Tag Archives: Exchange

Olulised turvanõrkused 2023. aasta 1. nädalal

Fortinet paikas kaks kõrge mõjuga turvanõrkust

Esimene neist (CVE-2022-39947) mõjutab FortiADC veebiliidest ja on hinnatud skooriga 8.6/10.0. Tegemist on haavatavusega, mis võimaldab autentitud ründajal, kellel on ligipääs veebiliidesele, käivitada mõjutatud süsteemis pahatahtlikku koodi. Selleks tuleb tal saata spetsiaalne HTTP-päring. Turvanõrkus mõjutab FortiADC versioone 5.4.x, 6.0.x, 6.1.x, 6.2.x ja 7.0.x (Fortinet).

Teine haavatavus (CVE-2022-35845) mõjutab FortiTesteri versioone 2.x.x, 3.x.x, 4.x.x, 7.x ja 7.1.0 ning on hinnatud skooriga 7.6/10.0. Turvanõrkus võimaldab autentitud ründajal käivitada pahatahtlikke käsklusi (Fortinet).

Lisaks paikas tootja veel kolm madalama kriitilisuse tasemega turvanõrkust (SW).

Kes ja mida peaks tegema?

CVE-2022-39947 on parandatud FortiADC versioonides 7.0.2 või uuemas versioonis, 6.2.4 või uuemas versioonis ning 5.4.6 või uuemas versioonid.

CVE-2022-35845 on parandatud FortiTesteri versioonides 7.2.0 või uuemas versioonis, 7.1.1 või uuemas versioonis, 4.2.1 või uuemas versioonis ning 3.9.2 või uuemas versioonid.
Kui te mõjutatud versiooniga tooteid kasutate, tutvuge eelnevalt viidatud tootjapoolsete juhistega ja uuendage tarkvara esimesel võimalusel.

Synology paikas kriitilise turvanõrkuse

Synology paikas ruuteritel, mida kasutatakse VPNi toimimise jaoks mõeldud serveritena, turvavea, mis (CVE-2022-43931) on hinnatud kriitilisuse skooriga 10.0/10.0. Viga mõjutab VPN Plus Server tarkvara ning seda saab ründaja mõjutatud süsteemides kasutada pahatahtlikke käskude käivitamiseks (BP, Synology).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada vajadusel turvauuendused.

Üle 60 000 Exchange’i serveri on ohus ProxyNotShelli turvanõrkuse tõttu

Turvaviga 2022-41082 avaldati eelmise aasta sügisel ning pälvis toona laialdast tähelepanu. Tegu oli ühega kahest turvanõrkusest, mida kutsuti koondnimetusega ProxyNotShell. RIA kirjutas turvanõrkustest ka enda blogis. Haavatavus 2022-41082 mõjutab Microsoft Exchange servereid 2013, 2016 ja 2019, millele ei ole novembris avaldatud turvauuendusi rakendatud. Kui ründajatel õnnestub nõrkust kuritarvitada, siis on neil võimalik suurendada mõjutatud süsteemis enda õiguseid ning käivitada seal pahaloomulist koodi. Olukord on täna ekspertide hinnangul siiski parem võrreldes detsembriga, kuna siis oli 2022-41082 turvanõrkuse vastu haavatavaid servereid ligi 84 000 (BP).

Kes ja mida peaks tegema?

Kui te ei ole veel mõjutatud Exchange’i servereid uuendanud, tehke seda esimesel võimalusel. Juhised selleks leiate tootja veebilehelt siin.

Google paikas Androidi operatsioonisüsteemil mitu turvanõrkust

Google parandas Androidi operatsioonisüsteemil 60 turvaviga. Kõige kriitilisemad neist võimaldavad koodi kaugkäivitamist ilma täiendavate õigusteta (SW, Android).

Kes ja mida peaks tegema?

Kui teie Androidi operatsioonisüsteemi kasutav nutiseade pakub tarkvara uuendamise võimalust, soovitame uuendused rakendada esimesel võimalusel. Regulaarne uuendamine vähendab ohtu, et tarkvaras avastatud nõrkuseid oleks ründajatel võimalik ära kasutada.

Qualcommi kiibistikes avastati mitu turvaviga

Qualcommi kiibistikes avastati viis turvaviga, mis mõjutavad muuhulgas ka Lenovo ThinkPad X13s sülearvuteid. Kolm turvanõrkust on hinnatud kriitilisuse skooriga 8.4/10.0 ning kaks turvanõrkust skooriga 6.8/10.0. Lenovo avalikustas turvanõrkustest tulenevalt uuendused BIOSile. Turvanõrkuseid on võimalik teoreetiliselt kasutada informatsiooni kogumiseks ning mõjutatud seadme töö häirimiseks. Turvavigadele on olemas parandused (HN).

Kes ja mida peaks tegema?

ThinkPad X13 kasutajatel soovitatakse BIOS uuendada versioonini 1.47 või uuemale versioonile (Lenovo).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 40. nädalal

  • Microsoft Exchange turvanõrkuste uued vastumeetmed

Microsoft uuendas 5. oktoobril enda soovitusi, mis aitavad leevendada nullpäeva turvanõrkuste (CVE-2022-41040 ja CVE-2022-41082) mõju. Esialgsed vastumeetmed osutusid ebapiisavaks, kuna ründajatel oli võimalik neist mööda minna. Microsoft tegeleb turvapaikade loomisega, kuid senikaua tuleks rakendada nende soovitatud kaitsemeetmed (MSRC, BP).

Oleme neist turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Atlassian Bitbucket teenuse turvanõrkused

Atlassian Bitbucketi näol on tegemist veebipõhise koodihoidlaga, milles hoitakse nii avalikke kui ka privaatseid arendusprojekte.

Tegemist ei ole nullpäeva turvanõrkusega. Atlassian Bitbucketi haavatavusel (CVE-2022-36804) on olemas parandus ja see on avalik juba 24. augustist, kuid üle-eelmisel nädalal lisati see CISA ärakasutatud turvanõrkuste nimekirja. Turvaveast on mõjutatud kõik Atlassian Bitbucket Server ja Data Center versioonid alates 6.10.17, millele tuleks teha tarkvarauuendus esimesel võimalusel (MB, Atlassian).

Turvanõrkust CVE-2022-36804 on hinnatud kriitiliseks skooriga vahemikus 9.0/10.0 kuni 10.0/10.0 ja see võimaldab lugemisõigusega ründajal käivitada suvalist koodi saates pahatahtliku HTTP-päringu.

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki Atlassian Bitbucket Server ja Data Center versioone, mis on uuemad kui 6.10.17 ja kõigil nende versioonide kasutajatel tuleks uuendada tarkvara.

Täpsem nimekiri mõjutatud versioonidest ja parandustest on leitavad Atlassiani kodulehel ja need on võimalik alla laadida siit.

Kui mingil põhjusel ei õnnestu tarkvara uuendada, siis tootja soovitab ajutise leevendusena avalikud koodihoidlad sulgeda käsuga feature.public.access=false.

  • Fortinet teenustes avastati kriitiline turvanõrkus

Turvanõrkus (CVE-2022-40684) mõjutab Fortinet teenuseid FortiGate, FortiProxy ja FortiSwitchManager. Tegemist on haavatavusega, mille kaudu on võimalik autentimisest mööda minna ja mis on hinnatud kriitiliseks skooriga 9.6/10.0. Turvavea tõttu on võimalik saada ligipääs administratiivliidesele ja selle kaudu tuvastada paikamata seadmed. Turvaviga mõjutab FortiOS versioone 7.0.0 kuni 7.0.6 ja 7.2.0 kuni 7.2.1, FortiProxy versioone 7.0.0 kuni 7.0.6 ja 7.2.0 ning FortiSwitchManager versioone 7.0.0 ja 7.2.0. Ettevõte soovitab uuendada tarkvara esimesel võimalusel versioonidele 7.0.7 või 7.2.2 (HN, BP, Tenable, Fortinet, BP).

Kes ja mida peaks tegema?

Kõik, kes kasutavad järgmisi Fortinet teenuseid peaks uuendama tarkvara esimesel võimalusel:

  • FortiOS – alates 7.0.0 kuni 7.0.6 ja alates 7.2.0 kuni 7.2.1
  • FortiProxy – alates 7.0.0 kuni 7.0.6 ja 7.2.0
  • FortiSwitchManager – 7.0.0 ja 7.2.0

Viga on parandatud FortiOS versioonides 7.0.7 ja 7.2.2, FortiProxy versioonides 7.0.7 ja 7.2.1 ning FortiSwitchManager versioonis 7.2.1.

Kuna turvaviga on võimalik kaugelt ära kasutada, siis on tootja sõnul tarkvara uuendamine eriti oluline. Fortinet kinnitas, et haavatavust on juba ründe läbiviimiseks ära kasutatud. Kui ei ole võimalik tarkvara uuendada, siis on Fortinet välja pakkunud ka ajutise lahenduse administratiivliidesele ligipääsu omavate IP-aadresside piiramise näol.

  • Google paikas mitu turvanõrkust Androidi platvormil

Google parandas 42 turvaviga Android operatsioonisüsteemis, mõned neist on hinnatud kriitiliseks kuna võimaldavad koodi kaugkäivitamist. Neli turvanõrkust hinnati kriitiliseks ehk kõrgemalt kui skooriga 9.0/10.0. Android operatsioonisüsteemi kasutavad Google mobiilseadmed nagu nutitelefonid ja -kellad ning tahvelarvutid. Seda kasutab umbes 70% kõigist mobiiltelefonidest (MB, Android).

Kes ja mida peaks tegema?

Kõik Androidi nutiseadmete kasutajad peaks üle kontrollima, kas nende mobiiltelefon, tahvelarvuti või muu seade pakub turvauuendust uuele versioonile. Kui võimalik, siis tuleks tarkvarauuendus alla laadida ja paigaldada. Google turvaparandused on rakendatud Androidi versioonides 10, 11, 12, 12L ja 13.

  • Zimbra teenuse kriitiline turvanõrkus

Zimbra Collaboration Suite (ZCS) tarkvaras avastati kriitiline turvanõrkus (CVE-2022-41352) skooriga 9.8/10.0, mida on ära kasutatud rünnete läbiviimiseks. Haavatavus võimaldab pahatahtlikku koodi kaugkäivitada ja hetkel sellele parandust ei ole, kuid ettevõte on koostanud juhise turvanõrkuse vältimiseks (BP, AT, Zimbra).

Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Kes ja mida peaks tegema?

Zimbra ei ole veel avaldanud turvapaika, kuid on olemas juhis turvavea mõjude leevendamiseks. Kõik Zimbra administraatorid peaks üle kontrollima, kas neil on serveris pax pakett installeeritud.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 39. nädalal

  • Microsoft Exchange’i uued nullpäeva turvanõrkused

Microsoft avaldas, et nende Exchange Server 2013, 2016 ja 2019 puhul avastati kaks uut (CVE-2022-41040 ja CVE-2022-41082) nullpäeva turvanõrkust. Eduka ärakasutamise korral on võimalik ründajal käivitada serveris pahaloomulist koodi, liikuda lateraalselt edasi või varastada andmeid. Microsoft on teada andnud, et tegeleb hetkel turvapaikade väljatöötamisega ja on pakkunud välja alternatiivsed kaitsemeetmed, kuidas turvanõrkuste vastu end hetkel kaitsta (MSRC, BP, RIA).  

Riigi Infosüsteemi Amet on pikemalt nendest turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Kriitilised haavatavused WhatsAppi sõnumirakenduses

Sõnumirakenduses WhatsApp parandati kaks turvanõrkust (CVE-2022-36934 ja CVE-2022-27492), mis võimaldavad ründajal koodi kaugkäivitada. Haavatavused mõjutavad erinevaid WhatsAppi tarkvara versioone (pikemalt kirjeldatud all). Soovitame uuendada WhatsAppi rakendus esimesel võimalusel (SA, MB, WhatsApp).

Nimelt parandas WhatsApp septembris kaks turvanõrkust, mis lubavad õnnestunud ärakasutamise korral koodi kaugkäivitamist haavatavas seadmes. Turvanõrkust CVE-2022-36934 on hinnatud skooriga 9.8/10.0 ja teist turvanõrkust CVE-2022-27492 skooriga 7.8/10.0.

CVE-2022-36934 – Turvaviga peitub spetsiifilisemalt ühes WhatsAppi rakenduse komponendis, mis on seotud videokõnedega. Videkõne ajal on ründajal võimalik selle vea abil tekitada puhvri ületäitumine (buffer overflow) ja saada kontroll WhatsAppi rakenduse üle. Puhvri ületäitumine on olukord, kus ründajal õnnestub tarkvarale eraldatud mälupiirkonda (memory region) ignoreerida ja selle abil käivitada pahaloomuline kood.

CVE-2022-27492 – Ründaja saab seda turvaviga ära kasutada, kui ta saadab sihtmärgile spetsiaalse videofaili, mille ohver peab siis omakorda käivitama. Sellisel juhul on võimalik ründajal teostada koodi kaugkäivitamist haavatavas seadmes. Turvanõrkus tekitab WhatsAppi rakenduses spetsiaalse olukorra (integer underflow), mille puhul on siis võimalik ründajal pahaloomulist koodi kaugkäivitada.

Kes ja mida peaks tegema?

CVE-2022-36934 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.12.
  • WhatsAppi Business rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui 2.22.16.12.

CVE-2022-27492 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.2.
  • WhatsAppi rakendus iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.15.9.

Soovitame haavatava versiooni kasutamise korral uuendada rakendus esimesel võimalusel. Juhised, kuidas rakendust uuendada, leiate tootja kodulehelt.

  • Twitter parandas turvavea, mis jättis kasutajad sisselogituks pärast parooli lähtestamist

Twitteri sõnul parandasid nad vea, mis jättis kasutaja sisselogituks pärast parooli lähtestamist. Pärast turvavea avastamist logiti kõik mõjutatud kasutajad automaatselt välja ja nüüdseks on viga parandatud (MB).

Mitmesse seadmesse sisselogituna jäämine pärast konto parooli vahetamist on tõsine turvarisk. Kui keegi on teie konto juba kompromiteerinud, kuid pärast parooli vahetamist teda välja ei logita, on tal võimalik endiselt kontoga seotud privaatsõnumeid lugeda, vahetada omakorda parool või teha midagi muud pahaloomulist.

Kes ja mida peaks tegema?

Kuna turvaviga on parandatud ja Twitter logis kõik mõjutatud kasutajakontod automaatselt välja, ei tule kasutajatel otseselt täiendavaid kaitsemeetmeid rakendada. Alati soovitame siiski kasutajakontode puhul kasutada kaheastmelist autentimist, kui seda ei ole juba rakendatud.

  • Chrome’i uues versioonis paigati viis kõrge tasemega turvanõrkust

Google avaldas Chrome’i uue versiooni nimetusega Chrome 106, milles on paigatud kokku 22 erinevat turvanõrkust, sealhulgas turvanõrkused, mida oleks saanud teoreetiliselt ära kasutada pahaloomulise koodi käivitamiseks või teenusetõkestusrünnete korraldamiseks. Mõned nendest olid use-after-free nõrkused, mis viitab sellele, et need spetsiifilised haavatavused olid seotud dünaamilise mälu ebakorrektse kasutamisega rakenduse töötamise ajal (SW, CR).

Kes ja mida peaks tegema?

Chrome’i kõige uuem versioon macOSile ja Linuxile kannab nimetust 106.0.5249.61 ning Windowsi puhul 106.0.5249.61/62. Soovitame Chrome võimalusel uuendada, et ennetada turvanõrkuste ärakasutamist. Juhised, kuidas Chrome’i uuendada, leiate siit.

  • Cisco paikas kaksteist kõrge tasemega turvanõrkust

Eelmisel nädalal avalikustas Cisco, et paikas enda IOS ja IOS XE tarkvarades 12 kõrge tasemega turvanõrkust. Kõige kriitilisema skooriga (8.6/10.0) hinnati kuut haavatavust (CVE-2022-20848, CVE-2022-20847, CVE-2022-20870, CVE-2022-20919 , CVE-2022-20856, CVE-2022-20837), mis kõik võivad viia teenusekatkestuseni. Ründaja saab kasutada neid nõrkuseid, saates pahaloomulisi CIP-, DNS- või CAPWAP-pakette, pahaloomulisi UDP datagramme või DHCP sõnumeid haavatavate seadmete suunas (SW).

Kaks madalama skooriga turvanõrkust CVE-2022-20920 (7.7/10.0) ja CVE-2022-20915 (7.4/10.0) võimaldavad samuti põhjustada teenusekatkestusi haavatavate seadmete puhul, kui saadetakse spetsiifilisi SSH-päringuid või IPv6-pakette.

Ülejäänud kõrge tasemega turvanõrkuste abil on võimalik teoreetiliselt enda õiguseid suurendada (CVE-2022-20775, CVE-2022-20818) või käivitada teatud tingimustel pahaloomulist koodi (CVE-2022-20944).

Kes ja mida peaks tegema?

Soovitame tutvuda tootja väljastatud turvanõrkuste nimekirjaga siin ja haavatavuste korral rakendada uuendused.

  • Mozilla paikas mitmed turvanõrkused Thunderbirdi meilirakenduses

Mozilla paikas mitmed turvanõrkused Thunderbirdi meilikliendi uues versioonis 102.3.1. Kolm neist on hinnatud kõrge mõjuga haavatavusteks. Tarkvara kasutamise korral soovitame see uuendada, et ennetada turvanõrkuste ärakasutamist (Mozilla).

Kõik parandatud turvanõrkused on seotud Matrixi suhtlusprotokolliga. Järgnevalt kirjeldame veidi pikemalt turvanõrkuseid, mille Mozilla hindas kõrge tasemega.

CVE-2022-39249 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on pahaloomulisel serveri administraatoril võimalik võltsida krüpteeritud sõnumeid ja jätta mulje, et need saadeti kellegilt teiselt kasutajalt samast serverist.

CVE-2022-39250 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on võimalik pahaloomulisel serveri administraatoril segada seadmeülest verifitseerimisprotseduuri selleks, et autentida end enda seadmega.

CVE-2022-39251 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on ründajal võimalik näiliselt kasutada kasutajate ajaloolisi sõnumeid pahaloomuliseks tegevuseks.

Kes ja mida peaks tegema?

Tarkvara kasutajatel soovitame tarkvara uuendada vähemalt versioonini 102.3.1, et ennetada mainitud turvanõrkuste ärakasutamist.

RIA analüüsi- ja ennetusosakond