Tag Archives: Cisco

Olulised turvanõrkused 2023. aasta 9. nädalal

Cisco paikas mitmel IP-telefonil koodi kaugkäitust võimaldava turvanõrkuse

Cisco teatas eelmisel nädalal, et parandas mitmete IP-telefonide administreerimisliidest (WebUI) mõjutava kriitilise turvavea (CVE-2023-20078). Haavatavus hinnati kriitiliseks, kuna selle abil on ründajal võimalik autentimata käivitada mõjutatud süsteemis juurõigustes pahaloomulisi käske. Lisaks paigati uuendustega ka üks kõrge mõjuga haavatavus (CVE-2023-20079), mis lubab ründajal IP-telefonide tavapärast tööd häirida (BP, Cisco).

Kes ja mida peaks tegema?

CVE-2023-20078 mõjutab järgnevaid mudeleid:
IP Phone 6800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 7800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 8800 seeria telefonid koos spetsiifilise püsivaraga (MPP).

CVE-2023-20079 mõjutab järgnevaid mudeleid:
IP Phone 6800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 7800 seeria telefonid koos spetsiifilise püsivaraga (MPP).
IP Phone 8800 seeria telefonid koos spetsiifilise püsivaraga (MPP).

Unified IP Conference Phone 8831 telefonid.
Unified IP Conference Phone 8831 telefonid koos spetsiifilise püsivaraga (MPP).
Unified IP Phone 7900 seeria telefonid.

Tootja pakub tarkvarauuendusi turvavigade eemaldamiseks. Kui mainitud IP-telefone kasutatakse, soovitame esimesel võimalusel nende tarkvara uuendada. Rohkem infot leiate Cisco kodulehelt.

Booking.com kasutajakontosid oli võimalik turvanõrkuste tõttu üle võtta

Eelmisel nädalal avaldati artikkel, milles kirjeldatakse turvavigu, mis mõjutasid Booking.com majutuskeskkonna sisselogimisfunktsionaalsust (Salt). Täpsemalt olid vead seotud OAuthi raamistikuga, mida kasutavad väga paljud erinevad keskkonnad kasutajate autentimiseks. OAuthi abil saavad kasutajad näiteks enda Google’i või Facebooki kasutajakontoga teistesse keskkondadesse sisse logida. Uurimus leidis, et pahaloomulistel osapooltel oleks olnud võimalik turvavigade abil nende inimeste Booking.com kasutajakontod üle võtta, kes logivad keskkonda sisse Facebooki konto abil. Ettevõte parandas turvanõrkused kiiresti ja teateid nõrkuste edukast ärakasutamisest ei ole. Põhjalikum ülevaade haavatavustest koos tehnilise kirjeldusega on leitav siit (Salt).

TPM 2.0 teegis avastatud turvavead võivad ohustada miljardeid seadmeid

Trusted Platform Module ehk TPM on lahendus, mis pakub turvafunktsioone, sealhulgas krüptimisvõtmete loomist ja talletamist ning riistvara ja tarkvara muudatuste kontrolli. Hiljuti avastati TPM 2.0 spetsifikatsiooni puhul kaks turvanõrkust CVE-2023-1017 ja CVE-2023-1018. Mõlemad haavatavused on seotud sellega, kuidas TPM 2.0 teatud parameetreid töötleb. Ründajal, kellel on ligipääs TPMi käsuliidesele, on võimalik haavatavuste kaudu käivitada pahaloomulisi käske. Käskude abil on võimalik ligi pääseda tundlikele andmetele või kirjutada üle andmeid, mis on tavaliselt kättesaadavad ainult TPMile (näiteks krüptimisvõtmed) (BP, HN).

Kes ja mida peaks tegema?

Erinevate seadmete tootjad, kes TPM 2.0-i kasutavad, peavad rakendama versioonid, mille puhul on need turvanõrkused parandatud. Nendeks versioonideks on:

TPM 2.0 v1.59 Errata 1.4 või uuem
TPM 2.0 v1.38 Errata 1.13 või uuem
TPM 2.0 v1.16 Errata 1.6 või uuem

Tavakasutajatel soovitatakse piirata enda seadmetele füüsiline ligipääs vaid usaldusväärsetele isikutele, kasutada ainult usaldusväärseid rakendusi ja paigaldada tarkvarauuendused esimesel võimalusel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 8. nädalal

Hiljuti avalikustatud FortiNeti turvanõrkust üritatakse aktiivselt ära kasutada

Turvanõrkus tähisega CVE-2022-39952, mis mõjutab haavatavaid FortiNACi servereid, on kogumas ründajate seas populaarsust, kuna selle turvavea jaoks on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). Haavatavuse abil on ründajal võimalik spetsiifilise HTTP-päringu abil käivitada pahaloomulist koodi mõjutatud süsteemis. Ründaja ei pea sealjuures olema autentitud (SA). 

Kes ja mida peaks tegema?

Turvaviga mõjutab järgnevaid FortiNACi versioone:

FortiNACi versioon 9.4.0;
FortiNACi versioon 9.2.0 kuni 9.2.5;
FortiNACi versioon 9.1.0 kuni 9.1.7;
Kõik FortiNACi 8.8 versioonid;
Kõik FortiNACi 8.7 versioonid;
Kõik FortiNACi 8.6 versioonid;
Kõik FortiNACi 8.5 versioonid;
Kõik FortiNACi 8.3 versioonid;

Turvaviga on parandatud versioonides 7.2.0, 9.1.8, 9.2.6 ja 9.4.1.

Zyxel parandas 4G ruuteritel turvavea

Teatud Zyxeli 4G ruutereid mõjutab haavatavus, mis võimaldab ründajal Telneti kaudu ligi pääseda haavatavate ruuterite süsteemidesse. Turvanõrkus mõjutab 4G ruuterite mudeleid LTE3202-M437 ja LTE3316-M604 (Zyxel).

Kes ja mida peaks tegema?

Tootjapoolse info nõrkuse kohta leiate siit. Haavatavate seadmete kasutajad peaksid seadme uuendama esimesel võimalusel.

VMware paikas haldustarkvaral kõrge mõjuga turvanõrkuse

VMware paikas uuendusega kriitilise turvanõrkuse CVE-2023-20858, mis mõjutab Carbon Black App Control nimelist haldustarkvara. Haavatavus lubab ründajal, kellel on ligipääs tarkvara haldusliidesele, juurde pääseda operatsioonisüsteemile, millel tarkvara töötab (BP).

Kes ja mida peaks tegema?

Haavatavus mõjutab Windowsi operatsioonisüsteemile mõeldud VMware Carbon Black App Control tarkvara versioone 8.7.7 ja vanemaid, 8.8.5 ja vanemaid ning 8.9.3 ja vanemaid. Turvaviga on parandatud versioonides 8.9.4, 8.8.6 ja 8.7.8 (BP).

Kõikidel vastava tarkvara kasutajatel tuleks see uuendada esimesel võimalusel (VMware).

Cisco parandas kaks kõrge mõjuga haavatavust

Esimene haavatavus tähisega CVE-2023-20011 mõjutab APICi (Application Policy Infrastructure Controller) ja pilvevõrgukontrolleri haldusliidest. Ründaja (kes ei pea end sealjuures autentima) saab haavatavuse abil teostada CSRFi (cross-site request  forgery) ründeid. See tähendab, et kui tarkvara kasutaja klikib talle saadetud pahaloomulisel lingil, on ründajal võimalik ligi pääseda mõjutatud süsteemile kompromiteeritud kasutaja õigustes (Cisco).

Teine kõrge mõjuga haavatavus CVE-2023-20089 mõjutab Cisco Nexus 9000 ACI-režiimis olevaid võrgujaotureid ja selle abil on ründajal võimalik takistada haavatavate seadmete tavapärast tööd (Cisco).

Tootjale teadaolevalt ei ole neid turvanõrkuseid seni siiski kuritarvitatud.

Kes ja mida peaks tegema?

Soovitame tutvuda Cisco teabelehtedega, millele on viidatud ülal. Need kirjeldavad turvanõrkuste olemust ja aitavad kasutajatel vastavad tarkvarauuendused paigaldada.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 7. nädalal

Apple paikas uuendustega nullpäeva turvanõrkuse

Apple avalikustas 13. veebruaril iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad ühe nullpäeva turvanõrkuse tähisega CVE-2023-23529. Haavatavus on seotud WebKit-nimelise komponendiga ja seda on ründajal võimalik ära kasutada, kui ta meelitab ohvri külastama spetsiaalselt selleks loodud veebilehte. Selle abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkust CVE-2023-23529 aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Lisaks paigati uuendustega ka turvanõrkus tähisega CVE-2023-23514. Kui kasutaja laeb alla pahaloomulise rakenduse, mis seda haavatavust oskab ära kasutada, on rakenduse haldajal teoreetiliselt võimalik käivitada haavatavas seadmes pahaloomulist koodi kerneli õigustes. See tähendab, et pahaloomulise koodi abil on ründajal teoreetiliselt võimalik seadmele anda mistahes käsklusi ja ligi pääseda mistahes andmetele (Apple).  

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.3.1, iPadOS 16.3.1 ja macOS Ventura 13.2.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid nullpäeva turvanõrkuse CVE-2023-23529 eest kaitsta, kui nad uuendavad Safari veebilehitseja versioonile 16.3.1 (Apple).

iOS 16.3.1 või iPadOS 16.3.1 on rakendatavad järgmistele mudelitele:

  • iPhone 8 ja uuemad;
  • iPad Pro (kõik mudelid);
  • iPad Air 3 ja uuemad;
  • iPadi viies generatsioon ja uuemad;
  • iPad mini 5 ja uuemad;

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, siis palun tee seda esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kuttume kõiki üles suhtuma uuendustesse tõsiselt ning neid alati seadmetes rakendama.

Apple’i macOS Ventura kohta käiv teavitus – https://support.apple.com/en-us/HT213633

Apple’i iOSi ja iPadOSi kohta käiv teavitus – https://support.apple.com/en-us/HT213635

Microsoft parandas igakuise uuenduste teisipäeva raames 77 turvaviga

Parandatud turvavigade seas oli muuhulgas kolm nullpäeva turvanõrkust ja üheksa kriitilist haavatavust. Kriitiliseks märgiti nõrkused seetõttu, et võimaldavad koodi kaugkäitust mõjutatud seadmetes. Nullpäeva turvanõrkuseks loeb Microsoft vigu, mis avaldati või mida aktiivselt ära kasutatakse enne, kui selle vastu oli olemas ametlik parandus (BP).

Nullpäeva turvanõrkuseid oli kokku kolm – CVE-2023-21823, CVE-2023-21715, CVE-2023-23376.

CVE-2023-21823 mõjutab üht Windowsi operatsioonisüsteemi komponenti ning ründajatel on võimalik selle abil pahaloomulisi käsklusi käivitada süsteemiõigustes. Uuendus edastatakse kasutajatele Microsoft Store’i mitte Windows Update’i kaudu. Seetõttu peavad need inimesed, kellel ei ole automaatne uuendamine Microsoft Store’is lubatud, uuenduse käsitsi rakendama.

CVE-2023-21715 peitub Microsoft Publisheris ja selle abil on ründajal võimalik Office’i makrodega seotud kaitsemeetmetest mööda pääseda, mis blokeerivad ebusaldusväärseid või pahatahtlikke faile. Teisisõnu ei küsi süsteem kasutajalt üle, kas ta soovib makrod käivitada, vaid need käivitatakse automaatselt pärast seda, kui kasutaja avab pahaloomulise Publisheri dokumendi.

CVE-2023-23376 võimaldab ründajal omandada süsteemiõigused.

Ülevaate kõikidest parandatud turvanõrkustest leiate siit.

Kes ja mida peaks tegema?

Kui kasutate mõjutatud tarkvarasid, rakendage uuenduste olemasolul need esimesel võimalusel.

Fortinet paikas enda toodetel 40 turvaviga

40st turveast kaks on hinnatud kriitiliseks, 15 kõrge tõsidusastmega, 22 keskmise tõsidusastmega ja üks madala tõsidusastmega. Kõige kriitilisemalt hinnatakse turvanõrkust CVE-2022-39952 (9.8/10.0), mis mõjutab FortiNACi veebiservereid ja mille abil on ründajal võimalik end autentimata mõjutatud süsteemis pahaloomulist koodi käivitada (HN).

Selle turvanõrkuse vastu on haavatavad on järgnevad FortiNACi versioonid (Fortinet):

FortiNACi versioin 9.4.0;

FortiNACi versioon 9.2.0 kuni 9.2.5;

FortiNACi versioon 9.1.0 kuni 9.1.7;

Kõik FortiNACi 8.8 versioonid;

Kõik FortiNACi 8.7 versioonid;

Kõik FortiNACi 8.6 versioonid;

Kõik FortiNACi 8.5 versioonid;

Kõik FortiNACi 8.3 versioonid;

Turvaviga on parandatud versioonides 7.2.0, 9.1.8, 9.2.6 ja 9.4.1.

Teine parandatud kriitiline turvanõrkus CVE-2021-42756 (9.3/10.0) on seotud FortiWebiga ja selle abil on ründajal võimalik vastavate HTTP päringute abil mõjutatud süsteemis pahatahtlikku koodi käivitada (Fortinet).

Turvanõrkus mõjutab järgnevaid FortiWebi versioone:

Kõik FortiWebi versioonid 5.x;

FortiWebi versioonid 6.0.7 ja varasemad;

FortiWebi versioonid 6.1.2 ja varasemad;

FortiWebi versioonid 6.2.6 ja varasemad;

FortiWeb versioonid 6.3.16 ja varasemad;

Kõik FortiWebi versioonid 6.4;

Turvaviga on parandatud versioonides 7.0.0, 6.3.17, 6.2.7, 6.1.3 ja 6.0.8.

Kes ja mida peaks tegema?

Haavatavate tarkvarade kasutamise korral uuendage need kõige uuematele versioonidele.

Cisco parandas ClamAV-l koodi kaugkäitust võimaldava turvavea

Kriitilise turvanõrkuse CVE-2023-20032 (9.8/10.0) abil on ründajal võimalik teostada tarkvarale antud õigustes koodi kaugkäitust või peatada haavatava süsteemi töö täielikult. Turvaviga mõjutab ClamAV versioone 1.0.0 ja varasemaid, 0.105.1 ja varasemaid ning 0.103.7 ja varasemaid. Ettevõtte hinnangul ei ole neile siiski teada, et nõrkust oleks seni jõutud ära kasutada (SA).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab järgnevaid tooteid:

ToodeTurvanõrkus on parandatud versioonides
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints Linux1.20.1
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints MacOS1.21.1
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints Windows7.5.9, 8.1.5
Secure Endpoint Private Cloud3.6.0 või uuem
Secure Web Appliance, formerly Web Security Appliance14.0.4-005, 15.0.0-254

Kui kasutate haavatavate versioonidega tooteid, uuendage need esimesel võimalusel.

RIA analüüsi- ja ennetusosakond