmetes turvanõrkuse, mille abil saab ohvri seadmes suvalisi käske käivitada. Eduka ründe korral on võimalik hankida ligipääs tundlikule teabele, muuta süsteemi seadeid ja teenuseid tõkestada. Turvanõrkus tähisega CVE-2024-3273 mõjutab järgmisi D-Linki seadmeid:

  • DNS-320L (versioonid 1.11; 1.03.0904.2013 ja 1.01.0702.2013)
  • DNS-325 (1.01)
  • DNS-327L (1.09 ja 1.00.0409.2013)
  • DNS-340L (1.08)

Netsecfishi monitooringu kohaselt on enam kui 92 000 haavatavat D-Linki NAS-seadet, mis on internetile avatud ja turvavigade tõttu ohus. Nimetatud seadmetele enam uuendusi ei pakuta, kuna need on jõudnud tööea lõppu. D-Link soovitab seadmed välja vahetada uuemate vastu, millele on olemas tarkvara värskendused (BC).

Olulisemad turvanõrkused 2024. aasta 8. nädalal

Enam kui 28 500 Microsoft Exchange’i serverit on turvanõrkuse tõttu ohus

Turvanõrkust tähisega CVE-2024-21410 on juba ka aktiivselt rünnetes ära kasutatud. Haavatavus võimaldab autentimata ründajatel saada ohvri süsteemis kõrgemad õigused.  Shadowserveri monitooringu alusel on ohustatud servereid kokku pea 100 000, kuid nimetatud Exchange’i turvanõrkusele on neist haavatavad 28 500. Hetkel ei ole veel turvaveale avaldatud kontseptsiooni tõendust, mistõttu võib eeldada, et rünnete arv võib edaspidi kasvada.

Kõigil Microsoft Exchange’i kasutajatel tuleks uuendada tarkvara esimesel võimalusel, veebruarikuu uuendustega paigati ka nimetatud haavatavus. Turvaviga on paigatud Exchange Server 2019 uuendusega 14 (CU14) (BC).

WordPressi veebilehti ohustab koodi kaugkäivitamist võimaldav turvanõrkus

Ründajad on võtnud sihikule turvanõrkuse WordPressi “Brick Builderi” nimelises teemas, mille eduka kuritarvitamise korral on võimalik haavataval veebilehel pahaloomulist PHP-koodi käivitada. Teemat kasutab umbes 25 000 WordPressi veebilehte. Viga on paigatud 13. veebruaril avaldatud tarkvara versioonis 1.9.6.1.

Patchstacki info kohaselt on haavatavust juba ära kasutatud. Nad on avaldanud postituse, kus kirjeldavad turvaviga tähisega CVE-2024-25600 täpsemalt.

Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (BC, HN, PS).

Chrome’i ja Firefoxi veebilehitsejates paigati kõrge mõjuga turvavead

Nii Google kui ka Mozilla andsid sel nädalal välja Chrome’i ja Firefoxi tarkvaravärskendused, et paigata mõlema veebilehitseja haavatavused. Mõlemas brauseris parandati kõrge mõjuga mälu ohutuse vead.

Google avaldas Chrome’i versiooni 122.0.6261.57 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 12 haavatavust. Mozilla avaldas Firefoxi versiooni 123, kus on samuti paigatud tosin turvaviga, nende hulgas ka neli kõrge mõjuga haavatavust.

Lisaks avaldati ka uued turvapaikadega versioonid veebilehitsejale Mozilla Firefox ESR 115.8 ja meiliprogrammile Thunderbird.

Kumbki ettevõte ei ole maininud turvavigade ärakasutamist. Soovitame nii Google Chrome kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Apple’i turvaviga võimaldab andmete vargust

Haavatavus tähisega CVE-2024-23204 mõjutab Apple’i populaarset rakendust Shortcuts ja selle kaudu võivad ründajad saada juurdepääsu ohvri seadmetes olevatele tundlikele andmetele, ilma et kasutaja selleks ise loa annaks. Näiteks on võimalik kurjategijal saada ligipääs fotodele, kontaktidele ja failidele. Bitdefenderi analüüsi kohaselt võimaldab haavatavus luua pahatahtliku Shortcutsi faili, mis suudab mööda minna Apple’i turvaraamistikust. Apple’i Transparency, Consent, and Control (TCC) turberaamistik peaks tagama, et rakendused küsiksid kasutajalt selgesõnaliselt luba enne teatud andmetele või funktsioonidele juurdepääsu andmist.

Viga mõjutab macOSi ja iOSi tooteid, mis kasutavad tarkvara versioone macOS Sonoma 14.3, iOS 17.3 ja iPadOS 17.3. Apple on vea paiganud ja soovitab kõigil uuendada tarkvara (DR, SW, BD).

Lunavararühmitustele meeldib kuritarvitada levinud kaughaldus- ja seiretarkvarasid

Erinevad kaughaldustarkvarad, nagu näiteks AnyDesk, TeamViewer, Atera ja Splashtop, on paljude IT-administraatorite töövahendiks ja kasutusel laialdaselt üle maailma. Kuna seadmed ja töötajad võivad olla eri asukohtades, siis on seadmete kaughaldamine saanud tänapäeval on möödapääsmatuks.

Kahjuks on erinevad lunavararühmitused leidnud selles soodsa variandi rünnete läbiviimiseks. Peamiselt kasutatakse järgnevaid strateegiad:

  • Saadakse ligipääs olemasolevale kaughaldustarkvarale. Kuna kaughaldustööriistad nõuavad süsteemile juurdepääsuks mandaate, siis on üheks enamlevinud ründevektoriks nõrgad või vaikimisi määratud paroolid ning paikamata tarkvara.
  • Teiseks variandiks on saada esmalt ligipääs ohvri süsteemile ja seejärel paigaldada sinna endale sobilik kaughaldustarkvara, mille kaudu saab edaspidi ründeid läbi viia.
  • Kolmandaks variandiks on sotsiaalne manipulatsioon, mille käigus saadetakse ettevõtte töötajale link pahatahtliku tarkvaraga ning suunatakse kasutaja seda paigaldama.

Malwarebytes’i analüüsi kohaselt on pea kõik suuremad lunavararühmitused kasutanud oma rünnete läbiviimisel just neid meetodeid ja kaughaldustarkvarasid.

Taoliste rünnete vältimiseks tuleks üle vaadata, kas kasutusel olevas kaughaldustarkvaras on kõik mittevajalikud funktsioonid keelatud. Lisaks tuleks kaughaldustarkvara tegevusi logida ja logisid regulaarselt monitoorida (MB).

Olulisemad turvanõrkused 2023. aasta 50. nädalal

  • Apple avaldas uue iOSi ja iPadOSi versiooni 17.2

Apple avaldas eelmise nädala alguses uued tarkvara versioonid iOS 17.2 ja iPadOS 17.2, kus on paigatud vähemalt 11 turvaviga. Kõige tõsisema mõjuga on mälupesa sisu muutmise viga ImageIO komponendis, mis võib kaasa tuua pahaloomulise koodi käivitamise. Täpsema loetelu paigatud vigadest leiab Apple’i veebilehelt (Apple).

Ühtlasi tuli välja ka turvauuendus vanematele Apple’i seadmetele. Versioonides iOS 16.7.3 ja iPadOS 16.7.3 on paigatud muuhulgas ka WebKiti veebibrauserimootorit mõjutavad nullpäeva turvanõrkused.

Soovitame Apple’i nutiseadmeid uuendada esimesel võimalusel (SW).

  • Microsoft andis välja oma igakuised turvauuendused

Microsoft parandas kokku 34 haavatavust, nende hulgas oli ka üks nullpäeva turvanõrkus. Parandatud vigadest võimaldavad koodi kaugkäivitada kaheksa haavatavust ja kolm neist on hinnatud kriitilise mõjuga veaks.

Paigatud nullpäeva turvanõrkus tähisega CVE-2023-20588 mõjutab teatud AMD protsessoreid, mis võivad eduka ründe korral tagastada tundlikku infot. Viga tuli avalikuks juba augustis, kuid siis ei avaldatud veale parandust.

Lisaks paigati ka kaheksa turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Adobe paikas oma toodetes 207 turvanõrkust

Adobe hoiatas nii Windowsi kui ka macOSi Adobe toodete kasutajaid pahatahtliku koodi käivitamise, mälulekete ja teenuse tõkestamise rünnete eest. Kokku paigati vähemalt 207 turvaviga, mis mõjutavad erinevaid Adobe tarkvarasid.

Kriitilise mõjuga vead paigati tarkvarades Adobe Illustrator, Substance 3D Sampler ja After Effects. Vead paigati ka tarkvarades Adobe Prelude, Adobe InDesign, Adobe Dimension ja Adobe Animate.

Soovitame kõigil Adobe toodete kasutajatel tarkvara uuendada (SW).

  • Google Chrome’i uues versioonis on parandatud 9 turvanõrkust

Google avaldas Chrome’i versiooni 120.0.6099.109 Windowsi, Maci ja Linuxi seadmetele. Parandatud turvanõrkuste seas on viis kõrge mõjuga ja üks keskmise mõjuga haavatavus. Kõige suurema mõjuga neist on V8 JavaScripti mootorit mõjutav haavatavus.

Ettevõtte ei avaldanud täpsemat infot turvanõrkuste kohta, et enamus kasutajaid jõuaks enne tarkvara uuendada. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada. Google on 2023. aasta jooksul paiganud juba seitse nullpäeva turvanõrkust Chrome’i veebilehitsejas (SW).

  • Ligi 40% Log4J rakendustest kasutab haavatavat tarkvara

Umbes 38% rakendustest, mis kasutavad Apache Log4j teeki, on haavatavuste tõttu ohus. Nende hulgas on ka endiselt rakendusi, mis on haavatavad kaks aastat tagasi paigatud kriitilisele turvanõrkusele Log4Shell. Kuna Log4Shell haavatavus mõjutab väga paljusid tarkvarasid ning seda oli lihtne kuritarvitada, siis muutus see kiirelt ründajate sihtmärgiks.

Rakenduste turvalisusega tegeleva ettevõte Veracode’i raporti alusel on endiselt paljud organisatsioonid jätnud tarkvara uuendamata ja on seetõttu ohus erinevatele Log4j turvanõrkuste rünnetele. Ettevõte kogus 90 päeva jooksul andmeid 3866 organisatsioonist ja enam kui 38 000 erinevast rakendusest. Selle tulemusel selgus, et suur hulk rakendusi kasutab endiselt haavatavaid versioone tarkvarast (BC).