• Confluence’i tarkvaras avastati kriitiline turvanõrkus

Atlassian teavitas eelmise nädala alguses, et nende Confluence’i tarkvaras on kriitiline turvanõrkus, mida tähistatakse kui CVE-2023-22518. Haavatavus võib potentsiaalselt lubada autentimata ründajatel, kes saavad saata mõjutatud Confluence’ile spetsiaalsete parameetritega päringuid, taastada konkreetse Confluence’i andmebaas ja lõpuks käivitada suvalisi süsteemikäske (PD). Atlassiani sõnul võib autentimata ründaja haavatavuse abil põhjustada kliendi Confluence’i keskkonnas andmekadu (Atlassian). Ettevõte andis 3. novembril ka teada, et nõrkust on üritatud aktiivselt kuritarvitada (Atlassian). RIA avaldas turvanõrkuse kohta käiva ülevaate 31. oktoobril enda blogis (RIA).

Atlassiani sõnul on turvavea vastu haavatavad kõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id.

Põhiliseks vastumeetmeks on uuendada Confluence ühele järgnevatest versioonidest:

7.19.16 või hilisem;
8.3.4 või hilisem;
8.4.4 või hilisem;
8.5.3 või hilisem;
8.6.1 või hilisem.

Ettevõtte ametlikus ohuteates on kirjeldatud ka alternatiivsed võimalused enda haavatavat Confluence’i kaitsta, kui uuendamine ei ole mingil põhjusel võimalik (Atlassian). Siiski tuleks prioritiseerida kaitsemeetmena uuendamist.

• Microsoft Exchange’il avastati neli nullpäeva turvanõrkust

Microsoft Exchange Serveril avastati neli nullpäeva turvaauku, mida autentitud ründaja saab eemalt ära kasutada suvalise koodi käivitamiseks või haavatavatest süsteemidest tundliku teabe varastamiseks. Turvanõrkusi tähistatakse nelja erineva tähisega: ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 ja ZDI-23-1581. Microsofti sõnul on ZDI-23-1578 turvanõrkuse vastu kaitstud kõik kliendid, kes on rakendanud Exchange’ile augustikuu turvauuendused.  Teiste turvanõrkuste puhul on ründajal vaja kätte saada Exchange’i kasutava meilikonto kasutajatunnused, et turvavigu oleks võimalik kuritarvitada (BP).

• Kriitilist Apache ActiveMQ turvaviga üritatakse lunavararünnakutes ära kasutada

Küberturbeekspertide sõnul on hiljutiste lunavararünnakute jaoks kasutatud Apache ActiveMQ kriitilist turvaauku, millest teatati 25. oktoobril ja mida tähistatakse kui CVE-2023-46604. Turvanõrkus võimaldab haavatavas süsteemis käivitada pahaloomulist koodi ja see üle võtta (TR).

Hiljuti avaldati ka üks analüüs, kus uuriti kaht rünnakut, mille käigus konkreetset turvanõrkust üritati kuritarvitada. Analüüsis leiti, et rünnakute käigus üritati süsteemid krüpteerida HelloKitty lunavaraga. Ekspertide hinnangu kohaselt olid aga krüpteerimiskatsed “kohmakad”, mis tähendas, et ründajatel ei õnnestunud isegi mitme katse käigus faile krüpteerida (Rapid7).

Turvaveast mõjutatud Apache ActiveMQ versioonid on järgnevad (Apache):

Kõik 5.18.x versioonid enne 5.18.3

Kõik 5.17.x versioonid enne 5.17.6

Kõik 5.16.x versioonid enne 5.16.7

Kõik versioonid, mis on vanemad kui 5.15.16

OpenWire Module 5.18.x versioonid enne 5.18.3

OpenWire Module 5.17.x versioonid enne 5.17.6

OpenWire Module 5.16.x versioonid enne 5.16.7

OpenWire Module 5.8.x versioonid enne 5.15.16

Kasutajatel soovitatakse uuendada mõjutatud tarkvara ühele järgnevatest versioonidest: 5.15.16, 5.16.7, 5.17.6 või 5.18.3.

• Teadlased avastasid 34 haavatavat Windowsi draiverit

Teadlased avastasid 34 Windowsi draiverit, mida pahalased saavad kuritarvitada süsteemide kompromiteerimiseks. Mõnda neist haavatavatest draiveritest võivad kurjategijad kasutada näiteks arvuti mälu oluliste osade kustutamiseks (THN).

Haavatavate draiverite hulgas olid muuhulgas AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.M. rtif.sys, rtport.sys, stdcdrv64.sys ja TdkLib64.sys (THN).

34 draiverist kuus võimaldavad juurdepääsu kerneli mälule, mida saab siis kuritarvitada õiguste tõstmiseks või turbelahenduste kaotamiseks. Seitse draiverit, sealhulgas Inteli stdcdrv64.sys, saab kasutada püsivara kustutamiseks SPI-välkmälust, muutes süsteemi käivitamatuks (THN).

Eelnevat kirjeldatud ohtude eest kaitsmiseks on oluline hoida oma arvuti tarkvara ajakohasena (THN).

• Ründajad kuritarvitavad F5 BIG-IP kriitilisi turvanõrkusi

Ründajad kuritarvitavad aktiivselt F5 BIG-IP kriitilist haavatavust, mis võimaldab neil käivitada süsteemikäske. Viga, mida jälgitakse kui CVE-2023-46747, võimaldab autentimata ründajal, kellel on BIG-IP-süsteemile võrgujuurdepääs halduspordi kaudu, käivitada pahaloomulist koodi (SW).

Turvanõrkusele on avalikustatud ka kontseptsiooni tõendus (PoC), mis suurendab kuritarvitamise tõenäosust.  Ründajad on antud kriitilist turvanõrkust kasutanud koos teise uue turvaveaga BIG-IP konfiguratsioonis, mida tähistatakse kui CVE-2023-46748 (SW).

26. oktoobril avalikustas F5 turvanõrkuste vastu parandused BIG-IP versioonide 13.x kuni 17.x jaoks ja kutsus kliente üles neid võimalikult kiiresti rakendama (SW).

Ettevõte on mõlema vea jaoks välja andnud ka vastavad indikaatorid (IoC), et aidata organisatsioonidel võimalikku kompromiteerimist tuvastada. F5 hoiatab siiski aga, et kõik kompromiteeritud süsteemid ei pruugi olla tuvastatavad avaldatud indikaatoritega ning osav ründaja võib enda tegevuse jäljed ka eemaldada.

Ründajad kasutavad turvaauke kombineeritult, seega võib enamiku rünnakute peatamiseks piisata samas ainult CVE-2023-46747 vastu avalikustatud turvaparanduse rakendamisest (SW). Siiski on soovituslik rakendada kõik avalikustatud turvaparandused.

• Kubernetese jaoks mõeldud NGINX Ingress kontrolleri turvavead võivad lubada häkkeritel mandaate varastada

Kubernetese NGINX Ingressi kontrolleril on kolm turvaviga, mis võivad lubada häkkeril klastrist mandaate varastada. Need haavatavused võivad samuti võimaldada ründajal sisestada kontrolleri protsessi kahjulikku koodi ja saada volitamata juurdepääsu tundlikele andmetele. Üks haavatavustest, CVE-2022-4886, võimaldab ründajal varastada kontrollerist Kubernetese API mandaate.

Tarkvara arendajad on avalikustanud mõned viisid nende haavatavuste leevendamiseks, näiteks teatud valikute rakendamine või NGINX-i uuemale versioonile värskendamine (THN).

Microsoft paikas 97 haavatavust

Microsoft paikas uuenduste teisipäeva raames 97 haavatavust, sealhulgas ühe aktiivselt kuritarvitatud nullpäeva turvanõrkuse (CVE-2023-28252). CVE-2023-28252 abil on ründajatel võimalik saada kompromiteeritud süsteemis kõrgendatud õigused. Parandatud haavatavuste seas on seitse koodi kaugkäitust võimaldavat kriitilist turvanõrkust, nendest üks on seotud MSMQ teenusega (CVE-2023-21554). CVE-2023-21554 haavatavust on lihtne ära kasutada ja selle tagajärjed võivad olla tõsised (BP).

Kes ja mida peaks tegema?

Nimekirja kõikidest turvanõrkustest koos mõjutatud tarkvaradega leiate siit. Haavatavad tarkvarad soovitame uuendada esimesel võimalusel.

11. aprillist puudub Exchange Serveri 2013 tootjapoolne tugi

RIA tuletab meelde, et 11. aprillist ei toeta Microsoft enam Exchange Server 2013 tarkvara. See tähendab seda, et see tarkvara ei saa vea- ega turvaparandusi, mille tõttu võib ründajatel ajapikku olla lihtsam Exchange Server 2013 kasutavatele süsteemidele ligi pääseda. Samuti kaotasid 11. aprillil tootjapoolse toe Skype for Business 2015 ja MS Office 2013. Kui te neid tarkvarasid endiselt kasutate, soovitab RIA tungivalt üle minna uuemate lahenduste peale. Täpsemalt saate antud teema kohta lugeda siit ja RIA kodulehelt.

Chrome’il paigati nullpäeva turvanõrkus

Google parandas Chrome’i uue versiooniga 112.0.5615.121 selle aasta esimese nullpäeva turvanõrkuse (CVE-2023-2033), mida on rünnakutes juba ka ära kasutatud. Turvanõrkus mõjutab Windowsile, macOSile ja Linuxile mõeldud Chrome’i sirvikuid. Tavaliselt on võimalik antud tüüpi haavatavusega ainult veebilehitseja töö peatada, kuid teatud juhtudel saab sellega käivitada ohustatud seadmetes ka pahaloomulist koodi (BP, Chrome).

Kes ja mida peaks tegema?

Kui te Chrome’i kasutate, uuendage see esimesel võimalusel. Juhised selleks leiate siit.

Viie aasta jooksul nakatati pahavaraga vähemalt miljon WordPressi veebilehte

Sucuri uurimus paljastas, et viie aasta jooksul kompromiteeriti erinevate pistikprogrammide ja teemade haavatavuste kaudu vähemalt miljon WordPressi veebilehte. Kui ründajatel õnnestus pahaloomuline kood veebilehele lisada, suunas see lehe külastajad ümber erinevatele petulehtedele. Pahaloomulisi skripte kasutati ka veebilehega seotud logide uurimiseks, kasutajatunnuste varastamiseks ja teisteks pahaloomulisteks tegevusteks (Sucuri).

Kes ja mida peaks tegema?

Konkreetne uurimus näitab taas, et tarkvarade uuendamine on väga oluline. Seetõttu soovitab RIA regulaarselt kontrollida, kas tarkvaradele pakutakse uuendusi. Kui jah, rakendage need esimesel võimalusel.

SAP paikas kaks kriitilist turvanõrkust

SAP avalikustas turvauuendused, mis sisaldavad parandusi muuhulgas kahele kriitilisele haavatavusele (CVE-2023-27267, CVE-2023-28765). Need mõjutavad SAP Diagnostics Agenti ja SAP BusinessObjects Business Intelligence platvorme. Nende turvanõrkuste abil on ründajatel võimalik süsteeme ja kasutajakontosid üle võtta (BP).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tooteid, veenduge, et need oleksid uuendatud. Lisainfot leiate ettevõtte kodulehelt.

Adobe paikas enda toodetel 56 haavatavust

Adobe paikas enda toodetes vähemalt 56 turvanõrkust, millest mõne abil on saavad ründajad käivitada pahaloomulist koodi. Kriitilisemad haavatavused mõjutavad Adobe Acrobati ja Readeri tarkvarasid. Turvavead lubavad samuti süsteemis õigusi suurendada ja turvafunktsioonidest mööda pääseda (SW, Adobe).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvarasid, uuendage need esimesel võimalusel.

Fortineti tarkvara haavatavus võimaldab andmebaasidele ligi pääseda

Eelmisel nädalal teavitas Fortinet, et FortiPresence’i tarkvara mõjutab kriitiline haavatavus (CVE-2022-41331). Turvanõrkuse kaudu võib ründaja teoreetiliselt ligi pääseda andmebaasidega seotud süsteemidele (Redis, MongoDB). Ründajal on võimalik haavatavust ära kasutada kaugelt, samuti ei ole vaja tal end selleks autentida.  Lisaks paikas Fortinet enda erinvatel toodetel ka palju teisi turvanõrkuseid (SW).

Kes ja mida peaks tegema?

CVE-2022-41331 mõjutab FortiPresence’i versioone 1.0, 1.1 ja 1.2 ning see on paigatud versioonis 2.0.0. Nimekirja kõikidest parandatud nõrkustest leiate siit.

RIA analüüsi- ja ennetusosakond

Avaldati CryptoAPI turvanõrkuse PoC

Kriitilisest turvanõrkusest CVE-2022-24689 teavitati avalikkust eelmise aasta oktoobris, kuid nüüd on sellele avalikult kättesaadav ka kontseptsiooni tõendus (proof of concept  ehk PoC). Ründajal on võimalik turvanõrkuse abiga kuritarvitada avalikke x.509 sertifikaate ning kasutada neid autentimiseks või koodi allkirjastamiseks (näiteks näitamaks, et pahavara näol on tegu usaldusväärse programmiga). PoCi avalikustajate sõnul on vanad Chrome’i (v48 ja varasemad) ja Chromiumi-põhised rakendused, mis kasutavad CryptoAPIt, selle nõrkuse vastu haavatavad. Samuti mainiti, et kuna analüüsimine veel käib, ei pruugi eelnevalt mainitud tarkvarad olla ainukesed, mis on turvanõrkusest mõjutatud (BC).

Kes ja mida peaks tegema? Windowsi operatsioonisüsteemide kasutajad peaksid veenduma, et neil on kõige hiljutisemad turvauuendused rakendatud. Arendajatele soovitatakse kaitsemeetmena kasutada rakenduste puhul WinAPIt, et kontrollida sertifikaatide tõepärasust (BC). 

Microsoft juhtis tähelepanu Exchange’ide regulaarse uuendamise vajalikkusele

Microsoft avaldas blogipostituse, milles toonitas Exchange’i kasutajatele, et serverite uuendamine on oluline osa Exchange’ide kaitsmisel ja seda peaks regulaarselt tegema. Ründajad, kes otsivad paikamata Exchange’i servereid, ei kao Microsofti sõnul kuhugi, kuna neid kuritarvitades on ründajatel võimalik palju halba korda saata. Näiteks sisaldavad kasutajate meilipostkastid tihti tundlikku informatsiooni, samuti on Exchange’i serverites koopia aadressiraamatust ja serverite abil on teatud juhtudel võimalik rünnata ka Active Directoryt (Microsoft).

Kes ja mida peaks tegema?

Kirjutamise hetkel on kõige hiljutisemad Exchange’i versioonid järgnevad:

• Exchange Server 2019 puhul CU12
• Exchange Server 2016 puhul CU23
• Exchange Server 2013 puhul CU23 ( Exchange Server 2013 tootjapoolne tugi lõppeb 11. aprillil 2023. aastal)

Jaanuari turvauuenduste paketi leiate siit.

VMware parandas logide analüüsimiseks mõeldud tööriistas kriitilised turvavead

VMware avalikustas eelmisel nädalal turvauuendused logide analüüsimiseks mõeldud tööriistale vRealize Log Insight (VMware Aria Operations for Logs).  Turvauuendused parandavad kaks kriitilist turvanõrkust (CVE-2022-31706, CVE-2022-31704), mida autentimata ründaja saab kasutada koodi kaugkäivitamiseks haavatavas süsteemis. Mõlemad turvanõrkused on hinnatud kriitilisuse skooriga 9.8/10.0 (BC).

Kes ja mida peaks tegema?

VMware avaldas juhised, kuidas uuendada vRealize Log Insight kõige uuemale versioonile. Kui uuendamine ei ole võimalik, saab ajutiselt kasutada ka alternatiivset kaitsemeedet. Selleks tuleb süsteemiadministraatoritel juurkasutajana sisse logida igasse vRealize Log Insighti sõlme (node) ja käivitada vastav VMware’i skript. Kui alternatiivset vastumeedet on vaja kasutada, tutvuge esmalt VMware’i juhistega siin.

Apple parandas eelmise aasta nullpäeva turvanõrkuse ka vanematel seadmetel

Eelmise aasta detsembris avalikustati nullpäeva turvanõrkus CVE-2022-42856. Kui varasemalt pakuti turvauuendust uuematele Apple’i seadmetel, siis nüüd on vastav turvauuendus saadaval ka Apple’i vanematele toodetele nagu iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 ja iPod touch (kuues generatsioon). Ründajad saavad seda haavatavust ära kasutada, kui sihtmärk külastab spetsiaalse sisuga veebilehte, mis on ründajate kontrolli all. Pärast seda, kui ohver on veebilehte külastanud, on ründajatel võimalik ohvri seadmes käivitada käske, paigaldada täiendavat pahavara või teha muid pahaloomulisi tegevusi. Apple’i sõnul on võimalik, et seda turvanõrkust on aktiivselt ära kasutatud (Apple, BC). Täiendavat informatsiooni ei ole ettevõte avalikkusega jaganud.

Kes ja mida peaks tegema?

Turvanõrkus on paigatud iOSi versioonis 12.5.7 ja seda pakutakse järgnevatele seadmetele: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, and iPod touch (kuues versioon).

Realtek SDK turvanõrkust üritatakse aktiivselt ära kasutada IoT- seadmete ründamiseks

Eelmisel nädalal avaldatud Unit 42 analüüsist selgub, et 2022. aasta augustist oktoobrini tundsid ründajad rohkem huvi ühe kindla Realtek Jungle SDK turvanõrkuse vastu (CVE-2021-35394). Kui tavaliselt ei ületa analüüsi autorite sõnul üht kindlat turvanõrkust kuritarvitavate rünnete hulk 10% kogu rünnete hulgast, siis eelmiste aasta augustis oktoobrini üritati just seda kindlat Realteki haavatavust ära kasutada 40% rünnakukatsete puhul. 2022. aasta detsembri seisuga oli ettevõte tuvastanud kokku 134 miljonit ründekatset, mille puhul üritati ära kasutada haavatavust CVE-2021-35394 (9.8/10.0). Sealjuures moodustasid 134 miljonist 97% rünnakukatsed, mis olid tehtud alates 2022. aasta augustist. Paljudel juhtudel üritati selle konkreetse Realteki turvanõrkuse abil paigaldada haavatavatele IoT-seadmetele pahavara. (Unit42, OneKey).

Kes ja mida peaks tegema?

Haavatavusest on mõjutatud Realtek Jungle SDK versioonid v2.x kuni v3.4.14B (kaasaarvatud). Tootja parandas haavatavuse turvauuendusega juba 2021. aasta augustis. Tarneahelate keerukused on mõnel juhul tekitanud aga probleeme uuenduse jõudmisega lõppkasutajateni. Soovitame uuenduse olemasolul see ka kohe rakendada.

RIA analüüsi- ja ennetusosakond

Fortinet paikas kaks kõrge mõjuga turvanõrkust

Esimene neist (CVE-2022-39947) mõjutab FortiADC veebiliidest ja on hinnatud skooriga 8.6/10.0. Tegemist on haavatavusega, mis võimaldab autentitud ründajal, kellel on ligipääs veebiliidesele, käivitada mõjutatud süsteemis pahatahtlikku koodi. Selleks tuleb tal saata spetsiaalne HTTP-päring. Turvanõrkus mõjutab FortiADC versioone 5.4.x, 6.0.x, 6.1.x, 6.2.x ja 7.0.x (Fortinet).

Teine haavatavus (CVE-2022-35845) mõjutab FortiTesteri versioone 2.x.x, 3.x.x, 4.x.x, 7.x ja 7.1.0 ning on hinnatud skooriga 7.6/10.0. Turvanõrkus võimaldab autentitud ründajal käivitada pahatahtlikke käsklusi (Fortinet).

Lisaks paikas tootja veel kolm madalama kriitilisuse tasemega turvanõrkust (SW).

Kes ja mida peaks tegema?

CVE-2022-39947 on parandatud FortiADC versioonides 7.0.2 või uuemas versioonis, 6.2.4 või uuemas versioonis ning 5.4.6 või uuemas versioonid.

CVE-2022-35845 on parandatud FortiTesteri versioonides 7.2.0 või uuemas versioonis, 7.1.1 või uuemas versioonis, 4.2.1 või uuemas versioonis ning 3.9.2 või uuemas versioonid.
Kui te mõjutatud versiooniga tooteid kasutate, tutvuge eelnevalt viidatud tootjapoolsete juhistega ja uuendage tarkvara esimesel võimalusel.

Synology paikas kriitilise turvanõrkuse

Synology paikas ruuteritel, mida kasutatakse VPNi toimimise jaoks mõeldud serveritena, turvavea, mis (CVE-2022-43931) on hinnatud kriitilisuse skooriga 10.0/10.0. Viga mõjutab VPN Plus Server tarkvara ning seda saab ründaja mõjutatud süsteemides kasutada pahatahtlikke käskude käivitamiseks (BP, Synology).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada vajadusel turvauuendused.

Üle 60 000 Exchange’i serveri on ohus ProxyNotShelli turvanõrkuse tõttu

Turvaviga 2022-41082 avaldati eelmise aasta sügisel ning pälvis toona laialdast tähelepanu. Tegu oli ühega kahest turvanõrkusest, mida kutsuti koondnimetusega ProxyNotShell. RIA kirjutas turvanõrkustest ka enda blogis. Haavatavus 2022-41082 mõjutab Microsoft Exchange servereid 2013, 2016 ja 2019, millele ei ole novembris avaldatud turvauuendusi rakendatud. Kui ründajatel õnnestub nõrkust kuritarvitada, siis on neil võimalik suurendada mõjutatud süsteemis enda õiguseid ning käivitada seal pahaloomulist koodi. Olukord on täna ekspertide hinnangul siiski parem võrreldes detsembriga, kuna siis oli 2022-41082 turvanõrkuse vastu haavatavaid servereid ligi 84 000 (BP).

Kes ja mida peaks tegema?

Kui te ei ole veel mõjutatud Exchange’i servereid uuendanud, tehke seda esimesel võimalusel. Juhised selleks leiate tootja veebilehelt siin.

Google paikas Androidi operatsioonisüsteemil mitu turvanõrkust

Google parandas Androidi operatsioonisüsteemil 60 turvaviga. Kõige kriitilisemad neist võimaldavad koodi kaugkäivitamist ilma täiendavate õigusteta (SW, Android).

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutav nutiseade pakub tarkvara uuendamise võimalust, soovitame uuendused rakendada esimesel võimalusel. Regulaarne uuendamine vähendab ohtu, et tarkvaras avastatud nõrkuseid oleks ründajatel võimalik ära kasutada.

Qualcommi kiibistikes avastati mitu turvaviga

Qualcommi kiibistikes avastati viis turvaviga, mis mõjutavad muuhulgas ka Lenovo ThinkPad X13s sülearvuteid. Kolm turvanõrkust on hinnatud kriitilisuse skooriga 8.4/10.0 ning kaks turvanõrkust skooriga 6.8/10.0. Lenovo avalikustas turvanõrkustest tulenevalt uuendused BIOSile. Turvanõrkuseid on võimalik teoreetiliselt kasutada informatsiooni kogumiseks ning mõjutatud seadme töö häirimiseks. Turvavigadele on olemas parandused (HN).

Kes ja mida peaks tegema?

ThinkPad X13 kasutajatel soovitatakse BIOS uuendada versioonini 1.47 või uuemale versioonile (Lenovo).

RIA analüüsi- ja ennetusosakond

• Microsoft Exchange turvanõrkuste uued vastumeetmed

Microsoft uuendas 5. oktoobril enda soovitusi, mis aitavad leevendada nullpäeva turvanõrkuste (CVE-2022-41040 ja CVE-2022-41082) mõju. Esialgsed vastumeetmed osutusid ebapiisavaks, kuna ründajatel oli võimalik neist mööda minna. Microsoft tegeleb turvapaikade loomisega, kuid senikaua tuleks rakendada nende soovitatud kaitsemeetmed (MSRC, BP).

Oleme neist turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

• Atlassian Bitbucket teenuse turvanõrkused

Atlassian Bitbucketi näol on tegemist veebipõhise koodihoidlaga, milles hoitakse nii avalikke kui ka privaatseid arendusprojekte.

Tegemist ei ole nullpäeva turvanõrkusega. Atlassian Bitbucketi haavatavusel (CVE-2022-36804) on olemas parandus ja see on avalik juba 24. augustist, kuid üle-eelmisel nädalal lisati see CISA ärakasutatud turvanõrkuste nimekirja. Turvaveast on mõjutatud kõik Atlassian Bitbucket Server ja Data Center versioonid alates 6.10.17, millele tuleks teha tarkvarauuendus esimesel võimalusel (MB, Atlassian).

Turvanõrkust CVE-2022-36804 on hinnatud kriitiliseks skooriga vahemikus 9.0/10.0 kuni 10.0/10.0 ja see võimaldab lugemisõigusega ründajal käivitada suvalist koodi saates pahatahtliku HTTP-päringu.

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki Atlassian Bitbucket Server ja Data Center versioone, mis on uuemad kui 6.10.17 ja kõigil nende versioonide kasutajatel tuleks uuendada tarkvara.

Täpsem nimekiri mõjutatud versioonidest ja parandustest on leitavad Atlassiani kodulehel ja need on võimalik alla laadida siit.

Kui mingil põhjusel ei õnnestu tarkvara uuendada, siis tootja soovitab ajutise leevendusena avalikud koodihoidlad sulgeda käsuga feature.public.access=false.

• Fortinet teenustes avastati kriitiline turvanõrkus

Turvanõrkus (CVE-2022-40684) mõjutab Fortinet teenuseid FortiGate, FortiProxy ja FortiSwitchManager. Tegemist on haavatavusega, mille kaudu on võimalik autentimisest mööda minna ja mis on hinnatud kriitiliseks skooriga 9.6/10.0. Turvavea tõttu on võimalik saada ligipääs administratiivliidesele ja selle kaudu tuvastada paikamata seadmed. Turvaviga mõjutab FortiOS versioone 7.0.0 kuni 7.0.6 ja 7.2.0 kuni 7.2.1, FortiProxy versioone 7.0.0 kuni 7.0.6 ja 7.2.0 ning FortiSwitchManager versioone 7.0.0 ja 7.2.0. Ettevõte soovitab uuendada tarkvara esimesel võimalusel versioonidele 7.0.7 või 7.2.2 (HN, BP, Tenable, Fortinet, BP).

Kes ja mida peaks tegema?

Kõik, kes kasutavad järgmisi Fortinet teenuseid peaks uuendama tarkvara esimesel võimalusel:

• FortiOS – alates 7.0.0 kuni 7.0.6 ja alates 7.2.0 kuni 7.2.1
• FortiProxy – alates 7.0.0 kuni 7.0.6 ja 7.2.0
• FortiSwitchManager – 7.0.0 ja 7.2.0

Viga on parandatud FortiOS versioonides 7.0.7 ja 7.2.2, FortiProxy versioonides 7.0.7 ja 7.2.1 ning FortiSwitchManager versioonis 7.2.1.

Kuna turvaviga on võimalik kaugelt ära kasutada, siis on tootja sõnul tarkvara uuendamine eriti oluline. Fortinet kinnitas, et haavatavust on juba ründe läbiviimiseks ära kasutatud. Kui ei ole võimalik tarkvara uuendada, siis on Fortinet välja pakkunud ka ajutise lahenduse administratiivliidesele ligipääsu omavate IP-aadresside piiramise näol.

• Google paikas mitu turvanõrkust Androidi platvormil

Google parandas 42 turvaviga Android operatsioonisüsteemis, mõned neist on hinnatud kriitiliseks kuna võimaldavad koodi kaugkäivitamist. Neli turvanõrkust hinnati kriitiliseks ehk kõrgemalt kui skooriga 9.0/10.0. Android operatsioonisüsteemi kasutavad Google mobiilseadmed nagu nutitelefonid ja -kellad ning tahvelarvutid. Seda kasutab umbes 70% kõigist mobiiltelefonidest (MB, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks üle kontrollima, kas nende mobiiltelefon, tahvelarvuti või muu seade pakub turvauuendust uuele versioonile. Kui võimalik, siis tuleks tarkvarauuendus alla laadida ja paigaldada. Google turvaparandused on rakendatud Androidi versioonides 10, 11, 12, 12L ja 13.

• Zimbra teenuse kriitiline turvanõrkus

Zimbra Collaboration Suite (ZCS) tarkvaras avastati kriitiline turvanõrkus (CVE-2022-41352) skooriga 9.8/10.0, mida on ära kasutatud rünnete läbiviimiseks. Haavatavus võimaldab pahatahtlikku koodi kaugkäivitada ja hetkel sellele parandust ei ole, kuid ettevõte on koostanud juhise turvanõrkuse vältimiseks (BP, AT, Zimbra).

Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Kes ja mida peaks tegema?

Zimbra ei ole veel avaldanud turvapaika, kuid on olemas juhis turvavea mõjude leevendamiseks. Kõik Zimbra administraatorid peaks üle kontrollima, kas neil on serveris pax pakett installeeritud.

RIA analüüsi- ja ennetusosakond