Tag Archives: Citrix

Olulisemad turvanõrkused 2023. aasta 47. nädalal

  • Avalikustati  Windows Defenderi kriitilise turvavea kontseptsiooni tõendus

Turvaveale tähisega CVE-2023-36025 avalikustati kontseptsiooni tõendus (PoC). Kuigi antud haavatavusele on olemas parandus, võib PoCi avalikuks tulek suurendada rünnete hulka, mis üritavad seda turvanõrkust ära kasutada.

Turvaviga CVE-2023-36025 on operatsioonisüsteemides Windows 10, Windows 11, Windows Server 2008 ning viimase uuemates versioonides. Haavatavus võimaldab mööda minna Windows Defender SmartScreeni kontrollidest ja käivitada ohvri seadmes pahatahtlikku koodi. Selleks, et viga kuritarvitada, tuleb ründajal meelitada kasutaja avama pahaloomulist linki. Linki võib ründaja jagada õngitsuskirjade või kompromiteeritud veebilehtede kaudu (DR).

Küberturvalisusega tegeleva ettevõtte Proofpointi sõnul kasutab nimetatud haavatavust rünnete läbiviimisel näiteks TA544-nimeline küberrühmitus (DR).

  • Citrix kutsub kasutajaid rakendama lisameetmeid Citrix Bleedi turvanõrkuse vastu

Citrix tuletas administraatoritele meelde, et nad peavad lisaks NetScaleri seadmete tarkvara uuendamisele kasutusele võtma lisameetmeid, et kaitsta end turvanõrkuse CVE-2023-4966 vastu. Ettevõtte sõnul tuleb kustutada varasemad kasutajate sessioonid, samuti lõpetada kõik aktiivsed kasutajate sessioonid. See samm on väga oluline, sest rünnete käigus on varastatud kasutajate autentimise andmeid, mis võimaldavad kurjategijatel saada ligipääsu kompromiteeritud seadmetele ka pärast  seda, kui turvauuendused on rakendatud (BC).

Citrix parandas vea oktoobri alguses, kuid Mandianti sõnul on seda nullpäeva turvanõrkusena aktiivselt kuritarvitatud alates 2023. aasta augusti lõpust. Teadurite sõnul on üle 10 000 võrgus oleva Citrixi seadme turvanõrkusele haavatavad (BC).

Mitmed küberrühmitused kasutavad Citrix Bleedi turvanõrkust ära rünnete läbiviimisel. Eelmisel nädalal tegi CISA koos teiste asutustega ühisavalduse, milles kirjutatakse, et Lockbiti-nimeline lunavararühmitus kasutab rünnete läbiviimisel just Citrix Bleedi turvanõrkust. Muu hulgas rünnati sel viisil ka lennundusettevõtet Boeing, kellelt õnnestus varastada 43GB mahus andmeid   (HN, CISA).

  • Neli aastat vana Netflixi turvavea kohta avaldati täpsemat infot

Viga mõjutas Netflixi loodud DIAL-protokolli ja see parandati juba 2019. aastal. Nüüd on avaldatud ka täpsem tehniline kirjeldus haavatavuse kohta. Teadurite sõnul ootasid nad aastaid enne tehnilise analüüsi avalikustamist, et kõik tehnikatootjad jõuaksid oma riist- ja tarkvara uuendada ning need oleks rünnete eest kaitstud.

Turvaviga, mida on nimetatud ka „DIALStranger“, võimaldas kurjategijatel kaaperdada videovoogu ja näidata kasutajale suvalist videopilti. Haavatavus mõjutas kõiki telereid, videokonsoole ja muid võrgus olevaid seadmeid, mis toetasid DIAL-protokolli. Protokolli eesmärgiks oli lihtsustada videote vaatamist samas võrgus olevates erinevates seadmetes.

Haavatavust kuritarvitades on võimalik näiteks levitada propagandat või näidata kasutajate seadmetes tasulisi reklaame tulu teenimise eesmärgil.

Viimase nelja aasta jooksul on Netflix teinud parandusi DIAL-protokollis ja samuti on paljud seadmete tootjad võtnud kasutusele turvanõrkust leevendavad meetmed, seega tänaseks on haavatavuse potentsiaalne mõju suhteliselt väike (SC).

  • Mirai pahavaral põhineva robotvõrgustikuga liidetakse nullpäeva turvanõrkustega ruutereid ja videosalvestusseadmeid

Uus pahavarakampaania kasutab Mirai pahavaral baseeruva robotvõrgustikuga uute seadmete liitmiseks kahte nullpäeva turvaauku, mille abil on võimalik koodi kaugkäivitada. Ründekampaania käigus on sihitud ruutereid ja videosalvestusseadmeid (NVR), millel on administraatorikonto jaoks jäetud vaikimisi kasutajamandaadid (Akamai).

Eduka ründe korral võetakse seade üle ja paigaldatakse sinna Mirai pahavara variant. Robotvõrgustik kannab koodnimetust InfectedSlurs ja see kasutab Mirai pahavara varianti nimetusega JenX, mis tuli päevavalgele esimest korda 2018. aasta jaanuaris. Konkreetset robotvõrgustiku kasutatakse ulatuslike DDoS-rünnakute teostamiseks. Rünnakute toimepanijaid pole veel kindlaks tehtud (Akamai).

  • Teadlastel õnnestus Windows Hello autentimissüsteemist mööda pääseda

Teadlased avastasid haavatavused populaarsete sülearvutite Windows Hello jaoks kasutatavates sõrmejäljeandurites, mis võimaldavad sõrmejälgede autentimisest mööda minna sellistes seadmetes nagu Dell Inspiron 15, Lenovo ThinkPad T14s ja Microsoft Surface Pro X (SW).

Uuringu viisid läbi Blackwing Intelligence ja Microsofti Ofensive Research and Security Engineering (MORSE). Uurimus oli suunatud Match-on-Chip sõrmejäljeanduritele, millel on oma mikroprotsessor ja mälu, mistõttu on vaja rünnata kiipi, et autentimisest mööda minna (SW).

Rünnak nõuab füüsilist juurdepääsu sihitud seadmele. Delli ja Lenovo sülearvutite puhul õnnestus teadlastel autentimisest mööda pääseda kasutajate sõrmejälgedega seotud kehtivate ID-de loendamisega ja ründaja sõrmejälgede registreerimisega seadusliku kasutaja ID-d võltsides. Surface’i sülearvuti puhul sisestati sülearvutisse USB seade, mille abil näidati arvutile, justkui oleks legitiimne kasutaja sisse loginud (SW).

Täpsemalt saab uurimusega tutvuda siin.

  • Kriitiline turvanõrkus ownCloudi failijagamisrakenduses paljastab administraatorite paroolid

Avatud lähtekoodiga failide sünkroonimise ja jagamise lahendusel ownCloud on kolm kriitilise raskusastmega turvaauku, millest üks võib paljastada administraatori parooli ja meiliserveri mandaadid (BP).

Esimest viga, mida jälgitakse kui CVE-2023-49103, on hinnatud maksimaalse kriitilisuse skooriga 10.0/10.0 ja seda saab ära kasutada mandaatide ning konfiguratsiooniteabe varastamiseks. Viga on seotud grafapi versioonidega 0.2.0 kuni 0.3.0. Soovitatav parandus on kustutada fail „owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, keelata Dockeri konteinerites funktsioon „phpinfo” ja muuta ownCloudi administraatori parool, meiliserveri ja andmebaasi mandaadid ning Object-Store/S3 juurdepääsuvõtmed (BP).

Teine haavatavus, mille kriitilisuse skooriks on märgitud 9,8/10.0, mõjutab ownCloudi põhiteegi versioone 10.6.0–10.13.0. Viga võimaldab ründajatel pääseda juurde, muuta või kustutada mis tahes faili ilma autentimiseta, kui kasutaja kasutajanimi on teada ja ta pole konfigureerinud allkirjastamisvõtit (vaikesäte) (BP).

Kolmanda vea kriitilisuse skoor on veidi madalam kui kahel eelmisel (9.0/10.0). Ründajal on võimalik selle vea abil saata tundlikku teavet tema kontrollitavale veebisaidile. Selle parandamiseks tuleb haavatava ownCloudi valideerimisprotsessi tugevdada. Näiteks on võimalik kasutajatel välja lülitada säte nimega “Allow Subdomains”, kuni veale on parandus avalikustatud (BP).

Konkreetsed haavatavused võivad halvendada märkimisväärselt ownCloudi keskkonna turvalisust ja terviklikkust ning võivad viia andmeleketeni (BP).

Failijagamisplatvormide turvaauke kuritarvitatakse pidevalt ning eriti populaarsed on need lunavararühmituste seas. Seetõttu on ownCloudi administraatoritel ülioluline rakendada kohe soovitatud parandused ja teha teegi värskendused niipea kui võimalik, et turvariske maandada (BP).

Olulisemad turvanõrkused 2023. aasta 43. nädalal

  • Apple avaldas turvauuendused iOSi ja macOSi tarkvaradele

Apple avaldas eelmisel nädalal turvauuendused iOSi ja macOSi tarkvaradele. iOSi tarkvaras paigati 21 ja macOSi tarkvaras 44 haavatavust. Turvanõrkused lubavad ründajatel potentsiaalselt käivitada pahaloomulist koodi, haavatavates süsteemides õigusi suurendada või varastada süsteemidest tundlikku informatsiooni. Hetkel ei ole haavatavusi teadaolevalt rünnetes ära kasutatud. RIA soovitab nõrkustega seotud Apple’i seadmed uuendada iOS 17.1, iPadOS 17 ja macOS Sonoma 14.1 (SW, Apple, Apple).

  • Firefoxil ja Chrome’il paigati kõrge mõjuga turvanõrkused

Mozilla avaldas Firefoxi uue versiooni tähisega 119, milles on parandatud 11 turvanõrkust, nende hulgas kolm kõrge mõjuga haavatavust. Vigade tõttu võib haavatava sirviku kasutaja sattuda ohvriks clickjacking-nimelisele rünnakule. Samuti parandavad turvauuendused kaks haavatavust, mis lubavad ründajal potentsiaalselt käivitada pahaloomulist koodi. Lisaks avaldati ka turvapaigad tarkvaradele Firefox ESR 115.4 ja Thunderbird 115.4.1. Teisipäeval teavitas ka Google, et on paiganud Chrome’i veebilehitseja versioonis 118.0.5993.117 kaks turvanõrkust. RIA soovitab nii Firefoxi kui ka Chrome’i veebilehitsejad uuendada esimesel võimalusel (SW, Mozilla, Chrome).

  • Citrix hoiatab kriitilise turvanõrkuse eest

Citrix hoiatas eelmisel nädalal turvanõrkuse (CVE-2023-4966) eest, mis mõjutab NetScaler ADC ja Gateway seadmeid ning mida on juba rünnete läbiviimisel kuritarvitatud. Veale avalikustati turvaparandus kaks nädalat tagasi. Rünnakute suhtes haavatavad NetScaleri seadmed peavad olema konfigureeritud lüüsina (VPN virtuaalserver, ICA puhverserver, CVPN, RDP puhverserver) või AAA virtuaalserverina. Nõrkust on võimalik autentimata ründajal kaugelt ära kasutada.

Hiljuti avaldatud ülevaatest selgus, et ründajad on haavatavust kuritarvitanud sessioonide varastamiseks, et kaheastmelisest autentimisest mööda pääseda. Tootja soovitab haavatavad seadmed paigata esimesel võimalusel (BC, Netscaler, Mandiant).

  • VMware’i tarkvaras olev viga laseb autentimisest mööda minna

VMware’i hoiatas kliente Aria Operations for Logs nimelises tarkvaras peituva turvanõrkuse (CVE-2023-34051) eest, mis võimaldab ründajal autentimisest mööda minna ja käivitada pahatahtlikku koodi. Veale on avaldatud ka kontseptsiooni tõendus, mis võib kaasa tuua rünnete kasvu. Viga on parandatud Aria Operations for Logs versioonis 8.14 (SA, VMware). RIA soovitab kõigil mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel.

  • Riikliku taustaga küberrühmitus kuritarvitab Roundcube’i meiliteenuse turvanõrkust

Hiljuti avaldatud raportist selgus, et küberspionaaži poolest tuntud riikliku taustaga küberrühmitus on oktoobris kuritarvitanud XSS-i turvanõrkust, mis peitub Roundcube’i meiliserveri tarkvaras. Raport kajastab, kuidas antud rühmitus on sihtinud Euroopa valitsusasutusi ja erinevaid mõttekodasid. Ründajatel on võimalik spetsiaalselt koostatud e-kirja abil käivitada Roundcube’i kasutaja brauseris suvalist JavaScripti koodi.

Raporti autorite hinnangul on küberrühmitus üritanud turvanõrkust ära kasutada selleks, et ligi pääseda haavatavat tarkvara kasutava kasutaja e-kirjadele. Turvanõrkus on paigatud Roundcube’i versioonides 1.4.15, 1.5.5 ja 1.6.4 (ESET, SW).

Olulised turvanõrkused 2022. aasta 52. nädalal


Tuhanded Citrixi serverid on haavatavad kriitiliste turvanõrkuste vastu

Tuhanded Citrixi ADC ja Gateway lahendused on endiselt haavatavad kahe kriitilise turvanõrkuse vastu. Esimene turvanõrkus CVE-2022-27510 (9.8/10.0) parandati 2022. aasta 8. novembril ja teine haavatavus CVE-2022-27518 (9.8/10.0) 13. detsembril. Esimest on ründajal võimalik ära kasutada selleks, et saada volitamata ligipääs haavatavale seadmele ning see üle võtta. Teise abil saab süsteemis käivitada pahaloomulist koodi, mille kaudu on võimalik samuti haavatav seade kompromiteerida. Samuti märgitakse, et ründajad on aktiivselt otsinud seadmeid, mis on haavatavad CVE-2022-27518 vastu (BP, SA).

Kes ja mida peaks tegema?

CVE-2022-27510 turvanõrkuse kohta leiate lisainformatsiooni siit.
CVE-2022-27518 turvanõrkuse kohta leiate lisainformatsiooni siit.

Citrixi ADC ja/või Gateway lahenduste kasutamise korral tutvuge ülal viidatud tootjapoolse informatsiooniga, et tuvastada, kas teie süsteemid on haavatavad. Vajadusel uuendage tarkvara kõige uuemale versioonile.

Netgear paikas WiFi ruuteritel kõrge mõjuga haavatavuse

Netgear paikas turvanõrkuse, mis mõjutab mitmeid Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) ja Wireless AC ruuterite mudeleid. Turvaviga võimaldab nii seadme töö häirimist kui ka pahatahtliku koodi käivitamist ning on hinnatud skooriga 7.4/10. Tootja ei ole jaganud täpsemaid detaile turvanõrkuse olemuse ega toimimisviisi kohta (BP, SA).

Kes ja mida peaks tegema?

Tabeli, mis sisaldab haavatavaid ruuterite mudeleid, leiate siit. Kui te haavatavaid seadmeid kasutate, soovitame uuendada tarkvara tabelis viidatud versioonile. Sellisel kujul haavatavus seadmetele ohtu ei kujuta.

Kriitiline haavatavus Linuxi kernelis võimaldab teatud SMB- serverites koodi kaugkäitust

Linuxi kernelis peitub kriitiline turvanõrkus (10.0/10.0), mille kaudu saavad autentimata ründajad käivitada teatud SMB-serverites pahatahtliku koodi. Haavatavad on serverid, mis kasutavad ksmbd moodulit. Turvanõrkus avastati tänavu juulis, kuid avalikustati 22. detsembril (ZDI, SA).

Kes ja mida peaks tegema?

Kõikidel, kes kasutavad SMB-servereid koos ksmbd mooduliga, tuleks uuendada Linuxi kernel versioonile 5.15.61 või uuemale versioonile. Sellisel juhul haavatavus ohtu ei kujuta.

Uus Linuxi pahavara ründab aegunud WordPressi pluginaid kasutavaid veebilehti

Uus pahavara kuritarvitab turvanõrkuseid aegunud WordPressi pluginates ja teemades, et paigaldada pahaloomuline JavaScript neid kasutavatele veebilehtedele. Pahavara sihib nii 32-bitiseid kui ka 64-bitiseid Linuxi süsteeme ja see võimaldab käivitada erinevaid käsklusi kompromiteeritud Linuxi süsteemides. Pahavara kasutamise eesmärgiks on aga aegunud WordPressi pluginaid ja teemasid kasutavate veebilehtede ründamine (BP).

Nimekiri WordPressi pluginatest ja teemadest, mida pahavara üritab rünnata:

o WP Live Chat Support Plugin
o WordPress – Yuzo Related Posts
o Yellow Pencil Visual Theme Customizer Plugin
o Easysmtp
o WP GDPR Compliance Plugin
o Newspaper Theme on WordPress Access Control (CVE-2016-10972)
o Thim Core
o Google Code Inserter
o Total Donations Plugin
o Post Custom Templates Lite
o WP Quick Booking Manager
o Facebook Live Chat by Zotabox
o Blog Designer WordPress Plugin
o WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
o WP-Matomo Integration (WP-Piwik)
o WordPress ND Shortcodes For Visual Composer
o WP Live Chat
o Coming Soon Page and Maintenance Mode
o Hybrid
o Brizy WordPress Plugin
o FV Flowplayer Video Player
o WooCommerce
o WordPress Coming Soon Page
o WordPress theme OneTone
o Simple Fields WordPress Plugin
o WordPress Delucks SEO plugin
o Poll, Survey, Form & Quiz Maker by OpinionStage
o Social Metrics Tracker
o WPeMatico RSS Feed Fetcher
o Rich Reviews plugin

Kui pahavaral õnnestub edukalt ülal viidatud aegunud pluginate ja/või teemade haavatavusi ära kasutada, laaditakse juhtserverist alla vajalik pahaloomuline JavaScript ja paigaldatakse see sihtmärgiks valitud veebilehele. Nakatunud lehti võib ründaja siis näiteks kasutada andmepüügiks, pahavara levitamiseks või reklaamitulu saamiseks.

Kes ja mida peaks tegema?

Kui te kasutate enda veebilehel ülal viidatud pluginaid või teemasid, veenduge, et need oleksid uuendatud. Tarkvara regulaarne uuendamine on oluline, kuna uuendused paikavad tihti turvanõrkuseid, mida ründajatel on võimalik ära kasutada.

Riiklike sidemetega rühmitused kasutavad küberrünnakutes üha aktiivsemalt XLL-faile

Hiljutisest Cisco Talose analüüsist selgus, et APT-d (advanced persistent threat) kasutavad süsteemide kompromiteerimiseks VBA makrode asemel üha rohkem pahaloomulisi XLL-faile. XLL-faile kasutatakse tavaliselt Exceli lisandmoodulite ja teatud funktsionaalsuste puhul. Muudatuse lähenemisviisis tingis analüüsi hinnangul asjaolu, et Microsoft blokeeris eelmisel aastal vaikimisi VBA makrode kasutamise Office’i failides, mis on internetist alla laaditud (HN).

Analüüsi põhjal on hiljuti XLL-faile kasutatud AveMaria ja Ducktaili pahavara jagamiseks. AveMaria on troojan-tüüpi pahavara, mis lisatakse manusena tihti ka Eesti inimestele saadetud pahaloomulistele kirjadele. Ducktail on aga nuhkvara, mida kasutatakse veebilehitsejasse salvestatud sessiooniküpsiste ja kasutajatunnuste varastamiseks.

Pikemalt saab analüüsiga tutvuda siin.

Kes ja mida peaks tegema?

Soovitame alati tähelepanelikult jälgida, milliseid faile teile e-kirjadega saadetakse ja kahtluse korral neid mitte avada. RIA kirjutas eelmisel ka aastal ülevaatliku blogipostituse, mida pahaloomuliste e-kirjade puhul tähele panna. Soovitame sellega samuti tutvuda.


RIA analüüsi- ja ennetusosakond