Atlassian paikas oma toodetes mitmeid turvavigu
Atlassian parandas kümneid haavatavusi, mis mõjutavad ettevõtte erinevaid tooteid, nagu Bamboo, Bitbucket, Confluence ja Jira.
Kõige tõsisema mõjuga neist on kriitiline turvaviga tähisega CVE-2024-1597, mis võimaldab ründajal käivitada pahaloomulisi SQL-käske Bamboo Data Centeri and Serveri tarkvaras.
Haavatavus on hinnatud maksimaalse CVSS skooriga 10.0/10. See mõjutab Bamboo Data Centeri and Serveri versioone 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 ja 9.5.0. Viga on paigatud sama tarkvara versioonides 9.6.0 (LTS), 9.5.2, 9.4.4 ja 9.2.12 (LTS).
Lisaks paigati veel mitmeid turvavigu teistes tarkvarades. Näiteks parandati 20 kõrge mõjuga haavatavust JIRA tarkvaras, mida kasutavad paljud asutused ja ettevõtted ka Eestis. Täpse nimekirja turvavigadest ja paigatud versioonidest leiab siit. Ettevõte soovitab kõigil kasutajatel Atlassiani tarkvarad uuendada viimasele versioonile (SA, SW).
WordPressi pistikprogrammi kriitiline haavatavus võimaldab veebilehe ülevõtmist
Kriitiline turvanõrkus (CVE-2024-2172) mõjutab miniOrange’i pistikprogramme Malware Scanner ja Web Application Firewall. Haavatavus on hinnatud kriitilise CVSS skooriga 9.8/10 ning WordPressi veebilehtede administraatoritel soovitatakse need plugin’ad ära kustutada. Arendaja on mõlema pistikprogammi allalaadimise peatanud ning neid ei hakata tulevikus enam kasutajatele pakkuma.
Haavatavuste kaudu on võimalik autentimata ründajal hankida administraatoriõigused ja seejärel veebileht üle võtta. Administraatorina on võimalik lisada veebilehele erinevaid pahaloomulisi faile, muuta seal olevaid postitusi ja suunata kasutaja mõnele teisele veebilehele. Neid pistikprogramme kasutab umbes 10 000 WordPressi veebilehte (HN, SA).
Enam kui 133 000 Fortineti seadet on ohus kuu aja eest paigatud turvanõrkuse tõttu
Turvanõrkus tähisega CVE-2024-21762 mõjutab Fortineti FortiOSi ja FortiProxy tarkvarasid ning vea kuritarvitamiseks on avaldatud mitmeid kontseptsiooni tõendusi. Tegemist on haavatavusega, mis võimaldab autentimata ründajal koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.6/10. Turvaviga on parandatud juba kuu aega tagasi, kuid Shadowserveri monitooringu andmeil on endiselt ligi 133 000 paikamata seadet.
Varasemalt on Fortineti seadmete haavatavused olnud mitmete häkkerirühmituste sihtmärgiks, samuti on need jõudnud kõige sagedamini ärakasutatud haavatavuste loenditesse.
Lisaks tuli eelmisel nädalal ka info teisest Fortineti turvaveast, mida on õnnestunud rünnete läbiviimisel kuritarvitada. Turvaviga tähisega CVE-2023-48788 mõjutab Fortineti FortiClient Enterprise Management Serveri (EMS) tarkvara ning kuna selle vea kohta avaldati samuti kontseptsiooni tõendus, siis hakati seda ka üsna pea ära kasutama (TR, SA).
TeamCity turvanõrkused on ründajate sihtmärgiks
Eelmisel nädalal kirjutasime blogis samal teemal, kuid nüüdseks on selgunud, et TeamCity haavatavuste kaudu viiakse läbi veelgi enam erinevaid ründeid. Hiljuti avalikuks tulnud turvavead TeamCity tarkvaras on sattunud küberrühmituste sihtmärgiks – nende kaudu viiakse läbi lunavararündeid (BianLian ja Jasmin), seatakse üles krüptokaevureid (XMRig) ja hangitakse kaugligipääs ohvri seadmetele (Spark RAT).
Rünnete läbiviimisel kasutatakse haavatavust tähisega CVE-2024-27198, mis on parandatud TeamCity versioonis 2023.11.4. Kuna veale on internetis avaldatud kontseptsiooni tõendus (proof of concept) ja rünnete katsed aina sagenevad, siis on eriti oluline tarkvara uuendada (HN, SA, TM).
Fujitsu avastas oma IT-süsteemidest pahavara
Jaapani tehnikatootja Fujitsu avastas, et mitmed nende IT-süsteemid on pahavaraga nakatunud ja ühtlasi on varastatud klientide andmeid. Fujitsu on maailmas suuruselt kuues IT-teenuste pakkuja, kus töötab 124 000 inimest ja firma aastakäive on 23,9 miljardit dollarit. Nende toodete hulka kuuluvad nii erinev arvutitehnika kui ka teenused, näiteks: serverid ja salvestussüsteemid, tarkvara, telekommunikatsiooniseadmed, pilvelahendus ja IT-nõustamisteenuseid.
Eelmisel nädalal avalikuks tulnud küberintsident mõjutab nii ettevõtte sisemisi süsteeme kui ka klientide andmeid. Pahavara avastati mitmes arvutis ja samuti on tõendeid selle kohta, et nende klientide tundlikke andmeid on alla laetud. Kohe, kui intsidendist teada saadi, eemaldati nakatunud arvutid võrgust ja hakati uurima, kuidas pahavara süsteemi pääses.
See ei ole paraku esimene kord, kui Fujitsu süsteemidesse häkiti. 2021. aasta mais kasutati Fujitsu ProjectWEB tarkavara ja tungiti selle kaudu mitme Jaapani valitsusasutuse infosüsteemidesse. Ründe käigus saadi ligipääs 76 000 meiliaadressile ja tundlikule infole. Varastatud andmed hõlmasid tundlikku teavet valitsussüsteemide ja Narita rahvusvahelise lennujaama lennujuhtimisandmete kohta (BC).
Pahavarakampaania mõjutab 39 000 WordPressi veebilehte
Pahavarakampaania nimega Sign1 on viimase kuue kuu jooksul nakatanud üle 39 000 WordPressi veebilehe, põhjustades külastajatele soovimatuid ümbersuunamisi ja hüpikaknaid. Kampaania käigus lisati pahavara nii HTMLi elementidesse kui ka pistikprogrammidesse. Ligipääs WordPressi veebilehele saadi kas jõuründe või pistikprogrammide haavatavuste ärakasutamise abil.
Oma veebilehe kaitsmiseks tuleks kasutada tugevat administraatoriparooli ja regulaarselt uuendada pistikprogrammid kõige uuemale versioonile. Samuti võiks eemaldada kõik üleliigsed lisamoodulid (add-ons), mida ei kasutata ja mille kaudu võivad ründed toimuda (BC).