Hiljuti avalikustatud FortiNeti turvanõrkust üritatakse aktiivselt ära kasutada
Turvanõrkus tähisega CVE-2022-39952, mis mõjutab haavatavaid FortiNACi servereid, on kogumas ründajate seas populaarsust, kuna selle turvavea jaoks on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). Haavatavuse abil on ründajal võimalik spetsiifilise HTTP-päringu abil käivitada pahaloomulist koodi mõjutatud süsteemis. Ründaja ei pea sealjuures olema autentitud (SA).
Kes ja mida peaks tegema?
Turvaviga mõjutab järgnevaid FortiNACi versioone:
FortiNACi versioon 9.4.0; FortiNACi versioon 9.2.0 kuni 9.2.5; FortiNACi versioon 9.1.0 kuni 9.1.7; Kõik FortiNACi 8.8 versioonid; Kõik FortiNACi 8.7 versioonid; Kõik FortiNACi 8.6 versioonid; Kõik FortiNACi 8.5 versioonid; Kõik FortiNACi 8.3 versioonid;
Turvaviga on parandatud versioonides 7.2.0, 9.1.8, 9.2.6 ja 9.4.1.
Zyxel parandas 4G ruuteritel turvavea
Teatud Zyxeli 4G ruutereid mõjutab haavatavus, mis võimaldab ründajal Telneti kaudu ligi pääseda haavatavate ruuterite süsteemidesse. Turvanõrkus mõjutab 4G ruuterite mudeleid LTE3202-M437 ja LTE3316-M604 (Zyxel).
Kes ja mida peaks tegema?
Tootjapoolse info nõrkuse kohta leiate siit. Haavatavate seadmete kasutajad peaksid seadme uuendama esimesel võimalusel.
VMware paikas haldustarkvaral kõrge mõjuga turvanõrkuse
VMware paikas uuendusega kriitilise turvanõrkuse CVE-2023-20858, mis mõjutab Carbon Black App Control nimelist haldustarkvara. Haavatavus lubab ründajal, kellel on ligipääs tarkvara haldusliidesele, juurde pääseda operatsioonisüsteemile, millel tarkvara töötab (BP).
Kes ja mida peaks tegema?
Haavatavus mõjutab Windowsi operatsioonisüsteemile mõeldud VMware Carbon Black App Control tarkvara versioone 8.7.7 ja vanemaid, 8.8.5 ja vanemaid ning 8.9.3 ja vanemaid. Turvaviga on parandatud versioonides 8.9.4, 8.8.6 ja 8.7.8 (BP).
Kõikidel vastava tarkvara kasutajatel tuleks see uuendada esimesel võimalusel (VMware).
Cisco parandas kaks kõrge mõjuga haavatavust
Esimene haavatavus tähisega CVE-2023-20011 mõjutab APICi (Application Policy Infrastructure Controller) ja pilvevõrgukontrolleri haldusliidest. Ründaja (kes ei pea end sealjuures autentima) saab haavatavuse abil teostada CSRFi (cross-site request forgery) ründeid. See tähendab, et kui tarkvara kasutaja klikib talle saadetud pahaloomulisel lingil, on ründajal võimalik ligi pääseda mõjutatud süsteemile kompromiteeritud kasutaja õigustes (Cisco).
Teine kõrge mõjuga haavatavus CVE-2023-20089 mõjutab Cisco Nexus 9000 ACI-režiimis olevaid võrgujaotureid ja selle abil on ründajal võimalik takistada haavatavate seadmete tavapärast tööd (Cisco).
Tootjale teadaolevalt ei ole neid turvanõrkuseid seni siiski kuritarvitatud.
Kes ja mida peaks tegema?
Soovitame tutvuda Cisco teabelehtedega, millele on viidatud ülal. Need kirjeldavad turvanõrkuste olemust ja aitavad kasutajatel vastavad tarkvarauuendused paigaldada.
Apple avalikustas 13. veebruaril iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad ühe nullpäeva turvanõrkuse tähisega CVE-2023-23529. Haavatavus on seotud WebKit-nimelise komponendiga ja seda on ründajal võimalik ära kasutada, kui ta meelitab ohvri külastama spetsiaalselt selleks loodud veebilehte. Selle abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkust CVE-2023-23529 aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).
Lisaks paigati uuendustega ka turvanõrkus tähisega CVE-2023-23514. Kui kasutaja laeb alla pahaloomulise rakenduse, mis seda haavatavust oskab ära kasutada, on rakenduse haldajal teoreetiliselt võimalik käivitada haavatavas seadmes pahaloomulist koodi kerneli õigustes. See tähendab, et pahaloomulise koodi abil on ründajal teoreetiliselt võimalik seadmele anda mistahes käsklusi ja ligi pääseda mistahes andmetele (Apple).
Kes ja mida peaks tegema?
Turvanõrkused on paigatud iOS 16.3.1, iPadOS 16.3.1 ja macOS Ventura13.2.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid nullpäeva turvanõrkuse CVE-2023-23529 eest kaitsta, kui nad uuendavad Safari veebilehitseja versioonile 16.3.1 (Apple).
iOS 16.3.1 või iPadOS 16.3.1 on rakendatavad järgmistele mudelitele:
iPhone 8 ja uuemad;
iPad Pro (kõik mudelid);
iPad Air 3 ja uuemad;
iPadi viies generatsioon ja uuemad;
iPad mini 5 ja uuemad;
Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, siis palun tee seda esimesel võimalusel!
NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kuttume kõiki üles suhtuma uuendustesse tõsiselt ning neid alati seadmetes rakendama.
Microsoft parandas igakuise uuenduste teisipäeva raames 77 turvaviga
Parandatud turvavigade seas oli muuhulgas kolm nullpäeva turvanõrkust ja üheksa kriitilist haavatavust. Kriitiliseks märgiti nõrkused seetõttu, et võimaldavad koodi kaugkäitust mõjutatud seadmetes. Nullpäeva turvanõrkuseks loeb Microsoft vigu, mis avaldati või mida aktiivselt ära kasutatakse enne, kui selle vastu oli olemas ametlik parandus (BP).
Nullpäeva turvanõrkuseid oli kokku kolm – CVE-2023-21823, CVE-2023-21715, CVE-2023-23376.
CVE-2023-21823 mõjutab üht Windowsi operatsioonisüsteemi komponenti ning ründajatel on võimalik selle abil pahaloomulisi käsklusi käivitada süsteemiõigustes. Uuendus edastatakse kasutajatele Microsoft Store’i mitte Windows Update’i kaudu. Seetõttu peavad need inimesed, kellel ei ole automaatne uuendamine Microsoft Store’is lubatud, uuenduse käsitsi rakendama.
CVE-2023-21715 peitub Microsoft Publisheris ja selle abil on ründajal võimalik Office’i makrodega seotud kaitsemeetmetest mööda pääseda, mis blokeerivad ebusaldusväärseid või pahatahtlikke faile. Teisisõnu ei küsi süsteem kasutajalt üle, kas ta soovib makrod käivitada, vaid need käivitatakse automaatselt pärast seda, kui kasutaja avab pahaloomulise Publisheri dokumendi.
CVE-2023-23376 võimaldab ründajal omandada süsteemiõigused.
Kui kasutate mõjutatud tarkvarasid, rakendage uuenduste olemasolul need esimesel võimalusel.
Fortinet paikas enda toodetel 40 turvaviga
40st turveast kaks on hinnatud kriitiliseks, 15 kõrge tõsidusastmega, 22 keskmise tõsidusastmega ja üks madala tõsidusastmega. Kõige kriitilisemalt hinnatakse turvanõrkust CVE-2022-39952 (9.8/10.0), mis mõjutab FortiNACi veebiservereid ja mille abil on ründajal võimalik end autentimata mõjutatud süsteemis pahaloomulist koodi käivitada (HN).
Selle turvanõrkuse vastu on haavatavad on järgnevad FortiNACi versioonid (Fortinet):
FortiNACi versioin 9.4.0;
FortiNACi versioon 9.2.0 kuni 9.2.5;
FortiNACi versioon 9.1.0 kuni 9.1.7;
Kõik FortiNACi 8.8 versioonid;
Kõik FortiNACi 8.7 versioonid;
Kõik FortiNACi 8.6 versioonid;
Kõik FortiNACi 8.5 versioonid;
Kõik FortiNACi 8.3 versioonid;
Turvaviga on parandatud versioonides 7.2.0, 9.1.8, 9.2.6 ja 9.4.1.
Teine parandatud kriitiline turvanõrkus CVE-2021-42756 (9.3/10.0) on seotud FortiWebiga ja selle abil on ründajal võimalik vastavate HTTP päringute abil mõjutatud süsteemis pahatahtlikku koodi käivitada (Fortinet).
Turvanõrkus mõjutab järgnevaid FortiWebi versioone:
Kõik FortiWebi versioonid 5.x;
FortiWebi versioonid 6.0.7 ja varasemad;
FortiWebi versioonid 6.1.2 ja varasemad;
FortiWebi versioonid 6.2.6 ja varasemad;
FortiWeb versioonid 6.3.16 ja varasemad;
Kõik FortiWebi versioonid 6.4;
Turvaviga on parandatud versioonides 7.0.0, 6.3.17, 6.2.7, 6.1.3 ja 6.0.8.
Kes ja mida peaks tegema?
Haavatavate tarkvarade kasutamise korral uuendage need kõige uuematele versioonidele.
Cisco parandas ClamAV-l koodi kaugkäitust võimaldava turvavea
Kriitilise turvanõrkuse CVE-2023-20032 (9.8/10.0) abil on ründajal võimalik teostada tarkvarale antud õigustes koodi kaugkäitust või peatada haavatava süsteemi töö täielikult. Turvaviga mõjutab ClamAV versioone 1.0.0 ja varasemaid, 0.105.1 ja varasemaid ning 0.103.7 ja varasemaid. Ettevõtte hinnangul ei ole neile siiski teada, et nõrkust oleks seni jõutud ära kasutada (SA).
Kes ja mida peaks tegema?
Turvanõrkus mõjutab järgnevaid tooteid:
Toode
Turvanõrkus on parandatud versioonides
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints Linux
1.20.1
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints MacOS
1.21.1
Secure Endpoint, varem tuntud kui Advanced Malware Protection (AMP) for Endpoints Windows
7.5.9, 8.1.5
Secure Endpoint Private Cloud
3.6.0 või uuem
Secure Web Appliance, formerly Web Security Appliance
14.0.4-005, 15.0.0-254
Kui kasutate haavatavate versioonidega tooteid, uuendage need esimesel võimalusel.
Esimene neist (CVE-2022-39947) mõjutab FortiADC veebiliidest ja on hinnatud skooriga 8.6/10.0. Tegemist on haavatavusega, mis võimaldab autentitud ründajal, kellel on ligipääs veebiliidesele, käivitada mõjutatud süsteemis pahatahtlikku koodi. Selleks tuleb tal saata spetsiaalne HTTP-päring. Turvanõrkus mõjutab FortiADC versioone 5.4.x, 6.0.x, 6.1.x, 6.2.x ja 7.0.x (Fortinet).
Teine haavatavus (CVE-2022-35845) mõjutab FortiTesteri versioone 2.x.x, 3.x.x, 4.x.x, 7.x ja 7.1.0 ning on hinnatud skooriga 7.6/10.0. Turvanõrkus võimaldab autentitud ründajal käivitada pahatahtlikke käsklusi (Fortinet).
Lisaks paikas tootja veel kolm madalama kriitilisuse tasemega turvanõrkust (SW).
Kes ja mida peaks tegema?
CVE-2022-39947 on parandatud FortiADC versioonides 7.0.2 või uuemas versioonis, 6.2.4 või uuemas versioonis ning 5.4.6 või uuemas versioonid.
CVE-2022-35845 on parandatud FortiTesteri versioonides 7.2.0 või uuemas versioonis, 7.1.1 või uuemas versioonis, 4.2.1 või uuemas versioonis ning 3.9.2 või uuemas versioonid. Kui te mõjutatud versiooniga tooteid kasutate, tutvuge eelnevalt viidatud tootjapoolsete juhistega ja uuendage tarkvara esimesel võimalusel.
Synology paikas kriitilise turvanõrkuse
Synology paikas ruuteritel, mida kasutatakse VPNi toimimise jaoks mõeldud serveritena, turvavea, mis (CVE-2022-43931) on hinnatud kriitilisuse skooriga10.0/10.0. Viga mõjutab VPN Plus Server tarkvara ning seda saab ründaja mõjutatud süsteemides kasutada pahatahtlikke käskude käivitamiseks (BP, Synology).
Kes ja mida peaks tegema?
Kui te kasutate mõjutatud tarkvara, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada vajadusel turvauuendused.
Üle 60 000 Exchange’i serveri on ohus ProxyNotShelli turvanõrkuse tõttu
Turvaviga 2022-41082 avaldati eelmise aasta sügisel ning pälvis toona laialdast tähelepanu. Tegu oli ühega kahest turvanõrkusest, mida kutsuti koondnimetusega ProxyNotShell. RIA kirjutas turvanõrkustest ka enda blogis. Haavatavus 2022-41082 mõjutab Microsoft Exchange servereid 2013, 2016 ja 2019, millele ei ole novembris avaldatud turvauuendusi rakendatud. Kui ründajatel õnnestub nõrkust kuritarvitada, siis on neil võimalik suurendada mõjutatud süsteemis enda õiguseid ning käivitada seal pahaloomulist koodi. Olukord on täna ekspertide hinnangul siiski parem võrreldes detsembriga, kuna siis oli 2022-41082 turvanõrkuse vastu haavatavaid servereid ligi 84 000 (BP).
Kes ja mida peaks tegema?
Kui te ei ole veel mõjutatud Exchange’i servereid uuendanud, tehke seda esimesel võimalusel. Juhised selleks leiate tootja veebilehelt siin.
Google paikas Androidi operatsioonisüsteemil mitu turvanõrkust
Google parandas Androidi operatsioonisüsteemil 60 turvaviga. Kõige kriitilisemad neist võimaldavad koodi kaugkäivitamist ilma täiendavate õigusteta (SW, Android).
Kes ja mida peaks tegema?
Kui teie Androidi operatsioonisüsteemi kasutav nutiseade pakub tarkvara uuendamise võimalust, soovitame uuendused rakendada esimesel võimalusel. Regulaarne uuendamine vähendab ohtu, et tarkvaras avastatud nõrkuseid oleks ründajatel võimalik ära kasutada.
Qualcommi kiibistikes avastati mitu turvaviga
Qualcommi kiibistikes avastati viis turvaviga, mis mõjutavad muuhulgas ka Lenovo ThinkPad X13s sülearvuteid. Kolm turvanõrkust on hinnatud kriitilisuse skooriga 8.4/10.0 ning kaks turvanõrkust skooriga 6.8/10.0. Lenovo avalikustas turvanõrkustest tulenevalt uuendused BIOSile. Turvanõrkuseid on võimalik teoreetiliselt kasutada informatsiooni kogumiseks ning mõjutatud seadme töö häirimiseks. Turvavigadele on olemas parandused (HN).
