Tag Archives: Drupal

Olulisemad turvanõrkused 2024. aasta 40. nädalal

Ründajad kasutavad ära kriitilist koodi käivitamise viga Zimbra e-posti serverites

Zimbra Collaborationi tarkvara erinevates versioonides esinev turvaviga CVE-2024-45519 (CVSS skoor 10/10) võimaldab käivitada pahaloomulisi käsklusi haavatavas süsteemis ja alates 28.08.2024 on see aktiivsete rünnakute all.

Zimbra tarkvara on laialdaselt kasutuses nii riiklikes asutustes kui ka erafirmades ja on seetõttu varasemalt olnud ründajate sihtmärgiks.

Viga on paigatud järgmistes Zimbra versioonides: 8.8.15 (Patch 46), 9.0.0 (Patch 41), 10.0.9 ja 10.1.1. Soovitame uuendada tarkvara uusimale versioonile (HNS, BC, HN).

CISA hoiatab, et Ivanti Endpoint Manageri turvanõrkus on aktiivsete rünnakute all

USA Cybersecurity and Infrastructure Security Agency (CISA) hoiatab, et Ivanti Endpoint Manageri (EMT) turvanõrkus CVE-2024-29824 (CVSS skoor 9.6/10), millest kirjutasime 24. nädala blogipostituses, on nüüd aktiivsete rünnakute all.

Soovitame uuendada tarkvara esimesel võimalusel (THN, BC).

DrayTek paikas hulga turvavigu, mis mõjutasid 700 000 ruuterit

DrayTek parandas 14 turvaviga Vigori seeria 24 erineval ruuterimudelil. Osad turvavigadest on kriitilised ja tootja on andnud välja turvauuendused ka tööea (end of life) lõpus olevatele mudelitele.

DrayTek Vigori seeria ruuteri kasutamisel soovitame kontrollida, kas turvanõrkused puudutavad ka sinu seadet ja vajadusel uuendada tarkvara uusimale versioonile. (BC).

Apple’i iOS 18.0.1 paikas kaks turvaviga

Turvavigade kaudu on võimalik saada ligipääs kasutaja paroolidele ja salvestatud helilõikudele (audio snippets). Apple avaldas nii uue iOSi kui ka iPadOSi versiooni 18.0.1, kus nimetatud vead on parandatud.

Üks turvanõrkustest võimaldas salvestada helilõikusid ka mõni hetk enne mikrofoni indikaatori aktiveerimist. Teine turvanõrkus seisnes loogikaveas, mille tõttu VoiceOveri kuvaluger (screen reader) võis kõvasti ette lugeda ka kasutaja salvestatud paroole.

Soovitame kõigil Apple’i iOSi kasutajatel uuendada tarkvara esimesel võimalusel (SW).

WordPressi pistikprogrammi  turvanõrkuse tõttu on ohus üle 5 miljoni veebilehe

WordPressi pistikprogrammi Litespeed Cache turvanõrkus CVE-2024-47374 (CVSS skoor 7.1) võimaldab autentimata ründajal lisada koodisüstina veebilehele ründekoodi. Turvanõrkuse põhjuseks on ebapiisav sisendi puhastamine veebilehe genereerimise käigus.

Litespeed Cache’iteemal oleme kirjutanud ka 34. ja 36. nädala blogipostitustes ja soovitame antud pistikprogrammi kasutajatel eriti hoolsalt jälgida, et turvauuendused oleksid alati esimesel võimalusel paigaldatud.

Turvanõrkus on paigatud tarkvara versioonis 6.5.1 ja soovitame kõigil kasutajatel uuendada pistikprogramm kõige uuemale versioonile (SA, ISM).

Kriitiline turvaauk sisuhaldussüsteemis (CMS) Drupal

Avastatud on kriitiline turvaauk Drupali populaare sisuhaldussüsteemi (CMS) mitmikautentimist võimaldavas moodulis, mis laseb ründajal siseneda süsteemi vaid kasutajanime ja parooliga, hoolimata seadistatud mitmikautentimisest. Infot turvaaugu ärakasutamise kohta ei ole avaldatud.

Drupal soovitab esimesel võimalusel uuendada mitmikautentimise mooduli tarkvara uusimale versioonile (DP).

Common UNIX Printing Systemi (CUPS) kriitilised turvavead

Septembri viimasel nädalal tuli avalikuks neli turvanõrkust avatud lähtekoodiga Common UNIX Printing Systemi (CUPS) printimissüsteemis. Seda printimissüsteemi kasutatakse Linuxi ja UNIXi operatsioonisüsteemides nii kohalike kui ka võrguprinteritega printimiseks. Kuna hetkel ei ole veel turvavigadele parandust, siis soovitatakse ajutise lahendusena teenus (cups-browsed) peatada. Shodani päringu alusel oli 26. septembril enam kui 75 000 internetile avatud seadet, mis kasutavad CUPSi teenust (RedHat, Tenable, NCSC-IE).

Drupal PSA-2014-003 – avalik teavitus kriitilisest veast

NB! See on järg veateavitusele SA-CORE-2014-005 ning ei ole seotud uue haavatavusega.

15. oktoobril andis Drupal avalikult teada SQL injection haavatavusest Drupali tuumikkoodis (SA-CORE-2014-005). Automatiseeritud massilised ründed Drupali veebimootorit kasutavatele veebidele algasid paari tunni jooksul peale teavitust. Kui veebisaiti ei ole antud probleemi vastu paigatud enne kella 01:00-t 16. oktoobril – st 7 tunni jooksul peale teavitust, siis võiks veebilehe haldaja eeldada, et sissemurdmine on aset leidnud.

Drupali 7.32 versioonile uuendamine ei ole suure tõenäosusega enam piisav probleemist vabanemiseks. Siiski – kui Sa ei ole oma Drupalit kasutavat veebilehte veel uuendanud, siis mine tee seda kohe!

… ning peale seda jätka selle teate lugemist. Uuendamine parandas küll selle haavatavuse, kuid ei eemaldanud tagauksi nendes veebides, kuhu on juba sisse murtud.

Kuidas ära tunda seda, kas veebilehele on juba sisse murtud? Üks märk on see, et veebimootor on juba paigatud. Seega – kui paikamisel selgub, et seda on juba tehtud, aga seda ei teinud Teie, siis see on tunnus sissemurdmisest. Põhjus on see, et mõned ründajad on paiganud vea ohvri veebimootoris, et jääda ainukeseks sissemurdjaks.

Mõned võimalused tagauste tuvastamiseks (loetelu ei ole ammendav!):

  • otsi faile, mis on tekkinud peale 15. kuupäeva ning mille tekitamises sa ise kindlasti ei ole osalenud,
  • otsi faile, mis sisaldavad stringe “eval” ja/või “base64”, hinda nende sisu alusel, kas tegemist võib olla tagauksega,
  • seira logisid, kui sa seda juba ei tee. Lisaks veebiserveri logidele vaata regulaarselt üle ka muud, näiteks postiserveri logid.

Ennetavate meetmetena nii selle kui tulevaste turvavigade leidmiste ja sissemurdmiste varalt, tuleks üles seada jatkuv logide seire; võrguliikluse seire ja profileerimine; üle vaadata tulemüüri(de) reeglid ning lokaalsesse serverisse paigaldada sissemurdmist tuvastada abistavad vahendid (IDS). Kui serveril puudub korralik varundus, siis on viimane aeg sellega alustada.

Refereerime järgnevalt ka pisut Drupali loojate toodud juhendit.

Andmed ja kahjude hindamine

Ründajad võivad olla kopeerinud kõik teie saidis leiduvad andmed ning võivad seda ära kasutada mistahes viisil. Edasiseks tegevuseks soovitame lugeda Drupali dokumentatsiooni: ”Your Drupal site got hacked, now what”.

Taastamine

  • Ründajad võivad olla andmebaasi, failisüsteemi või muudesse kohtadesse tekitanud tagauksi.
  • Ründajad võivad olla ära kasutanud teisi teie veebiserveris jooksvaid või sellelt ligipääsetavaid veebisaite ning süsteeme.

Tagauste ülesleidmine on väga keeruline protsess mille 100% edukuses ei saa peaaegu kunagi kindel olla. Seetõttu soovitame oma saidi kogu mahus taastada enne 15. oktoobrit tehtud varukoopiast:

  1. Deaktiveerige veeb, asendades selle ajutise staatilise HTML leheküljega.
  2. Teavitage oma serverihaldurit ning rõhutage, et teised samas serveris olevad süsteemid võivad samuti olla kompromiteerunud.
  3. Tehke veebi hetkeseisust uus varukoopia.
  4. Parim lahendus on veeb enne 15. oktoobrit tehtud koopiast taastada täiesti uude serverikeskkonda, et olla kindel, et kusagil pole ründajate seatud tagauksi.
  5. Uuendage enne 15. oktoobrit tehtud varukoopiast taastatud veebimootor viimasele versioonile.
  6. Taasaktiveerige veeb.
  7. Vaadake põhjalikult üle kõik failid, kood või seaded, mida on vaja üle tuua veebi viimasest, nakatunud versioonist.

Põhjalikumalt saab lugeda siit: FAQ on SA-CORE-2014-005