Tag Archives: Cisco

Olulised turvanõrkused 2023. aasta 39. nädalal

  • Libwebp teegi turvanõrkus võib mõjutada miljoneid rakendusi

Kui algselt arvati, et turvaviga on seotud ainult Google Chrome’iga, siis nüüdseks on eksperdid arvamust muutnud. Turvanõrkust tuntakse tähisega CVE-2023-4863 ja see on hinnatud kõrgeima CVSS skooriga (10.0/10.0). Haavatavus mõjutab kõiki rakendusi, mis kasutavad WebP piltide töötlemiseks libwebp teeki. Seda teeki kasutavad näiteks mitmed populaarsed tarkvarad nagu Nginx, Python, Joomla, WordPress, Node.js jpt. Ründaja võib haavatavust ära kasutada spetsiaalselt loodud WebP-faili abil, mille kaudu saab käivitada pahaloomulist koodi. Haavatavad on libwebp versioonid 0.5.0 kuni 1.3.1, turvanõrkus on parandatud versioonis 1.3.2. Soovitame rakenduste sõltuvus sellest teegist üle vaadata ja vajadusel rakendada turvauuendus teegile ja/või rakendustele (HNS, SA).

  • Kriitilisele Sharepointi turvaveale avalikustati kontseptsiooni tõendus

Microsoft SharePoint Serveri kriitilisele turvanõrkusele avalikustati tehniline analüüs. See turvaviga, mida tähistatakse kui CVE-2023-29357, võimaldab autentimata ründajatel omandada administraatori õigusi ilma kasutajapoolse sekkumiseta. Microsoft parandas haavatavuse juba juunis. Turvanõrkuse paikamine on oluline, kuna antud haavatavust on potentsiaalselt võimalik kombineerida ühe teise turvaveaga, et käivitada pahaloomulist koodi haavatavas süsteemis. Turvanõrkus on eemaldatud SharePointi versioonis 16.0.10399.20005 või uuemates versioonides (BP, PS).

  • Kriitilised haavatavused Eximi tarkvaras ohustavad üle 250 000 meiliserveri maailmas

Tuhanded serverid, mis kasutavad Eximi tarkvara, on ohus kriitiliste haavatavuste tõttu, mis võivad kaasa tuua pahatahtliku koodi kaugkäivitamise. Kokku mõjutab tarkvara kuus haavatavust ja Exim on väljastanud turvapaigad kolmele turvanõrkusele. Kuna Eximi tarkvara kasutavad paljud serverid, on haavatavuste paikamise üsna oluline. Samuti on selle tarkvara nõrkuseid varem ära kasutanud riikliku toega küberrühmitused. Näiteks 2020. aastal kirjeldas USA riiklik julgeolekuagentur (NSA), kuidas küberrühmitus nimega Sandworm oli kuritarvitanud 2019. aastast pärit Eximi tarkvara haavatavust (CISA). Soovitame serverite administraatoritel rakendada  turvapaigad esimesel võimalusel, kuna ründajad võivad neid turvaauke ära kasutada (AT).

  • Firefoxile ja Thunderbirdile tulid turvauuendused

Mozilla on välja andnud Firefoxi ja Thunderbirdi turvavärskendused, mis kõrvaldavad kokku üheksa haavatavust. Enamik turvanõrkustest on seotud mäluga ja võivad põhjustada rakenduse töös probleeme või võimaldada ründajal käivitada suvalist koodi. Soovitame paigaldada uuendused esimesel võimalusel (Mozilla, SW).

  • Chrome’il paigati selle aasta viies nullpäeva turvanõrkus, mis mõjutab potentsiaalselt ka paljusid teisi tarkvarasid

Google avalikustas erakorralise turvavärskenduse, et parandada viies Chrome’i nullpäeva haavatavus (CVE-2023-5217) sel aastal. See võib põhjustada rakenduse töös probleeme või viia suvalise koodi käivitumiseni. Väidetavalt on seda varem juba kuritarvitatud nuhkvara paigaldamiseks. Turvanõrkus on kõrvaldatud Google Chrome’i versioonis 117.0.5938.132, mis on saadaval Windowsi, macOSi ja Linuxi operatsioonisüsteemidele (AT).

Chrome’is avastatud kriitiline nullpäeva haavatavus on tekitanud muret, kuna see ei mõjuta mitte ainult Chrome’i, vaid ka paljusid teisi rakendusi, sh Firefoxi. Turvanõrkus peitub libvpx teegis ja seega võib potentsiaalne mõjuulatus olla väga lai, kuna teeki kasutab enamik sirvikuid, samuti Skype, Adobe, VLC ja Android.  Siiski on veel ebaselge, kui paljud tarkvarad on otseselt nõrkusest mõjutatud (AT).

  • Cisco haldustarkvara mõjutab viis turvanõrkust

Cisco on väljastanud hoiatuse viie haavatavuse kohta, mis mõjutavad Catalyst SD-WAN Manageri tarkvara. Kõige olulisem viga võimaldab haavatavale serverile saada autentimata kaugjuurdepääsu. SD-WAN Manageri kasutatakse võrgu haldamiseks. Kõige tõsisem haavatavus on CVE-2023-20252, mille CVSS-i skoor on 9,8. Ründajad saavad seda viga ära kasutada, saates SAML-i API-dele spetsiaalselt koostatud päringuid. Turvanõrkust saab ära kasutada volitamata juurdepääsu saamiseks andmetele, andmete muutmiseks või nende kustutamiseks (BP, Cisco).

Haavatavused mõjutavad Cisco Catalyst SD-WAN Manageri erinevaid versioone. Ettevõte soovitab minna üle paigatud versioonidele esimesel võimalusel, kuna alternatiivseid kaitsemeetmeid hetkel ei ole. IOS XE tarkvara, SD-WAN cEdge ja SD-WAN vEdge ruuterid ei ole turvavigade suhtes haavatavad (BP, Cisco).

Olulised turvanõrkused 2023. aasta 35. nädalal

  • Küberrünnakud ohustavad avatud Microsoft SQL Serveri andmebaase

Hiljuti avalikustati raport, mis käsitleb küberrünnakuid avatud Microsoft SQL Serveri (MSSQL) andmebaaside vastu. Küberrünnakutele on antud koodnimetus DB#JAMMER. Raporti põhjal alustavad ründajad jõuründega internetist kättesaadavate MSSQL andmebaaside suunas. Kui sellega õnnestub ründajatel andmebaasidele ligipääs saada, üritavad nad kompromiteeritud süsteemis seda ka kindlustada. Lisaks paigaldatakse kompromiteeritud süsteemi erinevat tüüpi pahavara, luuakse ühendusi ründajate kontrollitud infrastruktuuriga, et vajalikke tööriistu andmete varastamiseks alla laadida ning krüpteeritakse võimalusel kogu ülevõetud süsteem. Raporti autorite hinnangul on tegu kõrgetasemeliste rünnetega, arvestades kasutatud pahavara, infrastruktuuri ja rünnete ülesehitust laiemalt.

Kuna rünnakud sihivad eelkõige avatud MSSQL servereid, tuleks avalik ligipääs neile võimalusel piirata. Samuti soovitatakse veenduda, et kasutajakontod kasutaksid piisavalt tugevaid paroole, sest nõrgad kasutajatunnused teevad ründajate elu palju lihtsamaks. Lisaks soovitatakse raportis organisatsioonidel monitoorida levinumaid pahavara paigaldamisega seotud katalooge („C:\Windows\Temp“) ja juurutada täiendavat protsessitasemel logimist (Sysmoni ja PowerShelli logimine), et logimise katvust laiendada (Securonix, DR).

  • WordPressi pistikprogrammi turvaviga võib kaasa tuua andmete lekkimise

Pistikprogrammil nimetusega All-In-One WP Migration avastati turvaviga, mis võib lubada ründajatel  ligi pääseda haavatava veebilehe tundlikele andmetele. Antud pistikprogrammi kasutab umbes viis miljonit WordPressi veebilehte. Viga, mida tähistatakse tähisega CVE-2023-40004, võimaldab autentimata kasutajatel suunata potentsiaalselt haavatava veebilehega seotud andmed kolmanda osapoole pilveteenustega seotud kontodele või kasutada pahaloomulisi varukoopiaid. Turvaprobleemi leevendab mõnevõrra asjaolu, et pistikprogrammi kasutatakse üldjuhul ainult veebilehe migratsiooniprojektide ajal ja see ei tohiks tavaliselt olla muul ajal aktiivselt kasutuses (BP).

Mõjutatud tasuliste kolmanda osapoole laienduste kasutajatel soovitatakse minna üle järgmistele fikseeritud versioonidele:

Box-nimeline laiendus: v1.54

Google Drive’i laiendus: v2.80

OneDrive’i laiendus: v1.67

Dropboxi laiendus: v3.76

Samuti soovitatakse kasutajatel kasutada pistikprogrammi All-in-One WP Migration uusimat versiooni v7.78.

  • Unarusse jäetud DNS-kirjeid on võimalik kasutada alamdomeenide kaaperdamiseks

IT-turbe konsultatsioonifirma töötajad viisid läbi uurimuse, et kaardistada unarusse jäetud DNS-kirjetega seonduvaid ohte. Täpsemalt keskenduti olukorrale, kui DNSi CNAME kirje osutab alamdomeenile, mida enam ei eksisteeri. Uurimistöö autorite sõnul õnnestus neil selliste DNS-kirjete abil üle võtta enam kui tosina suurorganisatsiooni alamdomeenid. Uurimistöö keskendus USA, Kanada, Ühendkuningriigi ja Austraalia valitsusorganisatsioonide alamdomeenidele, samuti uuriti erasektori ettevõtete kasutatavaid DNS-kirjeid. Tõenäoliselt on haavatavaid organisatsioone üle tuhande, selgub uurimusest (Certitude).

Pärast konfiguratsioonivea leidmist konfigureerisid autorid kaaperdatud alamdomeenid nii, et need suunaksid külastajad turvateadlikkuse teatise lehele, kus selgitatakse, kes nad on, mida nad on teinud ja kuidas nad seda tegid. Samuti andis leht juhised alamdomeeni kaaperdamise ärahoidmiseks ja alamdomeeni taastamiseks. Pahatahtlik osapool oleks võinud seda DNS-i konfiguratsiooniviga ära kasutada aga pahavara levitamiseks, valeinformatsiooni levitamiseks ja andmepüügirünnakuteks (Certitude).

Uurimuses kajastatud DNS-kirjetega seotud probleem tekib tihti pilveteenustega. Organisatsioonid seostavad kolmandate osapoolte pakutavaid pilvepõhiseid teenuseid DNS-kirjetega oma DNS-serveris. Kui aga pilveteenusest mingil hetkel loobutakse, võivad DNS-kirjed jätkuvalt jääda osutama sidusdomeenile (Certitude).

  • Lunavararühmitused ründavad mitmefaktorilise autentimiseta Cisco VPNe

Alates 2023. aasta märtsist on Akira ja LockBiti küberrühmitused rünnanud organisatsioone haavatavate Cisco ASA SSL VPN kaudu. Rünnakute õnnestumine on olnud tingitud nõrkadest või vaikeparoolidest, kuid samuti asjaolust, et tihti ei ole VPNide puhul rakendatud mitmefaktorilist autentimist (MFA) (Rapid7).

Analüüsist selgub, et kompromiteeritud Cisco VPNid on olnud erinevate versioonidega, rünnakud on olnud automatiseeritud ning sisse on üritatud saada erinevaid laialt levinud kasutajanimesid proovides. Analüüsi autorite sõnul ei olnud 40% kompromiteeritud VPNidest MFA-d rakendatud (Rapid7).

Selliste intsidentide vältimiseks ärgitatakse organisatsioone kasutama unikaalseid ja tugevaid paroole, uuendama tarkvara esimesel võimalusel ja analüüsima logisid, et tuvastada jõurünnete teostamist. Samuti tuleks alati võimalusel rakendada MFA-d (Rapid7). 

  • VMware’i virtualiseerimiskeskkondade haldustarkvara SSH-autentimisest on võimalik mööda pääseda

VMware Aria Operations for Networks (endine vRealize Network Insight) on haavatav kriitilise turvavea suhtes (tähisega CVE-2023-34039, kriitilisuse hinnang 9.8/10.0), mis võib võimaldada ründajatel haavatava süsteemi SSH-autentimisest mööda minna ja ligi pääseda privaatsetele lõpp-punktidele (private end-points).

CVE-2023-34039 kasutamine võib viia andmelekkeni või andmete muutmiseni mõjutatud süsteemis. Olenevalt konfiguratsioonist võib ründajal olla võimalik tekitada võrguhäireid, muuta süsteemi konfiguratsiooni, paigaldada pahavara või liikuda teistesse seotud süsteemidesse edasi.

Turvaviga mõjutab kõiki Aria tarkvara 6.x versioone. Hetkel on ainus viis kriitilise vea parandamiseks minna üle versioonile 6.11 või rakendada varasematele versioonidele turvapaika tähisega KB94152. Täpsemat infot saab viidatud linkidelt (VMware, BP).

Olulised turvanõrkused 2023. aasta 34. nädalal

Turvanõrkused Jupiter X Core WordPressi pistikprogrammis ohustavad veebilehti

Kaks haavatavust, mis mõjutavad WordPressi ja WooCommerce’i veebilehtede seadistamiseks mõeldud pistikprogrammi Jupiter X Core teatud versioone, võimaldavad kontode kaaperdamist ja haavatavasse süsteemi failide laadimist ilma autentimiseta.

Esimene haavatavus CVE-2023-38388 lubab faile ilma autentimiseta üles laadida, mis võib viia serveris suvalise koodi käivitamiseni.

Turvavea kriitilisuse tasemeks on märgitud 9.0/10.0 ja see mõjutab kõiki JupiterX Core’i versioone, mis on 3.3.5 või vanemad. Arendaja parandas haavatavuse pistikprogrammi versioonis 3.3.8.

Teine haavatavus CVE-2023-38389 võimaldab autentimata ründajatel võtta kontrolli suvalise WordPressi kasutajakonto üle tingimusel, et nad teavad kontoga seotud meiliaadressi. Haavatavuse kriitlisuse tasemeks on märgitud 9.8/10.0 ja see mõjutab kõiki Jupiter X Core’i versioone, mis on 3.3.8 või vanemad. Turvanõrkus on parandatud pistikprogrammi versioonis 3.4.3.

Kõigil pistikprogrammi kasutajatel soovitatakse tarkvara värskendada uusimale versioonile (BP, Patchstack).

Nutipirnide haavatavused võimaldavad häkkeritel varastada kasutajate WiFi-paroole

Catania ja Londoni ülikooli teadlased avastasid neli turvaauku, mis mõjutavad TP-Link Tapo L530E nutipirni ja mobiilirakendust TP-Link Tapo. Kuna teadlaste hinnangul on autentimine nõrgalt rakendatud, saab ründaja kontrollida kõiki Tapo seadmeid, mis kasutaja on sidunud enda Tapo kontoga. Samuti on tal võimalik haavatavuste abil teada saada ohvri WiFi parool, laiendades seeläbi enda häkkimisvõimalusi. Kõige kriitilisemat haavatavust on hinnatud skooriga 8.8/10.0. Teadlased jagasid enda uurimuse tulemusi ettevõttega, kes lubas haavatavused kõrvaldada. Lisaks tuleks teadlaste hinnangul avastatud leidude tõttu nõuda null-usaldusmudeli täielikumat rakendamist asjade interneti seadmete puhul (SA, DMI).

Üle 3000 Openfire’i serveri on haavatavad kriitilise turvanõrkuse vastu

Tuhanded Openfire’i serverid on ohus turvanõrkuse CVE-2023-3231 tõttu, mida on rünnete läbiviimisel ära kasutatud. Haavatavus võimaldab luua autentimata ründajal administraatorikontosid ja samuti haavatavatesse serveritesse pahaloomulisi pistikprogramme üles laadida. Openfire on laialdaselt kasutatav Java-põhine avatud lähtekoodiga sõnumivahetusserver (XMPP), mida on alla laetud üheksa miljonit korda. Viga on parandatud Openfire’i versioonides 4.6.8, 4.7.5 ja 4.8.0 (BP, VulnCheck).

Cisco paikas turvanõrkused, mis võivad kaasa tuua teenustõkestusründed

Cisco paikas oma toodetes kuus haavatavust, mille hulgas olid ka kõrge mõjuga vead NX-OS ja FXOS tarkvarades. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-20200, mis võimaldab ründajal saata ohvri seadmele SNMP-päringuid ja põhjustada selle taaskäivitamise ning teenuse katkemise. Hetkel teadaolevalt ei ole haavatavusi ära kasutatud. Täpne nimekiri mõjutatud seadmetest on lisatud linkidel (SW, SA, Cisco).

Ivanti Sentry kriitilise turvanõrkuse jaoks avalikustati tehniline analüüs

Hiljuti avalikustas tarkvaraettevõte Ivanti turvapaigad, et kõrvaldada kriitilise raskusastmega haavatavus CVE-2023-38035, mis mõjutab Ivanti Sentry tarkvara (tuntud ka kui MobileIron Sentry). Nüüd on kübereksperdid turvanõrkuse jaoks avalikustanud ka tehnilise algpõhjuse analüüsi.

Haavatavust saab kasutada tundlikele API andmetele ja konfiguratsioonidele juurdepääsemiseks, süsteemikäskude käivitamiseks või failide süsteemi kirjutamiseks. See mõjutab Sentry versiooni 9.18 ja varasemaid. Kuigi haavatavus on kriitiline, on nende klientide jaoks, kellel ei ole port 8443 avalikult kättesaadav, oht pigem väike.

Ettevõte märkis, et on teadlik piiratud arvust klientidest, keda see haavatavus otseselt mõjutab (SA, Horizon3, Ivanti).

Kolm haavatavust Nvidia graafikadraiveril võivad põhjustada mälu sisu soovimatut muutumist

Hiljuti avalikustati kolm NVIDIA graafikakaartidega töötava NVIDIA D3D10 draiveri haavatavust. Kõik kolm haavatavust on hinnatud kriitilisuse skooriga 8.5/10.0 (Talos).

Ründaja võib potentsiaalselt neid turvaauke ära kasutada virtuaalmasinates, mis töötavad virtualiseerimiskeskkondades (nt VMware, QEMU ja VirtualBox), et keskkondadest välja pääseda. Samuti leiti, et ründajal võib õnnestuda neid haavatavusi ära kasutada veebibrauseris, mis kasutab WebGL-i ja WebAssemblyt (Talos).

Haavatavused on parandatud turvauuendusega, mille kohta leiab täpsemat informatsiooni siit.