Tag Archives: Firefox

Olulisemad turvanõrkused 2024. aasta 32. nädalal

Google paikas Androidi nullpäeva turvanõrkuse

Kokku paigati 46 haavatavust, mille hulgas oli ka koodi kaugkäivitamist võimaldav viga, mida on juba rünnetes ära kasutatud. Suurem osa paigatud haavatavustest on hinnatud suure mõjuga vigadeks. Lisaks paigati ka nullpäeva turvanõrkus tähisega CVE-2024-36971, mis on Linuxi kerneli haavatavus ja võimaldab muuta võrguühendusi. Google’i sõnul on näha, et nullpäeva turvaviga on proovitud rünnetes kuritarvitada. Sel kuul avaldas Google kaks Androidi turvauuenduste paketti: 2024-08-01 ja 2024-08-05. Turvapaigad avaldati ka Wear OSi operatsioonisüsteemile. Soovitame kõigil Androidi seadmete kasutajatel tarkvara uuendada (BC, SW).

Apache OfBiz tarkvaras paigati koodi kaugkäivitamise viga

Apache OfBiz on avatud lähtekoodiga ERP (Enterprise Resource Planning) tarkvara, milles paigati haavatavus tähisega CVE-2024-38856. Viga on hinnatud kriitilise CVSS skooriga 9.8/10 ja sellele on avaldatud ka kontseptsiooni tõendus, mistõttu võib eeldada et peagi hakatakse seda viga ära kasutama. Haavatavuse kaudu on võimalik autentimata ründajal suvalist koodi käivitada. Viga mõjutab kõiki tarkvara versioone kuni 18.12.14 ja kasutajatel soovitatakse uuendada tarkvara versioonile 18.12.15 või uuemale.

CISA hoiatas, et Apache OfBiz tarkvaras olevat maikuus avalikuks tulnud turvaviga tähisega Apache OfBiz CVE-2024-32113 on rünnetes kuritarvitatud. Viga mõjutab kõiki tarkvara versioone kuni 18.12.13. Tänu oma mitmekülgsusele ja kulutõhususele kasutatakse Apache OfBiz tarkvara paljudes tööstusharudes ja ettevõtetes (HN, BC).

Chrome’i ja Firefoxi veebilehitsejates paigati haavatavusi

Google avaldas Chrome’i versiooni 127.0.6533.99, Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Paigatud vigadest üks (CVE-2024-7532) on hinnatud kriitilise mõjuga ja ülejäänud viis suure mõjuga haavatavuseks.

Mozilla Firefoxi uues versioonis 129 on paigatud kokku 14 turvanõrkust, millest 11 on hinnatud suure mõjuga veaks. Mozilla avaldas turvapaigad ka tarkvaradele Thunderbird ja Firefox ESR. Soovitame kõigil Chrome’i ja Firefoxi kasutajatel teha turvauuendus. Kumbki ettevõte ei ole avaldanud infot turvavigade ärakasutamise kohta (SW).

Cisco hoiatab IP-telefonide kriitilisest turvaveast

Koodi kaugkäivitamist võimaldavad kriitilised nullpäeva turvanõrkused mõjutavad Cisco IP-telefone seeriatest SPA 300 ja SPA 500. Mõlemate seeriate tootmine on lõpetatud ja neile ei avaldada enam turvauuendusi.

Cisco on avalikustanud viis haavatavust, millest kolm on hinnatud kriitiliseks (CVSS skoor 9.8/10) ja kaks suure mõjuga (CVSS skoor 7.5/10) veaks. Kriitilised turvanõrkused on tähistega CVE-2024-20450, CVE-2024-20452 ja CVE-2024-20454. Suure mõjuga turvavead on tähistega CVE-2024-20451 ja CVE-2024-20453.

Nimetatud telefonide kasutajatel oleks soovitatav üle minna uuematele mudelitele, näiteks Cisco IP-telefoni mudelile 8841 või mõnele telefonile Cisco 6800 seeriast (BC).

Microsoft hoiatab Outlooki paikamata turvaveast

Microsoft avaldas nullpäeva turvanõrkuse tähisega CVE-2024-3820 (CVSS skoor 7.5/10), mille eduka ärakasutamise korral on võimalik saada ligipääs tundlikule infole. Kurjategija saadab e-kirja või sõnumi, millele on lisatud pahatahtlik link ja sellele vajutades käivitatakse kasutaja arvutis fail. Haavatavus mõjutab järgmisi Outlooki versioone: Microsoft Office 2016, Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise ja Microsoft Office 2019.

Veale peaks tulema parandus 13. augustil. Hetkel on Microsoft avaldanud leevendavad meetmed, mille leiab lisatud linkidelt (HN, Microsoft).

1Password paroolihalduris olevad kriitilised turvavead võimaldavad paroole varastada

Turvavead tähistega CVE-2024-42219 ja CVE-2024-42218 mõjutavad paroolihalduri 1Passwordi macOSi versiooni ning nende kaudu on võimalik saada ligipääs kasutaja paroolidele. Turvavead on paigatud tarkvara versioonides v8.10.36 ja  v8.10.38. Hetkel teadaolevalt ei ole kurjategijatel õnnestunud haavatavusi ära kasutada (HNS).

Olulisemad turvanõrkused 2024. aasta 16. nädalal

Laialdaselt kasutusel olevas SSH-kliendis PuTTY leiti kriitiline turvaviga

PuTTY ja Telneti tarkvarade pakkujad hoiatavad kasutajaid kriitilise haavatavuse eest, mis mõjutab versioone 0.68 kuni 0.80 ning mida saab ära kasutada NIST P-521 privaatvõtmete täielikuks taastamiseks. PuTTY on avatud lähtekoodiga tarkvara, mida kasutavad süsteemiadministraatorid serverite ja muude võrguseadmete kaughaldamiseks. Turvaviga tähisega CVE-2024-31497 võimaldab eduka ründe korral saada ligipääsu ohvri serveritele.

Lisaks PuTTY-le mõjutab turvaviga ka teisi tarkvarasid:

  • FileZilla (versioonid 3.24.1 – 3.66.5)
  • WinSCP (versioonid 5.9.5 – 6.3.2)
  • TortoiseGit (versioonid 2.4.0.2 – 2.15.0)
  • TortoiseSVN (versioonid 1.10.0 – 1.14.6)

Viga on parandatud tarkvarades PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ja TortoiseGit 2.15.0.1. TortoiseSVN kasutajatele on hetkel kättesaadaval ajutine lahendus. Turvaviga CVE-2024-31497 mõjutab tõenäoliselt rohkem tarkvarasid, mis kasutavad ohus olevat PuTTY versiooni. Seetõttu soovitatakse kasutajatel oma tarkvarad üle kontrollida ja vajadusel ennetavad meetmed kasutusele võtta (HN, BC).

Juniper Networks paikas mitmeid turvavigasid

Juniper Networks paikas sadakond turvaviga, mis mõjutavad operatsioonisüsteeme Junos OS ja Junos OS Evolved ning teisi ettevõtte tooteid. Juniper Networksi klientidel on soovitatav oma seadmete tarkvara esimesel võimalusel uuendada, kuna kõige suurema mõjuga haavatavuste jaoks ei ole leevendavaid meetmeid saadaval. Rohkem infot parandatud vigade kohta leiab Juniper Networksi kodulehelt (SW, Juniper).

Ivanti hoiatab kriitiliste haavatavuste eest Avalanche’i tarkvaras

Ivanti on välja andnud turvauuendused, et parandada 27 haavatavust Avalanche’i mobiilseadmete kaughalduse (MDM) lahenduses. Avalanche’i kasutatakse, et keskelt hallata nutiseadmeid ja nende tarkvarauuendusi. Paigatud vigadest kaks (CVE-2024-24996 ja CVE-2024-29204) on hinnatud kriitilise mõjuga nõrkusteks, mis võimaldavad käske kaugkäivitada.

Hetkel teadaolevalt ei ole haavatavusi õnnestunud kuritarvitada ja kõigil kasutajatel soovitatakse uuendada tarkvara versioonile Avalanche 6.4.3. Ivanti tarkvaras olevaid haavatavusi on varem tihti kasutatud ründevahenditena. Näiteks õnnestus möödunud suvel saada häkkeritel ligipääs Norra valitsusasutuste IT-süsteemidele just Ivanti haavatavuste kaudu. Mobiilseadmete haldussüsteemid on kurjategijate jaoks atraktiivsed sihtmärgid, kuna nende kaudu on võimalik saada korraga ligipääs tuhandetele seadmetele. Tihti kasutavad just riigiasutused taolisi mobiilseadmete haldamise vahendeid (BC).

Chrome’i ja Firefoxi veebilehitsejates paigati suure mõjuga turvavigu

Google avaldas Chrome’i versiooni 124 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 22 haavatavust. Mozilla avaldas Firefoxi versiooni 125, kus on paigatud 15 turvaviga, nende hulgas ka üheksa suure mõjuga haavatavust. Lisaks avaldati ka Firefox ESR 115.10, kus on samuti parandatud üheksa turvaviga. Soovitame nii Google Chrome’i kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Oracle paikas enam kui 400 turvaviga

Parandatud turvanõrkuste hulgas oli üle 30 kriitilise haavatavuse. Kokku paigati üle 200 turvavea, mida on võimalik kuritarvitada kaugteel ja ilma autentimata. Turvavead mõjutavad mitmeid erinevaid Oracle tooteid, näiteks Oracle Communications, Fusion Middleware, Financial Services Applications, E-Business Suite ja MySQL. Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ja Oracle soovitab kõigil kasutajatel tarkvara uuendada. Ettevõtte sõnul on teada juhtumeid, kus on õnnestunud paikamata tarkvara kaudu nende kliente rünnata (SW, Oracle).

Kiibitootja Nexperia kinnitas küberrünnaku toimumist

Hollandi kiibitootja Nexperia kinnitas, et häkkeritel õnnestus nende võrgule ligipääs saada. Ettevõte avaldas pressiteate, milles andis teada, et nad olid sunnitud oma IT-süsteemid välja lülitama ning algatama täpsemate asjaolude uurimise. 

10. aprillil teatas lunavararühmitus veebilehel Dunghill Leak, et neil on õnnestunud varastada 1 TB mahus Nexperia konfidentsiaalseid andmeid ja lisaks lekitati ka näidiseid varastatud andmetest. Ründajad avaldasid näiteks pilte elektroonikakomponentidest, töötajate passidest ja erinevatest lepingutest. Ettevõtet ähvardati suuremahulise andmelekkega, kui nad ei maksa soovitud lunaraha (BC, Nexperia).

300 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kriitiline turvanõrkus CVE-2024-28890 (CVSS skoor 9.8/10) mõjutab pistikprogrammi Forminator ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi faile üles laadida. Lisaks nimetatud haavatavusele paigati veel kaks turvaviga.

Pistikprogrammi kasutab umbes 500 000 WordPressi veebilehte ja hetkel on ligikaudu kolmandik neist jõudnud tarkvara uuendada. Viga on parandatud tarkvara versioonis 1.29.3. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada. Hetkel teadaolevalt ei ole veel õnnestunud turvaviga kuritarvitada (BC).

Olulisemad turvanõrkused 2024. aasta 5. nädalal

Ivanti teatas taas kahest kriitilisest turvaveast

Turvavead (CVE-2024-21888 ja CVE-2024-21893) mõjutavad Ivanti Connect Secure ja Policy Secure tooteid ning ühte neist on juba rünnete läbiviimisel ära kasutatud.

Esimene turvaviga tähisega CVE-2024-21888 on hinnatud CVSS skooriga 8.8/10 ning selle kaudu on võimalik õigustega manipuleerida ning saada administraatori õigused.

Teine turvaviga tähisega CVE-2024-21893 on serveripoolne päringute võltsimise viga, mis on hinnatud CVSS skooriga 8.2/10 ja ründajad on proovinud seda kuritarvitada.

Haavatavused on paigatud Connect Secure tarkvara versioonides 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1 ning ZTA versioonis 22.6R1.3. Kuna uued turvavead tulid avalikuks, siis hakatakse suure tõenäosusega neid rünnetes kuritarvitama ning seetõttu soovitab ettevõte paigata tarkvara esimesel võimalusel. Lisaks uutele haavatavustele paigati nüüd ka jaanuaris avalikuks tulnud turvanõrkused tähistega CVE-2023-46805 ja CVE-2024-21887.

Shadowserveri monitooringu kohaselt on hetkel internetile avatud enam kui 24 700 Ivanti Connect Secure tarkvaraga serverit ning 460 kompromiteeritud seadet. Erinevate allikate sõnul on ründajad võtnud Ivanti haavatavused sihikule ja neid proovitakse järjepidevalt ära kasutada (HN, BC, SA).

GitLab paikas järjekordse kriitilise turvavea

GitLab parandas taas kriitilise turvavea oma tarkvarades GitLab Community Edition (CE) ja Enterprise Edition (EE). Haavatavus tähisega CVE-2024-0402 on hinnatud kõrge CVSS skooriga 9.9/10 ning see võimaldab ründajal kirjutada faile GitLabi serveris suvalistesse kohtadesse.

Mõned nädalad tagasi tuli avalikuks samuti kriitiline turvaviga GitLabi tarkvaras, mis võimaldas parooli lähtestamise abil konto üle võtta. Sellest kirjutasime ka varasemas blogis.

Lisaks paigati veel neli keskmise mõjuga haavatavust. Turvavead on parandatud GitLabi versioonides 16.8.1, 16.7.4, 16.6.6 ja 16.5.8. Ettevõtte soovitab kõigil kasutajatel rakendada turvapaigad esimesel võimalusel (HN, GitLab).

45 000 Jenkinsi serverit on turvanõrkuse tõttu ohus

Küberturbe teadurite sõnul on umbes 45 000 Jenkinsi serverit ohus kriitilise turvanõrkuse (CVE-2024-23897) tõttu, mis võimaldab ründajal pahaloomulist koodi kaugelt käivitada. Veale on avaldatud ka mitu kontseptsiooni tõendust (proof-of-concept ehk PoC), millest võib eeldada, et rünnete arv kasvab.

Turvaviga on parandatud 24. jaanuaril ning kõik kasutajad peaks tarvara uuendama versioonidele 2.442 ja LTS 2.426.3. Lisaks turvapaikadele on Jenkins avaldanud ka leevendavad meetmed neile, kel ei ole võimalik kohe turvapaikasid rakendada (BC, Jenkins).

AnyDesk teavitas neid tabanud küberründest

2. veebruaril avalikustas AnyDesk, et nad sattusid küberründe ohvriks, mille tagajärjel said häkkerid ligipääsu ettevõtte tootmissüsteemidele. Rünnaku käigus varastati muuhugas ka lähtekood ja koodi signeerimise võtmed.

AnyDesk on kaugligipääsu lahendus, mis võimaldab kasutajatel saada kaugelt juurdepääs arvutile kas võrgu või interneti kaudu. Ettevõttel on enam kui 170 000 klienti üle maailma, nende hulgas näiteks 7-Eleven, Comcast, LG Electronics, Samsung, MIT, NVIDIA, SIEMENS ja ÜRO.

Ettevõte ei ole avaldanud täpsemat infot selle kohta, kuidas ründajad said nende serveritele ligipääsu. Küll aga on nad kinnitanud, et tegemist ei ole lunavararünnakuga.

AnyDeski sõnul ei ole rünne mõjutanud lõppkasutaja seadmeid, kuid kõigil kasutajatel soovitatakse siiski uuendada tarkvara ja kasutada viimast versiooni.

Lisaks on soovitatav AnyDeski parool ära vahetada ning kui sama parool on kasutusel ka mõnes teises keskkonnas, siis tuleks ka seal parooli uuendada. AnyDeski sõnul ei lekkinud ründe käigus kasutajate paroolid, kuid küberturbega tegelev ettevõtte Resecurity avastas AnyDeski kasutajate mandaatide müügi internetis. Seega tuleks kindlasti kõigil kasutajatel parool ära vahetada (BC, HN, Resecurity).

Mozilla paikas oma tarkvarades 15 turvaviga

Mozilla paikas nii Firefox veebilehitsejas kui ka Thunderbird meiliprogrammis kokku 15 turvaviga, mille hulgas oli viis kõrge mõjuga haavatavust. Vead on paigatud Mozilla Firefoxi versioonis 122 ning Thunderbirdi ja Firefox ESRi versioonides 115.7. Soovitame Mozilla tarkvarad uuendada esimesel võimalusel (SW, Mozilla).