Tag Archives: Cisco

Olulisemad turvanõrkused 2024. aasta 27. nädalal

Miljonid OpenSSH serverid on koodi kaugkäivitamise veale haavatavad

Qualysi küberturbeteadurite sõnul on potentsiaalselt 14 miljonit OpenSSH serverit ohus koodi kaugkäivitamist võimaldava vea tõttu, mida nimetatakse regreSSHion. Shodani ja Censys andmete põhjal on internetile avatud enam kui 14 miljonit seadet. Turvaviga tähisega CVE-2024-6387 võimaldab autentimata ründajal saada juurõigused ja käivitada pahaloomulisi käske ning seejärel võtta kontrolli kogu süsteemi üle. Lisaks on võimalik eduka ründe korral ohvri süsteemi paigaldada pahavara ja tagauksi. Turvaviga on võrreldud ka 2021. aastal avalikuks tulnud Log4Shell haavatavusega – teadurite sõnul on regreSSHion sama tõsise ja kriitilise mõjuga.

Viga mõjutab OpenSSH versioone 8.5p1 kuni 9.7p1 ning on parandatud versioonis 9.8p1. Täpsemalt mõjutab haavatavus glibc-põhiseid Linuxi süsteeme ning hetkel ei ole teada, et seda oleks võimalik kuritarvitada Windowsi või macOSi süsteemides.

Qualys on küll avaldanud tehnilist teavet turvavea kohta, kuid kontseptsiooni tõendust ei ole avalikuks tehtud, et vältida rünnete kasvu (SA, SW, ZDNET).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 25 turvaviga, nende hulgas oli kriitiline haavatavus Frameworki komponendis. Turvaviga tähisega CVE-2024-31320 võib kaasa tuua õigustega manipuleerimise ja mõjutab Androidi versioone 12 ning 12L. Suurem osa vigadest on hinnatud suure mõjuga haavatavusteks.

Sel korral ei avaldatud koos turvauuendusega Pixeli seadmete paikasid – ka eelmisel kuul said need avalikuks umbes kaks nädalat peale Androidi seadmete uuendamist.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Cisco paikas nullpäeva turvanõrkuse

Cisco parandas NX-OS tarkvaras nullpäeva turvanõrkuse tähisega CVE-2024-20399, mis võimaldab ründajal käivitada operatsioonisüsteemis suvalisi käsklusi.

Viga mõjutab järgmisi Cisco seadmeid:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode.

Kuna turvanõrkuse ärakasutamiseks peavad ründajal olema administraatoriõigused, siis on seda hinnatud keskmise mõjuga haavatavuseks CVSS skooriga 6.0/10.

Hiinast pärit häkkerite rühmitus Velvet Ant on juba asunud haavatavust kuritarvitama ning kõik Cisco seadmete kasutajad peaks tarkvara uuendama (DR).

Polyfill[.]io rünnak mõjutab ligi 400 000 hosti

Juuni lõpus avalikuks tulnud Polyfill[.]io tarneahela rünnak on palju laiema ulatusega kui esialgu arvati. Nüüdseks on selgunud, et enam kui 380 000 hosti suunavad kasutajaid pahaloomulisele domeenile. Nende hulgas on ka suurte ettevõtete nagu Mercedes-Benz ja WarnerBros domeenid.

Juuni lõpus tuli avalikuks info, et Hiina ettevõte Funnull on ostnud Polyfill.io teenuse ja muutnud seal kasutusel olevat JavaScripti teeki nii, et veebilehtede kasutajad suunatakse ümber pahatahtlikele või kelmusega tegelevatele saitidele. Kuna Polyfill.js on populaarne avatud lähtekoodiga teek vanemate brauserite toetamiseks, siis mõjutab see suurt hulka kasutajaid.

Turvaeksperdid soovitavad veebisaitide omanikel ettevaatusabinõuna oma koodibaasist eemaldada kõik viited hostile polyfill.io ja sellega seotud domeenidele (HN, Censys).

Apache parandas kriitilise turvavea Apache HTTP Serveris

Viga tähisega CVE-2024-39884 mõjutab Apache HTTP Serveri tarkvara ning selle kaudu on võimalik saada ligipääs lähtekoodile. Lisaks paigati veel mitmeid teisi haavatavusi, mis võimaldavad ründajatel teenuseid tõkestada, koodi kaugkäivitada ja saada volitamata juurdepääsu süsteemidele.

Apache Foundation soovitab kasutajatel uuendada tarkvara versioonile 2.4.61, kus turvavead on paigatud (SA).

Olulisemad turvanõrkused 2024. aasta 22. nädalal

TP-Link parandas kriitilise vea populaarses ruuteris C5400X

TP-Link paikas turvavea, mida on hinnatud maksimaalse CVSS-skooriga (10.0/10) ning mis võimaldab autentimata ründajal kaugelt koodi käivitada. Pahaloomuliste käskude käivitamine võib kaasa tuua ruuterite ülevõtmise, andmete pealtkuulamise, DNSi sätete muutmise ja ligipääsu võrgule.

Turvaviga tähisega CVE-2024-5035 mõjutab mängurite seas populaarset TP-Linki ruuterit Archer C5400X ja selle tarkvara versioone kuni 1.1.1.6. Haavatavus on paigatud ruuteri tarkvara versioonis 1_1.1.7 (HN, BC).

Cisco paikas Firepower Management Centeris (FMC) kõrge mõjuga haavatavuse

Cisco parandas Firepower Management Centeri (FMC) tarkvara veebipõhise haldusliidese haavatavuse tähisega CVE-2024-20360, mida on hinnatud kõrge CVSS-skooriga (8,8/10). Haavatavus võimaldab pahaloomulisi SQLi käske käivitada, mille tulemusel saab ründaja andmebaasist mistahes andmeid, käivitada operatsioonisüsteemis suvalisi käske ja õigustega manipuleerida. Turvaveale on olemas parandus ja selle saavad kasutajad alla laadida (SA, Cisco).

WordPressi pistikprogrammi kasutatakse ära kaardiandmete varastamiseks

Kurjategijad on võtnud sihikule WordPressi pistikprogrammi Dessky Snippets. Häkkerid on asunud e-poodide veebilehtedele lisama pistikprogrammi kaudu pangakaardiandmeid varastavat pahaloomulist PHP-koodi.

Kuna e-poodides hoitakse tundlikke andmeid, näiteks pangakaardiandmed ja klientide isikuandmed, siis on need tihti kurjategijate sihtmärkideks. Kõigil WordPressi veebilehtede haldajatel tuleks hoida tarkvara ajakohasena, kasutada tugevaid paroole ja monitoorida oma lehel toimuvat (HN, SA).

Check Point paikas nullpäeva turvanõrkuse

Turvanõrkus tähisega CVE-2024-24919 mõjutab VPNi seadmeid ja seda on õnnestunud rünnetes kuritarvitada. Täpsemalt mõjutab turvaviga järgmisi Check Pointi tooteid: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways ja Quantum Spark Appliances. Mõjutatud versioonid on R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, and R81.20.

Haavatavuse kaudu võib saada kaugjuurdepääsu tulemüürile ja seejärel ligipääsu ettevõtte võrgule.

Check Pointi teatel on virtuaalsete privaatvõrkude (VPN) vastu suunatud rünnakud viimastel kuudel märkimisväärselt suurenenud. Mitmete suurte VPNi pakkujate, nagu Ivanti, Fortinet ja Cisco, toodetes on avalikustatud haavatavusi, mille kaudu on õnnestunud ründeid läbi viia. Muuhulgas kasutavaid neid turvanõrkusi ka riiklikud küberrühmitused. Näiteks jaanuaris hoiatas CISA, et Hiina riikliku taustaga häkkerid on võtnud sihikule Ivanti VPNi nullpäeva turvanõrkused. Seetõttu on oluline VPNi tarkvara uuendada niipea, kui turvauuendused välja antakse.

Kõigil, kes kasutavad Check Pointi Quantum Gateway tooteid, tuleks tarkvara uuendada (SA, SC).

Fortineti SIEMi tarkvara kriitilisele turvanõrkusele avaldati kontseptsiooni tõendus

Veebruaris avalikuks tulnud Fortineti FortiSIEMi tarkvaras olevale kriitilisele turvanõrkusele tähisega CVE-2024-23108 avaldati kontseptsioonitõendus, mis näitab, kuidas turvaviga ära kasutada. Veale on veebruarikuust olemas ka parandus ning kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada (SA).

WordPressi pistikprogrammide kriitilised turvavead on ründajate sihtmärgiks

WordPressi veebilehtede vastu suunatud pahatahtliku kampaania käigus kasutatakse ära turvanõrkusi kolmes erinevas pistikprogrammis – WP Statistics, WP Meta SEO ja LiteSpeed Cache. Tegemist on väga populaarsete pluginatega – WP Statistics pistikprogrammi on alla laetud 600 000 korda ja LiteSpeed Cache pistikprogrammi 5 miljonit korda.

Turvavead mõjutavad pluginate versioone:

  • WP Statistics 14.5 ja vanemad;
  • WP Meta SEO 4.5.12 ja vanemad;
  • LiteSpeed Cache 5.7.0.1 ja vanemad.

Eduka ründe korral on võimalik luua administraatorikonto, sisestada veebilehele pahaloomulist PHP-koodi ning jälgida kogu veebilehel toimuvat. Soovitame kõigil WordPressi veebilehtede haldajatel hoida tarkvara ajakohasena (SW).

Ticketmasterit tabas ulatuslik andmeleke

Live Nation kinnitas, et Ticketmasteri keskkonda on tabanud andmeleke, mis mõjutab 560 miljonit klienti.  Häkkerid on pakkunud tumeveebis müügiks 1.3 TB andmeid, mille eest soovitakse 500 000 dollarit. Varastatud andmed hõlmavad Ticketmasteri klientide nimesid, e-posti aadresse, telefoninumbreid, piletimüügi ja tellimuse üksikasju. Väidetavalt õnnestus andmed varastada pilveteenusepakkuja Snowflake kaudu – esmalt saadi kätte Snowflake’i töötaja kontoandmed ja seejärel saadi ligipääs nende klientide andmetele. Kurjategijate sõnul on nad sarnasel moel saanud ligipääsu ka teiste ettevõtete, nt Mitsubishi, Neiman Marcus ja Advance Auto Parts, andmetele (SA, CS).

Olulisemad turvanõrkused 2024. aasta 17. nädalal

Joonis: ahastuses arst töölaua taga, tema monitori ekraanil on lunavarateade.

Atlassian paikas mitmeid turvavigu oma toodetes

Atlassian parandas seitse kõrge mõjuga haavatavust, mis mõjutavad ettevõtte erinevaid tooteid nagu Bamboo Data Center, Confluence Data Center ja Jira. Eduka ründe korral on võimalik saada ligipääs ohvri süsteemidele ja Atlassiani tarkvarades olevale infole. Soovitame kõigil Atlassiani toodete kasutajatel uuendada tarkvara viimasele versioonile, kuna need on olnud varasemalt ründajate sihtmärkideks. Nimekirja parandatud haavatavustest ja turvapaigatud versioonidest leiab Atlassiani kodulehelt (Atlassian).

Cisco hoiatab: kaks nullpäeva turvanõrkust, mida on rünnete läbiviimisel ära kasutatud

Cisco hoiatas eelmisel nädalal, et riikliku taustaga küberrühmitused on ära kasutanud nende tarkvaras olevaid nullpäeva turvanõrkusi. Turvanõrkused tähistega CVE-2024-20353 ja CVE-2024-20359 mõjutavad Cisco tulemüüride tarkvarasid Adaptive Security Appliance (ASA) ja Firepower Threat Defense (FTD) ning nende kaudu on saadud ligipääs valitsusasutuste võrkudele. Ründeid on alustatud juba eelmise aasta juulis ning Cisco sai neist teada selle aasta jaanuaris.

Ettevõte avaldas turvauuendused ja kutsub kõiki kasutajaid esimesel võimalusel tarkvara uuendama. Ühtlasi soovitab Cisco kõigil administraatoritel vaadata üle süsteemi logid, kas seal on näha planeerimata taaskäivitusi, konfiguratsiooni muudatusi või õiguste lisamist. (BC).

Google paikas kriitilise turvanõrkuse Chrome’i veebilehitsejas

Google avaldas Chrome’i versiooni 124.0.6367.78 Windowsi, Maci ja Linuxi seadmetele, milles on paigatud neli turvaviga. Parandatud turvanõrkuste seas on ka kriitilise mõjuga haavatavus tähisega CVE-2024-4058 ja kaks kõrge mõjuga turvaviga. Kuna vähesed Chrome’i turvavead liigitatakse kriitiliseks, siis võib eeldada, et tegemist on kas koodi kaugkäivitamist võimaldava või liivakastist (sandbox) möödamineku veaga.

Ettevõte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada. Soovitame uuendada Chrome’i esimesel võimalusel (SW, Chrome).

MITRE avalikustas, et nende süsteemidesse saadi ligipääs Ivanti turvanõrkusi kasutades

MITRE Corporation andis teada, et nad sattusid riikliku taustaga küberrühmituse ohvriks. Rünne viidi läbi, kasutades Ivanti Connect Secure’i tarkvas olevaid nullpäeva turvanõrkusi. Veebruaris õnnetus ka ühe Eesti riigiasutuse võrku sisse tungida, kasutades Ivanti tarkvaras olnud haavatavusi. MITRE puhul saadi ligipääs nende uuringute ja prototüüpide jaoks loodud võrgule nimega „Nerve“. Ettevõtte turvalisusega tegelev üksus alustas viivitamatult intsidendi uurimist, eemaldas kurjategijate ligipääsud võrgust ja kaasas ka asutusevälised eksperdid.

MITRE vastu suunatud ründe käigus kasutati ära turvavigasid tähistega CVE-2023-46805 (CVSS skoor 8,2) ja CVE-2024-21887 (CVSS skoor: 9,1), mis võimaldasid ründajal autentimisest mööda minna ja seejärel nakatunud süsteemis suvalisi käske käivitada.

MITRE tegevjuhi sõnul ei ole ükski organisatsioon taolise küberründe eest lõplikult kaitstud, olenemata sellest, kui ranged turvanõuded on kasutusele võetud. Ettevõte jagas ka soovitusi, kuidas oma võrku kaitsta:

  • Monitoorige VPNi võrgus toimuvat liiklust ning jälgige, et seal midagi ebatavalist ei juhtuks.
  • Jälgige kasutajate tegevusi ja seal toimuvaid kõrvalekaldeid.
  • Segmenteerige võrguliiklus.
  • Jälgige, et ligipääs võrgule oleks piiratud ja toimuks regulaarne turvauuenduste paigaldamine (HN, SA, HNS).

Itaalia Synlab peatas pärast lunavararünnakut oma tegevuse

Synlabi Itaalia haru tabas lunavararünnak, mistõttu nad pidid kõik IT-süsteemid võrgust lahti ühendama. Seetõttu tuli ka ajutiselt peatada kõigi meditsiiniteenuste pakkumine, nende hulgas ka kõik laborianalüüsid ja proovivõtud.

Synlab on rahvusvaheline ettevõte, mis pakub tervishoiuteenuseid 30 riigis üle maailma, sealhulgas ka Eestis. Itaalias on Synlabi võrgustikus 380 laborit ja meditsiinikeskust. Hetkel soovitatakse klientidel suhelda vaid telefoni teel, kuna meililiiklus ei toimi tavapäraselt. Ettevõte proovib süsteeme taastada varukoopiast, kuid ei ole teada, kui kiiresti see õnnestub. Hetkel ei ole veel ükski lunavararühmitust võtnud ründe eest vastutust (BC).

Uus Androidi troojan võimaldab ründajatel saada kontroll kasutaja seadme üle

Teadurid avastasid uue Androidi panganduse troojani, mis suudab jäädvustada kõik seadmes toimuvad sündmused alates kasutaja tegevustest, kuvatavast teabest ja kasutaja käivitatavatest rakendustest.

Troojan nimetusega Brokewell võimaldab varastada nii tundlikke andmeid kui ka saada kontrolli kasutaja seadme üle. Brokewelli levitatakse võltsitud tarkvarauuenduste kaudu – näiteks võib kasutajale tunduda, et ta hakkab Chrome’i veebilehitsejat värskendama. Soovitame tarkvara alla laadida ainult ametlikest rakenduste poodidest – kas Google Play või App Store. Google on kinnitanud, et Google Play Protect kaitseb kasutajaid automaatselt selle pahavara teadaolevate versioonide eest (SW, BC).