Tag Archives: Cisco

Olulised turvanõrkused 2022. aasta 44. nädalal

OpenSSLi teegis parandati kaks kõrge tasemega haavatavust

1. novembril avalikustasid OpenSSLi arendajad enda teegist versiooni 3.0.7, millega parandati kaks kõrge tasemega turvanõrkust (CVE-2022-3602 ja CVE-2022-3786). Algselt hinnati esimest nõrkust kriitiliseks, kuid OpenSSLi loojad alandasid kriitilisuse taset pärast arutelusid eri osapooltega (BP, OpenSSL, Tenable, RIA).

OpenSSL on avaliku lähtekoodiga tarkvara, mida kasutatakse laialdaselt muuhulgas võrguliikluse krüpteerimiseks (sealhulgas VPNi lahenduste või HTTPSi protokolli puhul). OpenSSLi arendajad on varem hinnanud vaid üht nõrkust kriitilise tasemega (HeartBleed-nimeline haavatavus 2014. aastal). Tol korral oli ründajatel võimalik nõrkuse abiga varastada sessiooniküpsiseid, paroole ja muud tundlikku informatsiooni.

RIA kirjutas pikemalt nendest turvanõrkustest enda blogis.

Kes ja mida peaks tegema?

Turvanõrkuste vastu on haavatavad rakendused, mis kasutavad OpenSSLi versioone 3.0.0 -3.0.6. Selleks, et organisatsiooni paremini kaitsta, tuleks infoturbejuhtidel/süsteemihalduritel talitleda järgnevalt:

1. Tuvasta, kas teie ettevõtte süsteemid on haavatavad siin kajastatud turvanõrkuste vastu. Kasulik on koostada nimekiri haavatavatest tarkvaradest ja plaan, millal ja kuidas mõjutatud komponendid paigata. Samuti tuleks veenduda, et ettevõtte partnerid, kellel on ligipääs teie süsteemidele, ei ole haavatavad nende turvanõrkuste vastu. Halbade asjaolude kokkulangemisel võib partneri süsteem mõjutada ka teie süsteemi.

2. Uuenda haavatavaid OpenSSLi versioone kasutavad rakendused esimesel võimalusel nii, et need kasutaksid vähemalt teegi versiooni 3.0.7. Kui uuendamine ei ole võimalik, soovitab arendaja ühe lahendusena TLS-serverite haldajatele keelata võimalusel TLS-kliendi autentimine seniks, kuni uuendused on rakendatud1.

3. Vaata üle, kas mõjutatud on teenused, mis on interneti kaudu ligipääsetavad. Kui jah, tuleks infoturbejuhtidel või süsteemihalduritel vajadusel hinnata, kas on võimalik ajutise meetmena (kuni paigatud versiooni või alternatiivsete lahenduste rakendamiseni) ligipääsu neile teenustele piirata (need internetist eemaldada, kui kübeintsidendi toimumise risk on suur).

Fortinet avaldas turvapaigad oma toodetele

Fortinet parandas kokku 16 turvaviga, millest 6 olid kõrge mõjuga haavatavused. Need mõjutavad erinevaid Fortineti lahendusi nagu FortiTester, FortiSIEM, FortiADC, FortiDeceptor, FortiManager ja FortiAnalyzer (SW, Fortinet).

FortiTesterit mõjutav nõrkus võimaldab autentitud ründajal käivitada pahaloomulisi käske.

FortiSIEMi tarkvara mõjutab nõrkus, mille abil on lokaalsel ründajal, kellel on ligipääs käsuaknale, võimalik teostada toiminguid Glassfishi serveris.

Ülejäänud kõrge tasemega turvanõrkused on seotud XSS-rünnet lubavate haavatavustega ja mõnda neist on võimalik autentimiseta kuritarvitada.

Samuti parandati keskmise ja madala tasemega turvavigu. Neid auke saaks ründajad kasutada õiguste suurendamiseks, XSS-rünneteks, informatsiooni kogumiseks, teenusetõkestusrünneteks ja teisteks rünneteks.

Kes ja mida peaks tegema?

Mõjutatud versioonid on välja toodud ettevõtte kodulehel. Kui te mõjutatud tooteid kasutate, külastage viidatud veebilehte ja lähtuge tootjapoolsetest juhistest.

Samsungi rakenduste poes parandati turvaviga

Samsungi rakenduste poes Galaxy Store oli turvaviga, mis lubas ründajatel ohvrite seadmetesse rakendusi installeerida (HN). Ründe õnnestumiseks oleks sihtmärk pidanud külastama pahaloomulist veebilehte, millel oli spetsiifiline veebilink. Klikkides lingil, oleksid ründajad seejärel kasutanud XSS-rünnet. XSS-rünne on veebis väga levinud rünne, mille puhul õnnestub pahalastel käivitada pahaloomulist koodi. 

Kes ja mida peaks tegema?

Turvanõrkus mõjutab versiooni 4.5.32.4. Ettevõte on haavatavuse parandanud. Selleks, et kontrollida, millist versiooni te rakendusest kasutate, tuleb teil minna nutitelefoni operatsioonisüsteemi seadetesse ja valida sealt õige alammenüü (tavaliselt Seaded – > Rakendused -> Galaxy Store).

Cisco paikas kuus kõrge tasemega haavatavust

Turvavead mõjutavad erinevaid Cisco tooteid nagu Identity Services Engine, BroadWorks CommPilot, Email Security Appliance, Secure Email and Web Manager ning Secure Web Appliance (Cisco).

NimetusMõjutatud toodeMõjuKriitilisuse skoor
CVE-2022-20956Identity Services EngineAutentitud ründajal on võimalik nõrkuse abil alla laadida või kustutada faile, millele tal ei tohiks olla ligipääsu.7.1/10.0
CVE-2022-20961Identity Services EngineRündaja saab seda turvanõrkust ära kasutada, et teostada pahaloomulisi toiminguid kompromiteeritud kasutaja õigustes.8.8/10.0
CVE-2022-20951; CVE-2022-20958BroadWorks CommPilot ApplicationVõimaldab autentitud ründajal käivitada pahaloomulist koodi või varastada konfidentsiaalset informatsiooni Cisco BroadWorks serverist.8.3/10.0
CVE-2022-20867; CVE-2022-20868Email Security Appliance, Secure Email and Web Manager, and Cisco Secure Web Appliance Next Generation Management VulnerabilitiesRündajal on võimalik haavatavates süsteemides enda õiguseid suurendada.5.4/10.0

Kes ja mida tegema peaks?

Kõikidele haavatavustele (väljaarvatud nõrkusele CVE-2022-20956) on olemas turvaparandus. Kui kasutate mainitud tooteid, tutvuge tootjapoolse informatsiooniga ja rakendage vajadusel turvapaigad. Tabelis on viidatud veebilehekülgedele, millelt leiate lisainformatsiooni, kuidas paigad rakendada.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 43. nädalal

OpenSSL-i teegis parandatakse kriitiline haavatavus

Eelmisel nädalal teatas OpenSSLi teegi arendaja, et 1. novembril ajavahemikus 15.00–19.00 (EET) avalikustatakse teegist uus versioon 3.0.7, mis paikab kriitilise turvanõrkuse (OpenSSL, ZDNET).

Arendaja hinnangul on nõrkus kriitiline, kui see mõjutab laialt levinud konfiguratsioone ja on tõenäoliselt ka ärakasutatav[1]. Lisaks hindab arendaja nõrkuseid kriitilise tasemega siis, kui nende abil on võimalik kerge vaevaga kompromiteerida serverite privaatvõtmeid või teostada koodi kaugkäitust.

Kes ja mida peaks tegema?

Kirjutamise hetkel ei ole teada, milles turvanõrkus seisneb, kuid see mõjutab OpenSSLi versioone 3.0.0 kuni 3.0.6.

Kuna turvanõrkus võib mõjutada paljusid erinevaid IT-süsteeme, tuleb süsteemide halduritel kindlasti kontrollida, kas haavatavaid OpenSSLi teeke kasutatakse. Kui jah, tuleb 1. novembril vastav uuendus kindlasti rakendada, sest tagajärjed võivad olla üsna tõsised.

Soovitame jälgida ka seda Githubi repositooriumi.

Kontekst: OpenSSL on teek, mida kasutavad näiteks veebiserverid sageli krüpteeritud HTTPS-ühenduste loomiseks. Meiliserverid ja VPN-protokollid (nt OpenVPN) kasutavad krüpteeritud sidekanalite loomiseks samuti OpenSSL-i. Teeki võib leida ka paljudest teistest toodetest.

Viimase kümne aasta jooksul on teegis olnud kaks tõsisemat turvaviga. Esimene avastati 2016. aastal ja see võimaldas süsteeme üle võtta ning nende tööd häirida.

Teine turvanõrkus pärineb 2014. aastast (CVE-2014-0160) ja seda teatakse IT-maailmas nimetusega HeartBleed. Viga mõjutas miljoneid veebilehti ja selle abil oli võimalik ründajatel varastada tundlikke andmeid (krediitkaardinumbreid, nimesid jne).

Apple paikas nullpäeva turvanõrkuse

USA tehnoloogiahiid Apple teavitas 24. oktoobril üldsust mitmetest turvanõrkustest, mis paigati uutes iOSi ja iPad OSi operatsioonisüsteemide versioonides. Üht olulisemat parandatud turvanõrkust nimetatakse tähisega CVE-2022-42827 ja see mõjutab nii iPhone kui ka iPade. Apple sõnul on üritatud seda turvanõrkust aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BPAppleRIABP).

CVE-2022-42827 turvanõrkuse abil saab häirida rakenduste tööd või käivitada pahatahtlikku koodi, et saada kasutaja seadmes kõrgemad õigused tegutsemiseks: nii saab ründaja teoreetiliselt varastada seadmesse kogutud andmeid, teha kuvatõmmiseid süsteemist jne.

Kes ja mida peaks tegema?

Konkreetne turvanõrkus, lisaks paljudele teistele haavatavustele, on parandatud uuemate seadmete jaoks iOSi versioonis 16.1 ja iPadOSi versioonis 16.

iOS 16.1 või iPadOS 16 saab paigaldada järgmistele mudelitele:
iPhone 8 ja uuemad
iPad Pro (kõik mudelid)
iPad Air 3 ja uuemad
iPad viies põlvkond ja uuemad
iPad mini 5 ja uuemad

Vanemate seadmete puhul on turvaviga parandatud iOSi versioonis 15.7.1 ja iPadOSi versioonis 15.7.1.

iOS 15.7.1 või iPadOS 15.7.1 saab paigaldada järgmistele mudelitele:
iPhone 6s või uuemad
iPad Pro (kõik mudelid)
iPad Air 2 või uuemad
iPad viies põlvkond ja uuemad
iPad mini 4 või uuemad
iPod touch (seitsmes põlvkond)

Kui sinu Apple’i telefon või tahvelarvuti on andnud märku uuendamisest, palun tee seda esimesel võimalusel!

Google parandas uue nullpäeva turvanõrkuse Chrome’i veebilehitsejas

Google avalikustas Maci, Linuxi ja Windowsi operatsioonisüsteemidele Chrome’i uue versiooni 107.0.5304.87, milles parandati üks kõrge tasemega haavatavus (CVE-2022-3723). Nõrkus peitub Chrome’i V8 JavaScripti komponendis ja ründaja saab seda teoreetiliselt kasutada näiteks andmete lugemiseks teistest rakendustest. Google on teadlik, et nõrkusele on olemas eksploit (nõrkust ärakasutav programm) (DRCR). 

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat, uuendage see esimesel võimalus. Juhised uuenduste installeerimiseks leiate siit.

Cisco hoiatab kahest turvanõrkusest, mida taas kuritarvitatakse

Cisco hoiatas oma kliente turvavigadest Cisco AnyConnect Secure Mobility Client for Windows tarkvaras. Turvanõrkused avastati juba 2020. aastal (CVE-2020-3433 ja CVE-2020-3153), kuid neid on viimasel ajal hakatud taas aktiivselt kuritarvitama. Mõlema turvanõrkuse kuritarvitamiseks peab ründajal olema süsteemile autentitud ligipääs (BP).

CVE-2020-3433 (7.8/10.0) nõrkuse põhjuseks on ressursside ebapiisav valideerimine, mida rakendus töötamise ajal laadib. Ründaja võib seda nõrkust ära kasutada, saates AnyConnecti protsessile spetsiifilise IPC (interprocess communication) sõnumi. Edukas ärakasutamine võib lubada ründajal käivitada mõjutatud masinas suvalist koodi süsteemiõigustes.

CVE-2020-3153 (6.5/10.0) haavatavus võimaldab ründajal kopeerida faile süsteemikataloogidesse. Haavatavuse põhjuseks on kataloogiteede (directory path) ebakorrektne käsitlemine.

Kes ja mida peaks tegema?

2020. aastal väljastati turvanõrkustele parandused ning kui te ei ole mõjutatud tarkvara siiani paiganud, soovitame kindlasti esimesel võimalusel tarkvara uuendada. Informatsiooni haavatavate versioonide kohta leiate ametlikelt tootja veebilehtedelt, millele on viidatud ülal.


[1] https://www.openssl.org/policies/general/security-policy.html

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 42. nädalal

Apache’i Commons Texti teegis paigati kriitiline turvaviga

Hiljuti avalikustati kriitiline turvaviga CVE-2022-42889 (9.8/10.0) Apache’i Commons Texti teegis. CVE-2022-42889 on nõrkus, mille abil õnnestub autentimata ründajal teostada koodi kaugkäitust. Apache Commons Text on teek, mis sisaldab kasulikke funktsioone sõnede (string) töötlemiseks. Nõrkuse kontseptsiooni tõendus ehk PoC (proof of concept) on avalikustatud (DRSABP).

Turvanõrkuse olemus

Turvaviga põhineb lihtsustatult sisendi ebakorrektsel töötlemisel. See tähendab, et ründajal on võimalik anda haavatava Commons Text teeki kasutava rakenduse kaudu serverile pahaloomuline sisend, mis seal käivitub. Selle tulemusena on ründajal võimalik andmeid varastada, paigaldada pahavara või teha muid pahaloomulisi tegevusi kompromiteeritud süsteemis.

Turvanõrkuse põhjalikuma tehnilise kirjeldusega saab tutvuda siin.

Kes ja mida peaks tegema?

Haavatavad on organisatsioonid, kes kasutavad mõjutatud Apache’i Commons Texti teeki kasutavaid rakendusi koos StringSubstitutor klassiga.  CVE-2022-42889 nõrkus ohustab teegi versioone 1.5-1.9. See on paigatud versioonis 1.10.0.

  • Esmalt tuleb kaardistada, et kas ja milliste rakenduste puhul Commons Text teeki organisatsioonis kasutatakse. Ühe võimalusena saab skaneerida ära kõik JAR failid, mis on seotud Apache Commons Text teegiga. Näiteks võib süsteemist otsida kõiki faile, mis vastavad otsingufraasile common-text*.jar. Tärn tähistab otsingufraasis teegi versiooni (1.10.0 versiooni puhul oleks faili nimi common-text-1-10.0.jar).
  • Samuti tuleb analüüsida, kas rakendatakse väliseid komponente, mis võivad kasutada haavatavat teegi versiooni.
  • Kui te kasutate mõjutatud Apache Common Texti versiooni (1.5-1.9), tuleb see uuendada vähemalt versioonile 1.10.0, mille leiate siit. Kui uuendamine ei ole võimalik, tuleb igal organisatsioonil tähelepanelikult teeki kasutavad funktsioonid üle kontrollida ja veenduda, et need ei aksepteeriks ebausaldusväärset sisendit.

Oracle paikas turvauuendustega 179 haavatavust

Ettevõte tuli välja 27 tootele mõeldud 370 turvauuendusega, millest 56 on kriitilised, 144 kõrge tasemega ja 163 keskmise tasemega turvauuendused (TenableOracle). 

Kes ja mida peaks tegema?

Organisatsioonid, kes kasutavad neid Oracle’i tooteid, tuleb veenduda, et kõik pakutavad turvauuendused oleks tehtud. Vastasel juhul säilib oht turvanõrkuste ära kasutamiseks. Täpsema ülevaate paigatud nõrkustest saab tootja kodulehelt siin.

MacOSi Zoomi tarkvara sisaldab kõrge riskiga turvaviga

Populaarses videokonverentsi tarkvaras Zoom avastati kõrge riskiga turvaviga (CVE-2022-28762), mida on hinnatud skooriga 7.3/10.0. Haavatavus mõjutab MacOSi Zoomi rakenduse kasutajaid, täpsemalt Zoom Client for Meetings for MacOS versioone 5.10.6 kuni 5.12.0 (SW).

Kes ja mida peaks tegema?

Turvaveale on olemas parandus. Mõjutatud tarkvara kasutavatel inimestel tuleb ennetusmeetmena Zoom uuendada.

Turvanõrkused Cisco Identity Services Engine teenuses

Cisco avaldas hoiatuse Identity Services Engine (ISE) teenuse kasutajatele kahe haavatavuse (CVE-2022-20822 ja CVE-2022-20959) osas, mis võimaldavad kompromiteeritud seadmes olevaid faile lugeda, kustutada ja selles käivitada pahatahtlikku koodi. Tootja ei ole teadlik, et turvanõrkuseid oleks üritatud veel ära kasutada (HNS).

CVE-2022-20822 (7.1/10.0)on path traversal tüüpi turvanõrkus, millega on ründajal võimalik pääseda kõrgema tasemega kataloogidesse, mis ei ole mõeldud kõigile ligipääsetavaks. Haavatavust saab kuritarvitada autentitud pahaloomuline kasutaja, kui ta saadab Cisco ISE veebiliidesele spetsiaalse HTTP-päringu.

CVE-2022-20959 (6.1/10.0) on skriptisüsti võimaldav turvanõrkus, mis mõjutab Cisco ISE ERS APIt. Haavatavuse ärakasutamiseks tuleb ründajal loota, et autentitud veebiliidese administraator klikib talle saadetud pahaloomulisel lingil. Õnnestunud rünne pakub pahalasele võimaluse käivitada liideses pahaloomulist koodi või pääseda ligi tundlikule informatsioonile.

Kes ja mida peaks tegema?

Hetkel on turvapaik CVE-2022-20959 nõrkuse jaoks avalikustatud üksnes ühe kindla ISE versiooni puhul. Alternatiivseid ennetusmeetmeid ei ole. Kui te kasutate Cisco Identity Services Engine teenust, tutvuge tootja ametliku informatsiooniga siin ja siin.

Zimbra tarkvara kriitiline turvanõrkus paigati

Kaks nädalat tagasi kirjeldas RIA turvanõrkuste ülevaade Zimbra Collaboration Suite tarkvara kriitilist turvanõrkust skooriga 9.8/10.0 (CVE-2022-41352), mis võimaldab koodi kaugkäitust. Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Nüüd on turvanõrkusele avalikustatud ka parandus ning see soovitatakse rakendada kõigil, kes mõjutatud tarkvara kasutavad. Täpsemalt saab selle kohta lugeda siit.

RIA analüüsi- ja ennetusosakond