Tag Archives: Exchange

Olulised turvanõrkused 2023. aasta 15. nädalal

Microsoft paikas 97 haavatavust

Microsoft paikas uuenduste teisipäeva raames 97 haavatavust, sealhulgas ühe aktiivselt kuritarvitatud nullpäeva turvanõrkuse (CVE-2023-28252). CVE-2023-28252 abil on ründajatel võimalik saada kompromiteeritud süsteemis kõrgendatud õigused. Parandatud haavatavuste seas on seitse koodi kaugkäitust võimaldavat kriitilist turvanõrkust, nendest üks on seotud MSMQ teenusega (CVE-2023-21554). CVE-2023-21554 haavatavust on lihtne ära kasutada ja selle tagajärjed võivad olla tõsised (BP).

Kes ja mida peaks tegema?

Nimekirja kõikidest turvanõrkustest koos mõjutatud tarkvaradega leiate siit. Haavatavad tarkvarad soovitame uuendada esimesel võimalusel.

11. aprillist puudub Exchange Serveri 2013 tootjapoolne tugi

RIA tuletab meelde, et 11. aprillist ei toeta Microsoft enam Exchange Server 2013 tarkvara. See tähendab seda, et see tarkvara ei saa vea- ega turvaparandusi, mille tõttu võib ründajatel ajapikku olla lihtsam Exchange Server 2013 kasutavatele süsteemidele ligi pääseda. Samuti kaotasid 11. aprillil tootjapoolse toe Skype for Business 2015 ja MS Office 2013. Kui te neid tarkvarasid endiselt kasutate, soovitab RIA tungivalt üle minna uuemate lahenduste peale. Täpsemalt saate antud teema kohta lugeda siit ja RIA kodulehelt.

Chrome’il paigati nullpäeva turvanõrkus

Google parandas Chrome’i uue versiooniga 112.0.5615.121 selle aasta esimese nullpäeva turvanõrkuse (CVE-2023-2033), mida on rünnakutes juba ka ära kasutatud. Turvanõrkus mõjutab Windowsile, macOSile ja Linuxile mõeldud Chrome’i sirvikuid. Tavaliselt on võimalik antud tüüpi haavatavusega ainult veebilehitseja töö peatada, kuid teatud juhtudel saab sellega käivitada ohustatud seadmetes ka pahaloomulist koodi (BP, Chrome).

Kes ja mida peaks tegema?

Kui te Chrome’i kasutate, uuendage see esimesel võimalusel. Juhised selleks leiate siit.

Viie aasta jooksul nakatati pahavaraga vähemalt miljon WordPressi veebilehte

Sucuri uurimus paljastas, et viie aasta jooksul kompromiteeriti erinevate pistikprogrammide ja teemade haavatavuste kaudu vähemalt miljon WordPressi veebilehte. Kui ründajatel õnnestus pahaloomuline kood veebilehele lisada, suunas see lehe külastajad ümber erinevatele petulehtedele. Pahaloomulisi skripte kasutati ka veebilehega seotud logide uurimiseks, kasutajatunnuste varastamiseks ja teisteks pahaloomulisteks tegevusteks (Sucuri).

Kes ja mida peaks tegema?

Konkreetne uurimus näitab taas, et tarkvarade uuendamine on väga oluline. Seetõttu soovitab RIA regulaarselt kontrollida, kas tarkvaradele pakutakse uuendusi. Kui jah, rakendage need esimesel võimalusel.

SAP paikas kaks kriitilist turvanõrkust

SAP avalikustas turvauuendused, mis sisaldavad parandusi muuhulgas kahele kriitilisele haavatavusele (CVE-2023-27267, CVE-2023-28765). Need mõjutavad SAP Diagnostics Agenti ja SAP BusinessObjects Business Intelligence platvorme. Nende turvanõrkuste abil on ründajatel võimalik süsteeme ja kasutajakontosid üle võtta (BP).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tooteid, veenduge, et need oleksid uuendatud. Lisainfot leiate ettevõtte kodulehelt.

Adobe paikas enda toodetel 56 haavatavust

Adobe paikas enda toodetes vähemalt 56 turvanõrkust, millest mõne abil on saavad ründajad käivitada pahaloomulist koodi. Kriitilisemad haavatavused mõjutavad Adobe Acrobati ja Readeri tarkvarasid. Turvavead lubavad samuti süsteemis õigusi suurendada ja turvafunktsioonidest mööda pääseda (SW, Adobe).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvarasid, uuendage need esimesel võimalusel.

Fortineti tarkvara haavatavus võimaldab andmebaasidele ligi pääseda

Eelmisel nädalal teavitas Fortinet, et FortiPresence’i tarkvara mõjutab kriitiline haavatavus (CVE-2022-41331). Turvanõrkuse kaudu võib ründaja teoreetiliselt ligi pääseda andmebaasidega seotud süsteemidele (Redis, MongoDB). Ründajal on võimalik haavatavust ära kasutada kaugelt, samuti ei ole vaja tal end selleks autentida.  Lisaks paikas Fortinet enda erinvatel toodetel ka palju teisi turvanõrkuseid (SW).

Kes ja mida peaks tegema?

CVE-2022-41331 mõjutab FortiPresence’i versioone 1.0, 1.1 ja 1.2 ning see on paigatud versioonis 2.0.0. Nimekirja kõikidest parandatud nõrkustest leiate siit.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 4. nädalal

Avaldati CryptoAPI turvanõrkuse PoC

Kriitilisest turvanõrkusest CVE-2022-24689 teavitati avalikkust eelmise aasta oktoobris, kuid nüüd on sellele avalikult kättesaadav ka kontseptsiooni tõendus (proof of concept  ehk PoC). Ründajal on võimalik turvanõrkuse abiga kuritarvitada avalikke x.509 sertifikaate ning kasutada neid autentimiseks või koodi allkirjastamiseks (näiteks näitamaks, et pahavara näol on tegu usaldusväärse programmiga). PoCi avalikustajate sõnul on vanad Chrome’i (v48 ja varasemad) ja Chromiumi-põhised rakendused, mis kasutavad CryptoAPIt, selle nõrkuse vastu haavatavad. Samuti mainiti, et kuna analüüsimine veel käib, ei pruugi eelnevalt mainitud tarkvarad olla ainukesed, mis on turvanõrkusest mõjutatud (BC).

Kes ja mida peaks tegema? Windowsi operatsioonisüsteemide kasutajad peaksid veenduma, et neil on kõige hiljutisemad turvauuendused rakendatud. Arendajatele soovitatakse kaitsemeetmena kasutada rakenduste puhul WinAPIt, et kontrollida sertifikaatide tõepärasust (BC). 

Microsoft juhtis tähelepanu Exchange’ide regulaarse uuendamise vajalikkusele

Microsoft avaldas blogipostituse, milles toonitas Exchange’i kasutajatele, et serverite uuendamine on oluline osa Exchange’ide kaitsmisel ja seda peaks regulaarselt tegema. Ründajad, kes otsivad paikamata Exchange’i servereid, ei kao Microsofti sõnul kuhugi, kuna neid kuritarvitades on ründajatel võimalik palju halba korda saata. Näiteks sisaldavad kasutajate meilipostkastid tihti tundlikku informatsiooni, samuti on Exchange’i serverites koopia aadressiraamatust ja serverite abil on teatud juhtudel võimalik rünnata ka Active Directoryt (Microsoft).

Kes ja mida peaks tegema?

Kirjutamise hetkel on kõige hiljutisemad Exchange’i versioonid järgnevad:

  • Exchange Server 2019 puhul CU12
  • Exchange Server 2016 puhul CU23
  • Exchange Server 2013 puhul CU23 ( Exchange Server 2013 tootjapoolne tugi lõppeb 11. aprillil 2023. aastal)

Jaanuari turvauuenduste paketi leiate siit.

VMware parandas logide analüüsimiseks mõeldud tööriistas kriitilised turvavead

VMware avalikustas eelmisel nädalal turvauuendused logide analüüsimiseks mõeldud tööriistale vRealize Log Insight (VMware Aria Operations for Logs).  Turvauuendused parandavad kaks kriitilist turvanõrkust (CVE-2022-31706, CVE-2022-31704), mida autentimata ründaja saab kasutada koodi kaugkäivitamiseks haavatavas süsteemis. Mõlemad turvanõrkused on hinnatud kriitilisuse skooriga 9.8/10.0 (BC).

Kes ja mida peaks tegema?

VMware avaldas juhised, kuidas uuendada vRealize Log Insight kõige uuemale versioonile. Kui uuendamine ei ole võimalik, saab ajutiselt kasutada ka alternatiivset kaitsemeedet. Selleks tuleb süsteemiadministraatoritel juurkasutajana sisse logida igasse vRealize Log Insighti sõlme (node) ja käivitada vastav VMware’i skript. Kui alternatiivset vastumeedet on vaja kasutada, tutvuge esmalt VMware’i juhistega siin.

Apple parandas eelmise aasta nullpäeva turvanõrkuse ka vanematel seadmetel

Eelmise aasta detsembris avalikustati nullpäeva turvanõrkus CVE-2022-42856. Kui varasemalt pakuti turvauuendust uuematele Apple’i seadmetel, siis nüüd on vastav turvauuendus saadaval ka Apple’i vanematele toodetele nagu iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ja iPod touch (kuues generatsioon). Ründajad saavad seda haavatavust ära kasutada, kui sihtmärk külastab spetsiaalse sisuga veebilehte, mis on ründajate kontrolli all. Pärast seda, kui ohver on veebilehte külastanud, on ründajatel võimalik ohvri seadmes käivitada käske, paigaldada täiendavat pahavara või teha muid pahaloomulisi tegevusi. Apple’i sõnul on võimalik, et seda turvanõrkust on aktiivselt ära kasutatud (Apple, BC). Täiendavat informatsiooni ei ole ettevõte avalikkusega jaganud.

Kes ja mida peaks tegema?

Turvanõrkus on paigatud iOSi versioonis 12.5.7 ja seda pakutakse järgnevatele seadmetele: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (kuues versioon).

Realtek SDK turvanõrkust üritatakse aktiivselt ära kasutada IoT- seadmete ründamiseks

Eelmisel nädalal avaldatud Unit 42 analüüsist selgub, et 2022. aasta augustist oktoobrini tundsid ründajad rohkem huvi ühe kindla Realtek Jungle SDK turvanõrkuse vastu (CVE-2021-35394). Kui tavaliselt ei ületa analüüsi autorite sõnul üht kindlat turvanõrkust kuritarvitavate rünnete hulk 10% kogu rünnete hulgast, siis eelmiste aasta augustis oktoobrini üritati just seda kindlat Realteki haavatavust ära kasutada 40% rünnakukatsete puhul. 2022. aasta detsembri seisuga oli ettevõte tuvastanud kokku 134 miljonit ründekatset, mille puhul üritati ära kasutada haavatavust CVE-2021-35394 (9.8/10.0). Sealjuures moodustasid 134 miljonist 97% rünnakukatsed, mis olid tehtud alates 2022. aasta augustist. Paljudel juhtudel üritati selle konkreetse Realteki turvanõrkuse abil paigaldada haavatavatele IoT-seadmetele pahavara. (Unit42, OneKey).

Kes ja mida peaks tegema?

Haavatavusest on mõjutatud Realtek Jungle SDK versioonid v2.x kuni v3.4.14B (kaasaarvatud). Tootja parandas haavatavuse turvauuendusega juba 2021. aasta augustis. Tarneahelate keerukused on mõnel juhul tekitanud aga probleeme uuenduse jõudmisega lõppkasutajateni. Soovitame uuenduse olemasolul see ka kohe rakendada.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 1. nädalal

Fortinet paikas kaks kõrge mõjuga turvanõrkust

Esimene neist (CVE-2022-39947) mõjutab FortiADC veebiliidest ja on hinnatud skooriga 8.6/10.0. Tegemist on haavatavusega, mis võimaldab autentitud ründajal, kellel on ligipääs veebiliidesele, käivitada mõjutatud süsteemis pahatahtlikku koodi. Selleks tuleb tal saata spetsiaalne HTTP-päring. Turvanõrkus mõjutab FortiADC versioone 5.4.x, 6.0.x, 6.1.x, 6.2.x ja 7.0.x (Fortinet).

Teine haavatavus (CVE-2022-35845) mõjutab FortiTesteri versioone 2.x.x, 3.x.x, 4.x.x, 7.x ja 7.1.0 ning on hinnatud skooriga 7.6/10.0. Turvanõrkus võimaldab autentitud ründajal käivitada pahatahtlikke käsklusi (Fortinet).

Lisaks paikas tootja veel kolm madalama kriitilisuse tasemega turvanõrkust (SW).

Kes ja mida peaks tegema?

CVE-2022-39947 on parandatud FortiADC versioonides 7.0.2 või uuemas versioonis, 6.2.4 või uuemas versioonis ning 5.4.6 või uuemas versioonid.

CVE-2022-35845 on parandatud FortiTesteri versioonides 7.2.0 või uuemas versioonis, 7.1.1 või uuemas versioonis, 4.2.1 või uuemas versioonis ning 3.9.2 või uuemas versioonid.
Kui te mõjutatud versiooniga tooteid kasutate, tutvuge eelnevalt viidatud tootjapoolsete juhistega ja uuendage tarkvara esimesel võimalusel.

Synology paikas kriitilise turvanõrkuse

Synology paikas ruuteritel, mida kasutatakse VPNi toimimise jaoks mõeldud serveritena, turvavea, mis (CVE-2022-43931) on hinnatud kriitilisuse skooriga 10.0/10.0. Viga mõjutab VPN Plus Server tarkvara ning seda saab ründaja mõjutatud süsteemides kasutada pahatahtlikke käskude käivitamiseks (BP, Synology).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada vajadusel turvauuendused.

Üle 60 000 Exchange’i serveri on ohus ProxyNotShelli turvanõrkuse tõttu

Turvaviga 2022-41082 avaldati eelmise aasta sügisel ning pälvis toona laialdast tähelepanu. Tegu oli ühega kahest turvanõrkusest, mida kutsuti koondnimetusega ProxyNotShell. RIA kirjutas turvanõrkustest ka enda blogis. Haavatavus 2022-41082 mõjutab Microsoft Exchange servereid 2013, 2016 ja 2019, millele ei ole novembris avaldatud turvauuendusi rakendatud. Kui ründajatel õnnestub nõrkust kuritarvitada, siis on neil võimalik suurendada mõjutatud süsteemis enda õiguseid ning käivitada seal pahaloomulist koodi. Olukord on täna ekspertide hinnangul siiski parem võrreldes detsembriga, kuna siis oli 2022-41082 turvanõrkuse vastu haavatavaid servereid ligi 84 000 (BP).

Kes ja mida peaks tegema?

Kui te ei ole veel mõjutatud Exchange’i servereid uuendanud, tehke seda esimesel võimalusel. Juhised selleks leiate tootja veebilehelt siin.

Google paikas Androidi operatsioonisüsteemil mitu turvanõrkust

Google parandas Androidi operatsioonisüsteemil 60 turvaviga. Kõige kriitilisemad neist võimaldavad koodi kaugkäivitamist ilma täiendavate õigusteta (SW, Android).

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutav nutiseade pakub tarkvara uuendamise võimalust, soovitame uuendused rakendada esimesel võimalusel. Regulaarne uuendamine vähendab ohtu, et tarkvaras avastatud nõrkuseid oleks ründajatel võimalik ära kasutada.

Qualcommi kiibistikes avastati mitu turvaviga

Qualcommi kiibistikes avastati viis turvaviga, mis mõjutavad muuhulgas ka Lenovo ThinkPad X13s sülearvuteid. Kolm turvanõrkust on hinnatud kriitilisuse skooriga 8.4/10.0 ning kaks turvanõrkust skooriga 6.8/10.0. Lenovo avalikustas turvanõrkustest tulenevalt uuendused BIOSile. Turvanõrkuseid on võimalik teoreetiliselt kasutada informatsiooni kogumiseks ning mõjutatud seadme töö häirimiseks. Turvavigadele on olemas parandused (HN).

Kes ja mida peaks tegema?

ThinkPad X13 kasutajatel soovitatakse BIOS uuendada versioonini 1.47 või uuemale versioonile (Lenovo).

RIA analüüsi- ja ennetusosakond