30. oktoobril avalikustas Atlassian, et Confluence’i tarkvara mõjutab kriitiline turvanõrkus CVE-2023-22518 (CVSS 9.1/10.0). Atlassiani kinnitusel võib autentimata ründaja haavatavuse abil põhjustada klientide Confluence’ides andmekadu (Atlassian). Samas ei ole ettevõtte hinnangul ründajal siiski võimalik turvanõrkuse abil haavatavatest süsteemidest andmeid välja viia. Hetkel ei ole teada, et turvanõrkust oleks aktiivselt juba kuritarvitatud. Samuti ei ole 31. oktoobri seisuga ühtegi turvanõrkuse kontseptsiooni tõendust (PoCi) avalikustatud, mis tavaliselt turvavigade kuritarvitamise aktiivsust tõstab.
Milliseid süsteeme haavatavus mõjutab?
Atlassiani sõnul on turvavea vastu haavatavadkõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id[1].
Vastumeetmed ja soovitused
1) Esimesel võimalusel uuendada Confluence ühele järgnevatest versioonidest:
7.19.16 või hilisem; 8.3.4 või hilisem; 8.4.4 või hilisem; 8.5.3 või hilisem; 8.6.1 või hilisem.
2) RIA ei soovita hoida Confluence’i avalikul kujul internetist kättesaadavana, kuna see tõstab oluliselt küberründe toimumise tõenäosust. Seetõttu soovitame Confluence Server ja Data Center süsteemidele piirata internetist avalik ligipääs. Kui teie organisatsioon ise Confluence’i halduse eest ei vastuta, pöörduge selle sooviga teenusepakkuja poole.
3) Kompromiteerimise kahtluse korral palume teavitada CERT-EE-d, kirjutades meiliaadressile cert@cert.ee.
[1] Kui te pääsete Confluence’ile ligi domeeni atlassian.net kaudu, on see majutatud Atlassiani pilvekeskkonnas ja sellisel juhul ei ole teie Confluence selle turvanõrkuse suhtes haavatav.
Atlassiani arendatud Confluence’i tarkvaras avastati kriitiline turvaviga, mille kohta andis ettevõtte välja ka hoiatuse. Turvanõrkus tähisega CVE-2023-22515 võimaldab ründajal saada haavatavas süsteemis administraatoriõigused. Ettevõte kinnitas, et piiratud arv klientide süsteeme on langenud ka seda turvanõrkust kuritarvitatavate rünnakute ohvriks (Atlassian).
Atlassiani sõnul mõjutab viga Confluence Server ja Confluence Data Center versioone alates 8.0.0. Turvanõrkus on paigatud versioonides 8.3.3 või uuemates, 8.4.3 või uuemates või 8.5.2 või uuemates. Turvaveast ei ole mõjutatud Atlassiani pilveteenust kasutavad Confluence’i süsteemid, ehk kui Confluence’i lehele pääseb ligi atlassian.net domeeni kaudu, siis ei ole see ka mõjutatud (Atlassian).
Atlassian rõhutab, et lisaks uuendamisele on oluline veenduda, et haavatavat süsteemi ei jõutud kompromiteerida. Selleks tõi ettevõte enda hoiatusteavituses välja ka mõned näpunäited, kuidas seda kindlaks teha (Atlassian).
Apple’i seadmed said tarkvarauuendused, parandati muuhulgas nullpäeva turvanõrkus
Apple avalikustas enda toodetud seadmetele turvavärskendused, et kõrvaldada uus nullpäeva haavatavus tähisega CVE-2023-42824, mida on ära kasutatud iPhone’i ja iPadi seadmete vastu suunatud rünnakutes (Apple).
Turvanõrkus on seotud kerneliga ja lubab juba haavatavas süsteemis oleval ründajal enda õiguseid seal tõsta. Apple’i sõnul võidi seda nõrkust ära kasutada iPhone’idel, mis kasutasid vanemat iOSi versiooni kui 16.6. Haavatavus mõjutab iPhone XS-i ja uuemaid versioone ning erinevaid iPadi mudeleid. See on parandatud iOS ja iPadOS versioonis 17.0.3 (Apple).
Turvavärskendustega parandati ka nõrkus, mida tähistatakse kui CVE-2023-5217 ning mille abil on võimalik käivitada suvalist koodi. Kui kasutate iPhone’i või iPadi, soovitame tarkvarauuendused rakendada esimesel võimalusel (Apple).
Androidile avalikustatud turvauuendused paikavad mitu nullpäeva turvanõrkust
Google avalikustas Androidi operatsioonisüsteemile 2023. aasta oktoobri turvavärskendused, mis parandavad 54 turvanõrkust. Nende hulgas on kaks turvaviga, mida on teadaolevalt aktiivselt ära kasutatud. Nendeks on haavatavused tähistega CVE-2023-4863 ja CVE-2023-4211 (BC, Android).
CVE-2023-4863 on puhvri ületäitumise haavatavus laialt kasutuses olevas teegis libwebp, mis mõjutab paljusid tarkvaratooteid, sealhulgas Chrome’i, Firefoxi, iOSi, Microsoft Teamsi jpt. RIA kajastas seda nõrkust ka eelmise nädala ülevaates (39. nädal). CVE-2023-4211 mõjutab aga Arm Mali GPU draiverite mitut versiooni, mida kasutatakse paljudes Androidi operatsioonisüsteemiga seadmete mudelites. Haavatavus võib võimaldada ründajatel tundlikele andmetele ligi pääseda (BC, Android).
Kui kasutate Androidi operatsioonisüsteemiga seadmeid, rakendage uuendused esimesel võimalusel (BC, Android).
TorchServe’i raamistikus avastati kriitilised haavatavused
TorchServe’i raamistikus avastati kriitilised haavatavused, mis kujutavad tehisintellekti mudelitele olulist ohtu. Haavatavused avastanud ekspertide hinnangul näitavad need turvanõrkused, et AI-rakendused on avatud lähtekoodiga vigadele vastuvõtlikud sarnaselt paljudele muudele tarkvaradele (Oligio).
TorchServe’i, mida haldavad Amazon ja Meta, kasutatakse tootmiskeskkondades PyTorchil põhinevate süvaõppemudelite rakendamiseks ja seda rakendatakse laialdaselt, sealhulgas sellistes suurtes ettevõtetes nagu Amazon, Google ja Walmart (Oligio).
Haavatavuste ärakasutamine võib anda ründajatele juurdepääsu tehisintellekti kasutavate mudelite andmetele, võimaluse sisestada pahatahtlikke mudeleid tootmiskeskondadesse, muuta AI tulemusi või võtta serverite üle täielik kontroll (Oligio).
Kõik TorchServe’i versioonid kuni versioonini 0.8.1 on haavatavad. Haavatavused, mida ühiselt nimetatakse ShellTorchiks, hõlmavad muuhulgas kriitilist SSRF-i haavatavust, mis viib koodi kaugkäitamiseni (RCE) ja Javaga seotud RCE-d. Ekspertide sõnul rõhutavad need haavatavused vajadust AI infrastruktuuri tugevdatud turvameetmete järele, et kaitsta tehisintellekti mudeleid võimaliku väärkasutuse eest (Oligio).
Looney Tunables nimelise haavatavuse jaoks avalikustati kontseptsiooni tõendus
Kübereksperdid juhtisid eelmisel nädalal tähelepanu turvanõrkusele, mida tuntakse Looney Tunables nime all ja mis mõjutab üht olulist Linuxi kernel komponenti (glibc) (Qualys).
Haavatavus võib võimaldada ründajal oma õigusi suurendada, et saada süsteemi üle täielik kontroll juurõiguste abil. Turvanõrkuse olemasolu on tuvastatud erinevate Linuxi distributsioonide seas, sealhulgas Fedora 37 ja 38, Ubuntu 22.04 ja 23.04 ning Debian 12 ja 13 vaikeinstallatsioonides (Qualys).
Parim viis selle haavatavuse leevendamiseks on paikamine. Kui CVE-2023-4911 teid mõjutab, peaksite oma süsteemi parandama vastavalt mõjutatud distributsioonile. Täpsemat informatsiooni turvanõrkuse tuvastamise ja paikamise kohta leiate ka näiteks siit.
Eelmisel nädalal kajastati, kuidas Apple paikas kolm nullpäeva turvanõrkust. Turvanõrkused mõjutavad mitmeid Apple’i tooteid, turvauuendused on tootja väljastanud. Lisaks Apple’ile avalikustasid turvapaigad veel mitmed ettevõtted, sh Fortinet, GitLab, Atlassian jpt. Kõik olulisemad uudised on lühidalt välja toodud järgnevas kokkuvõttes.
Apple paikas kolm uut nullpäeva turvanõrkust
Apple avalikustas turvauuendused, et parandada kolm uut nullpäeva turvaviga. Turvavigu on tootja sõnul rünnakutes juba ära kasutatud. Haavatavused lubavad ründajatel käivitada pahaloomulist koodi ohvri seadmes, kui ohver külastab selleks otstarbeks loodud veebilehte, samuti on võimalik ühe nullpäeva turvanõrkuse abil haavatavas süsteemis õigusi suurendada. Konkreetsed nõrkused on parandatud operatsioonisüsteemides macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ja watchOS 9.6.3/10.0.1. Soovitame uuendused rakendada esimesel võimalusel (BP, Apple, Apple).
GitLab paikas kriitilise turvanõrkuse
GitLab paikas kriitilise turvavea (CVE-2023-4998), mis mõjutab tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versioone 13.12 kuni 16.2.7 ja 16.3 kuni 16.3.4. Turvaviga on hinnatud CVSS skooriga 9.6/10. Haavatavus on parandatud GitLab Community Edition ja Enterprise Edition versioonides 16.3.4 ning 16.2.7. Ettevõtte soovitab viivitamatult uuendada GitLabi tarkvara uuele versioonile (BC, Gitlab).
Fortinet paikas kõrge mõjuga turvavead oma toodetes
Turvanõrkus (CVE-2023-29183) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahaloomulist JavaScripti koodi käivitada. Turvaviga mõjutab FortiOSi versioone 6.2.x, 6.4.x, 7.0.x ja 7.2.x ning FortiProxy versioone 7.2.x ja 7.0.x. Teine kõrge mõjuga haavatavus (CVE-2023-34984) mõjutab FortiWebi versioone 6.3, 6.4, 7.0.x ja 7.2.x. Tarkvarade kasutajad peaksid esimesel võimalusel veenduma, et vastavad turvauuendused on rakendatud (SW, Fortinet, Fortinet).
Atlassian paikas neli turvanõrkust
Atlassian avalikustas turvauuendused neljale haavatavusele, mis mõjutavad kas Jira, Confluence’i, Bitbucketi või Bamboo tarkvara. Kõige tõsisemat haavatavust märgitakse tähisega CVE-2023-22513 (CVSS skoor 8.5/10.0) ja selle abil on autentitud ründajal võimalik käivitada haavatavas Bitbucketi süsteemis pahaloomulist koodi. Turvanõrkus on parandatud Bitbucketi versioonides 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 ja 8.14.0 (SW, Atlassian).
Tuhandeid Juniperi võrguseadmeid ohustab kriitiline turvanõrkus
Hinnanguliselt 12 000 Juniperi SRX-tulemüüri ja EX switchi on haavatavad koodi kaugkäivitamise vea suhtes, mida autentimata ründajad saavad ära kasutada. Vead tähistega CVE-2023-36845 ja CVE-2023-36846 avaldati juba augustis, kuid siis polnud teada, et nende koosmõjul tekib kriitiline haavatavus. Tootja soovitab kõigil mõjutatud Juniperi seadmete kasutajal uuendada tarkvara esimesel võimalusel, kuna haavatavuse kaudu võib saada ründaja ligipääsu ohvri võrgule. Täpsem loetelu mõjutatud seadmetest on lisatud linkidel (BC, Juniper).
