Laialdaselt kasutusel olevas SSH-kliendis PuTTY leiti kriitiline turvaviga

PuTTY ja Telneti tarkvarade pakkujad hoiatavad kasutajaid kriitilise haavatavuse eest, mis mõjutab versioone 0.68 kuni 0.80 ning mida saab ära kasutada NIST P-521 privaatvõtmete täielikuks taastamiseks. PuTTY on avatud lähtekoodiga tarkvara, mida kasutavad süsteemiadministraatorid serverite ja muude võrguseadmete kaughaldamiseks. Turvaviga tähisega CVE-2024-31497 võimaldab eduka ründe korral saada ligipääsu ohvri serveritele.

Lisaks PuTTY-le mõjutab turvaviga ka teisi tarkvarasid:

• FileZilla (versioonid 3.24.1 – 3.66.5)
• WinSCP (versioonid 5.9.5 – 6.3.2)
• TortoiseGit (versioonid 2.4.0.2 – 2.15.0)
• TortoiseSVN (versioonid 1.10.0 – 1.14.6)

Viga on parandatud tarkvarades PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ja TortoiseGit 2.15.0.1. TortoiseSVN kasutajatele on hetkel kättesaadaval ajutine lahendus. Turvaviga CVE-2024-31497 mõjutab tõenäoliselt rohkem tarkvarasid, mis kasutavad ohus olevat PuTTY versiooni. Seetõttu soovitatakse kasutajatel oma tarkvarad üle kontrollida ja vajadusel ennetavad meetmed kasutusele võtta (HN, BC).

Juniper Networks paikas mitmeid turvavigasid

Juniper Networks paikas sadakond turvaviga, mis mõjutavad operatsioonisüsteeme Junos OS ja Junos OS Evolved ning teisi ettevõtte tooteid. Juniper Networksi klientidel on soovitatav oma seadmete tarkvara esimesel võimalusel uuendada, kuna kõige suurema mõjuga haavatavuste jaoks ei ole leevendavaid meetmeid saadaval. Rohkem infot parandatud vigade kohta leiab Juniper Networksi kodulehelt (SW, Juniper).

Ivanti hoiatab kriitiliste haavatavuste eest Avalanche’i tarkvaras

Ivanti on välja andnud turvauuendused, et parandada 27 haavatavust Avalanche’i mobiilseadmete kaughalduse (MDM) lahenduses. Avalanche’i kasutatakse, et keskelt hallata nutiseadmeid ja nende tarkvarauuendusi. Paigatud vigadest kaks (CVE-2024-24996 ja CVE-2024-29204) on hinnatud kriitilise mõjuga nõrkusteks, mis võimaldavad käske kaugkäivitada.

Hetkel teadaolevalt ei ole haavatavusi õnnestunud kuritarvitada ja kõigil kasutajatel soovitatakse uuendada tarkvara versioonile Avalanche 6.4.3. Ivanti tarkvaras olevaid haavatavusi on varem tihti kasutatud ründevahenditena. Näiteks õnnestus möödunud suvel saada häkkeritel ligipääs Norra valitsusasutuste IT-süsteemidele just Ivanti haavatavuste kaudu. Mobiilseadmete haldussüsteemid on kurjategijate jaoks atraktiivsed sihtmärgid, kuna nende kaudu on võimalik saada korraga ligipääs tuhandetele seadmetele. Tihti kasutavad just riigiasutused taolisi mobiilseadmete haldamise vahendeid (BC).

Chrome’i ja Firefoxi veebilehitsejates paigati suure mõjuga turvavigu

Google avaldas Chrome’i versiooni 124 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 22 haavatavust. Mozilla avaldas Firefoxi versiooni 125, kus on paigatud 15 turvaviga, nende hulgas ka üheksa suure mõjuga haavatavust. Lisaks avaldati ka Firefox ESR 115.10, kus on samuti parandatud üheksa turvaviga. Soovitame nii Google Chrome’i kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Oracle paikas enam kui 400 turvaviga

Parandatud turvanõrkuste hulgas oli üle 30 kriitilise haavatavuse. Kokku paigati üle 200 turvavea, mida on võimalik kuritarvitada kaugteel ja ilma autentimata. Turvavead mõjutavad mitmeid erinevaid Oracle tooteid, näiteks Oracle Communications, Fusion Middleware, Financial Services Applications, E-Business Suite ja MySQL. Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ja Oracle soovitab kõigil kasutajatel tarkvara uuendada. Ettevõtte sõnul on teada juhtumeid, kus on õnnestunud paikamata tarkvara kaudu nende kliente rünnata (SW, Oracle).

Kiibitootja Nexperia kinnitas küberrünnaku toimumist

Hollandi kiibitootja Nexperia kinnitas, et häkkeritel õnnestus nende võrgule ligipääs saada. Ettevõte avaldas pressiteate, milles andis teada, et nad olid sunnitud oma IT-süsteemid välja lülitama ning algatama täpsemate asjaolude uurimise. 

10. aprillil teatas lunavararühmitus veebilehel Dunghill Leak, et neil on õnnestunud varastada 1 TB mahus Nexperia konfidentsiaalseid andmeid ja lisaks lekitati ka näidiseid varastatud andmetest. Ründajad avaldasid näiteks pilte elektroonikakomponentidest, töötajate passidest ja erinevatest lepingutest. Ettevõtet ähvardati suuremahulise andmelekkega, kui nad ei maksa soovitud lunaraha (BC, Nexperia).

300 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kriitiline turvanõrkus CVE-2024-28890 (CVSS skoor 9.8/10) mõjutab pistikprogrammi Forminator ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi faile üles laadida. Lisaks nimetatud haavatavusele paigati veel kaks turvaviga.

Pistikprogrammi kasutab umbes 500 000 WordPressi veebilehte ja hetkel on ligikaudu kolmandik neist jõudnud tarkvara uuendada. Viga on parandatud tarkvara versioonis 1.29.3. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada. Hetkel teadaolevalt ei ole veel õnnestunud turvaviga kuritarvitada (BC).

WordPressi populaarsest LayerSlideri pistikprogrammist leiti kriitiline turvaviga

WordPressi pistikprogrammist LayerSlider leitud kriitiline haavatavus tähisega CVE-2024-2879 võimaldab ründajal teostada pahatahtlikke SQL-päringuid ning hankida seeläbi tundlikku teavet veebilehe andmebaasidest. Haavatavus on hinnatud kriitilise CVSS-skooriga 9.8/10.

LayerSlideri pistikprogramm võimaldab luua liugureid, pildigaleriisid ja animatsioone WordPressi saitidel ning see on kasutusel enam kui miljonil veebilehel. Haavatavus mõjutab plugin’i versioone 7.9.11 kuni 7.10.0 ning eduka ründe korral on võimalik saada kontroll kogu veebilehe üle. Kasutajatel soovitatakse uuendada pistikprogramm turvapaigatud versioonile 7.10.1. Kuna WordPressi haavatavused on tihti ründajate sihtmärkideks, siis tuleks veebilehtede haldajatel regulaarselt uuendada tarkvara, eemaldada need pistikprogrammid, mida ei ole vaja ja kasutada tugevaid paroole (SW, BC).

Ivanti parandas VPN-lüüsi haavatavuse

Ivanti avaldas turvauuenduse, mis paikab neli turvaviga Connect Secure’i ja Policy Secure’i tarkvarades. Kõige suurema mõjuga neist on kriitiline haavatavus tähisega CVE-2024-21894,  mis võimaldab autentimata ründajatel koodi kaugkäitada. Ivanti väitel on koodi kaugkäitamise riskid piiratud teatud tingimustega, ent ettevõte ei esitanud haavatavate konfiguratsioonide üksikasju.

Shodani monitooringu kohaselt on üle 29 000 internetile avatud seadme, mis kasutavad Ivanti Connect Secure’i VPNi. Umbes 16 500 seadet on internetile avatud ja turvanõrkuse tõttu ohus. Kuna Ivanti haavatavusi on riiklikud küberrühmitused sel aastal juba ära kasutanud, siis on eriti oluline tarkvara uuendada niipea kui võimalik. Hetkel teadaolevalt ei ole nimetatud turvanõrkusi õnnestunud ära kasutada (BC, HN, BC)

Google parandas Chrome’i nullpäeva turvanõrkuse

Nullpäeva haavatavust tähisega CVE-2024-3159 kasutati ära eelmisel kuul Pwn2Own häkkimisvõistluse ajal. Turvanõrkus mõjutab Chrome V8 JavaScripti mootorit ning võimaldab kasutada loodud HTML-lehti, et pääseda ligi andmetele väljaspool mälupuhvrit. Nädal tagasi parandas Google veel kaks Chrome’i nullpäeva turvanõrkust (CVE-2024-2887 ja CVE-2024-2886), mida kasutati edukalt ära Pwn2Own võistlusel. Sel aastal on Chrome’i veebilehitsejas paigatud juba neli nullpäeva turvanõrkust (BC).

Kriitilist Magento turvanõrkust kasutatakse ära rünnete läbiviimisel

Magento tarkvaras olev kriitiline turvaviga tähisega CVE-2024-20720 on saanud ründajate sihtmärgiks. Turvanõrkus on hinnatud kriitilise CVSS skooriga 9.1/10 ja võimaldab veebilehtedel käivitada pahatahtlikku koodi. Haavatavus on ohtlik, kuna selle ärakasutamiseks ei pea kasutaja midagi täiendavalt tegema. Adobe paikas turvavea nii Adobe Commerce’i kui ka Magento tarkvarades. Kõigil Magento tarkvara kasutajatel on

soovitatav uuendada tarkvara versioonidele 2.4.6-p4, 2.4.5-p6 või 2.4.4-p7. Magento on vabavaraline platvorm, mida kasutab 170 000 e-poodi üle maailma (SA, SW).

Enam kui 92 000 D-Linki NAS-seadet on turvanõrkuse tõttu ohus

Küberturbe teadur avastas mitmetes D-Linki NAS-seadmetes turvanõrkuse, mille abil saab ohvri seadmes suvalisi käske käivitada. Eduka ründe korral on võimalik hankida ligipääs tundlikule teabele, muuta süsteemi seadeid ja teenuseid tõkestada. Turvanõrkus tähisega CVE-2024-3273 mõjutab järgmisi D-Linki seadmeid:

• DNS-320L (versioonid 1.11; 1.03.0904.2013 ja 1.01.0702.2013)
• DNS-325 (1.01)
• DNS-327L (1.09 ja 1.00.0409.2013)
• DNS-340L (1.08)

Netsecfishi monitooringu kohaselt on enam kui 92 000 haavatavat D-Linki NAS-seadet, mis on internetile avatud ja turvavigade tõttu ohus. Nimetatud seadmetele enam uuendusi ei pakuta, kuna need on jõudnud tööea lõppu. D-Link soovitab seadmed välja vahetada uuemate vastu, millele on olemas tarkvara värskendused (BC).

Enam kui 28 500 Microsoft Exchange’i serverit on turvanõrkuse tõttu ohus

Turvanõrkust tähisega CVE-2024-21410 on juba ka aktiivselt rünnetes ära kasutatud. Haavatavus võimaldab autentimata ründajatel saada ohvri süsteemis kõrgemad õigused.  Shadowserveri monitooringu alusel on ohustatud servereid kokku pea 100 000, kuid nimetatud Exchange’i turvanõrkusele on neist haavatavad 28 500. Hetkel ei ole veel turvaveale avaldatud kontseptsiooni tõendust, mistõttu võib eeldada, et rünnete arv võib edaspidi kasvada.

Kõigil Microsoft Exchange’i kasutajatel tuleks uuendada tarkvara esimesel võimalusel, veebruarikuu uuendustega paigati ka nimetatud haavatavus. Turvaviga on paigatud Exchange Server 2019 uuendusega 14 (CU14) (BC).

WordPressi veebilehti ohustab koodi kaugkäivitamist võimaldav turvanõrkus

Ründajad on võtnud sihikule turvanõrkuse WordPressi “Brick Builderi” nimelises teemas, mille eduka kuritarvitamise korral on võimalik haavataval veebilehel pahaloomulist PHP-koodi käivitada. Teemat kasutab umbes 25 000 WordPressi veebilehte. Viga on paigatud 13. veebruaril avaldatud tarkvara versioonis 1.9.6.1.

Patchstacki info kohaselt on haavatavust juba ära kasutatud. Nad on avaldanud postituse, kus kirjeldavad turvaviga tähisega CVE-2024-25600 täpsemalt.

Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (BC, HN, PS).

Chrome’i ja Firefoxi veebilehitsejates paigati kõrge mõjuga turvavead

Nii Google kui ka Mozilla andsid sel nädalal välja Chrome’i ja Firefoxi tarkvaravärskendused, et paigata mõlema veebilehitseja haavatavused. Mõlemas brauseris parandati kõrge mõjuga mälu ohutuse vead.

Google avaldas Chrome’i versiooni 122.0.6261.57 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 12 haavatavust. Mozilla avaldas Firefoxi versiooni 123, kus on samuti paigatud tosin turvaviga, nende hulgas ka neli kõrge mõjuga haavatavust.

Lisaks avaldati ka uued turvapaikadega versioonid veebilehitsejale Mozilla Firefox ESR 115.8 ja meiliprogrammile Thunderbird.

Kumbki ettevõte ei ole maininud turvavigade ärakasutamist. Soovitame nii Google Chrome kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Apple’i turvaviga võimaldab andmete vargust

Haavatavus tähisega CVE-2024-23204 mõjutab Apple’i populaarset rakendust Shortcuts ja selle kaudu võivad ründajad saada juurdepääsu ohvri seadmetes olevatele tundlikele andmetele, ilma et kasutaja selleks ise loa annaks. Näiteks on võimalik kurjategijal saada ligipääs fotodele, kontaktidele ja failidele. Bitdefenderi analüüsi kohaselt võimaldab haavatavus luua pahatahtliku Shortcutsi faili, mis suudab mööda minna Apple’i turvaraamistikust. Apple’i Transparency, Consent, and Control (TCC) turberaamistik peaks tagama, et rakendused küsiksid kasutajalt selgesõnaliselt luba enne teatud andmetele või funktsioonidele juurdepääsu andmist.

Viga mõjutab macOSi ja iOSi tooteid, mis kasutavad tarkvara versioone macOS Sonoma 14.3, iOS 17.3 ja iPadOS 17.3. Apple on vea paiganud ja soovitab kõigil uuendada tarkvara (DR, SW, BD).

Lunavararühmitustele meeldib kuritarvitada levinud kaughaldus- ja seiretarkvarasid

Erinevad kaughaldustarkvarad, nagu näiteks AnyDesk, TeamViewer, Atera ja Splashtop, on paljude IT-administraatorite töövahendiks ja kasutusel laialdaselt üle maailma. Kuna seadmed ja töötajad võivad olla eri asukohtades, siis on seadmete kaughaldamine saanud tänapäeval on möödapääsmatuks.

Kahjuks on erinevad lunavararühmitused leidnud selles soodsa variandi rünnete läbiviimiseks. Peamiselt kasutatakse järgnevaid strateegiad:

• Saadakse ligipääs olemasolevale kaughaldustarkvarale. Kuna kaughaldustööriistad nõuavad süsteemile juurdepääsuks mandaate, siis on üheks enamlevinud ründevektoriks nõrgad või vaikimisi määratud paroolid ning paikamata tarkvara.
• Teiseks variandiks on saada esmalt ligipääs ohvri süsteemile ja seejärel paigaldada sinna endale sobilik kaughaldustarkvara, mille kaudu saab edaspidi ründeid läbi viia.
• Kolmandaks variandiks on sotsiaalne manipulatsioon, mille käigus saadetakse ettevõtte töötajale link pahatahtliku tarkvaraga ning suunatakse kasutaja seda paigaldama.

Malwarebytes’i analüüsi kohaselt on pea kõik suuremad lunavararühmitused kasutanud oma rünnete läbiviimisel just neid meetodeid ja kaughaldustarkvarasid.

Taoliste rünnete vältimiseks tuleks üle vaadata, kas kasutusel olevas kaughaldustarkvaras on kõik mittevajalikud funktsioonid keelatud. Lisaks tuleks kaughaldustarkvara tegevusi logida ja logisid regulaarselt monitoorida (MB).

Ivanti teatas uuest turvanõrkusest

Ivanti teatas uuest kõrge kriitilisuse tasemega turvanõrkusest (CVE-2024-22024).  Turvanõrkus võib lubada autentimata juurdepääsu teatud ressurssidele. Haavatavus mõjutab ainult teatud versioone Ivanti tarkvaradest – Ivanti Connect Secure’i versioone 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1, Ivanti Policy Secure versiooni 22.5R1.1 ja ZTA versiooni 22.6R1.3. Ettevõte pakub mõjutatud tarkvaradele turvaparandusi ja soovitab need esimesel võimalusel rakendada.

Ivanti toodetega seotud turvanõrkustest on viimastel nädalatel räägitud palju, näiteks eelmise nädala uudiskirjas kajastasime, kuidas turvavigu tähistega CVE-2024-21888 ja CVE-2024-21893 üritatakse juba rünnete läbiviimiseks ära kasutada. Seetõttu on kõikidel vastavate tarkvarade kasutajatel ääretult oluline jälgida, kas nad on mainitud turvanõrkuste vastu haavatavad. Kui jah, tuleks esimesel võimalusel rakendada avalikustatud turvaparandused (SW, RIA, HN, BC, SA).

Fortinet hoiatab kriitliste turvanõrkuste eest FortiOSi ja FortiSIEMi tarkvarades

Mitmes Fortineti tarkvaras tulid avalikuks kriitilised turvavead. Näiteks leiti FortiOSi tarkvarast kaks kriitilist koodi kaugkäivitamise viga tähistega CVE-2024-21762 ja CVE-2024-23113, mida on ettevõtte sõnul juba rünnetes kuritarvitatud. Turvanõrkus võimaldab autentimata ründajatel käivitada haavatavates süsteemides suvalist koodi. Järgnevatest tabelitest näete, milliseid süsteeme mõlemad turvanõrkused mõjutavad, ja versioone, kus haavatavus on parandatud. Esimene tabel on seotud turvanõrkusega CVE-2024-21762 ja teine tabel turvanõrkusega CVE-2024-23113.

Lisaks avastati Fortineti FortiSIEMi tarkvaras samuti kaks kriitilist turvaviga, mille kaudu on võimalik pahaloomulist koodi käivitada. Haavatavused on tähistega CVE-2024-23108 ja CVE-2024-23109 ning on hinnatud suurima võimaliku CVSS skooriga 10/10.

Turvanõrkused on parandatud järgnevates FortiSIEMi versioonides:

FortiSIEMi versioon 7.1.2 või hilisem

FortiSIEMi versioon 7.2.0 või hilisem

FortiSIEMi versioon 7.0.3 või hilisem

FortiSIEMi versioon 6.7.9 või hilisem

FortiSIEMi versioon 6.6.5 või hilisem

FortiSIEMi versioon 6.5.3 või hilisem

FortiSIEMi versioon 6.4.4 või hilisem

Soovitame kõikidel, kes mõjutatud tarkvarasid kasutavad, turvauuendused esimesel võimalusel rakendada, sest haavatavad Fortineti süsteemid on tihti olnud ründajate sihtmärkideks (BC, BC, Fortinet, Fortinet).

Androidile avalikustatud tarkvarauuendus parandab kriitilise turvavea

Google on kõrvaldanud Androidi operatsioonisüsteemil 2024. aasta veebruari turvaparandustega 46 turvaauku, sealhulgas kriitilise koodi kaugkäitusega seotud vea (CVE-2024-0031), mis mõjutab Androidi versioone 11–14. See konkreetne süsteemi komponendis leitud viga võib anda ründajatele võimaluse koodi kaugkäivitada ilma kõrgendatud õiguseid omamata. Turvaparandused kõrvaldavad ka muid õiguste tõstmise ja võimalike andmeleketega seotud turvavigu. Uuenduste olemasolul soovitame need esimesel võimalusel rakendada (SW).

Avastatud turvanõrkuste hulk kasvas neljandat aastat järjest

Qualyse avaldatud ülevaatest selgub, et avastatud turvanõrkuste koguhulk kasvas 2023. aastal neljandat aastat järjest, ulatudes ligi 26 500ni. See number on 1500 võrra suurem kui 2022. aastal. Lisaks juhiti raportis tähelepanu sellele, et:

• Vähem kui üks protsent haavatavustest olid suurima võimaliku riskiskooriga, kuid neid kuritarvitati siiski aktiivselt.
• 97 kõrge riskiskooriga turvaauku, mida tõenäoliselt ära kasutatakse, ei kuulunud CISA ärakasutatud haavatavuste (KEV) andmekataloogi.
• 25 protsenti nendest turvaaukudest üritati ära kasutada samal päeval, kui haavatavus ise avalikustati.
• 1/3 kõrge riskiskooriga haavatavustest mõjutasid võrguseadmeid ja veebirakendusi.

Täpsemalt saab ülevaatega tutvuda siin.

Canoni printeritel parandati seitse kriitilist turvanõrkust

Canon on värskendanud printerite tarkvara, et parandada seitse kriitilist turvaauku erinevates kontorite jaoks mõeldud printerites. Turvanõrkused võivad võimaldada pahaloomulist koodi käivitada või printerite tööd häirida, kui need on otse internetiga ühendatud. Turvanõrkused mõjutavad printerite püsivara versiooni 03.07 ja varasemaid versioone. Ettevõte ei ole teadlik, et haavatavusi oleks suudetud ära kasutada, kuid palub printerite kasutajatel siiski seadmed esimesel võimalusel uuendada (Canon, SW).

Microsoft Azure’i HDInsight teenusel leiti kolm uut turvaviga

Teadlased leidsid Microsoft Azure’i HDInsighti teenuses kolm uut turvaviga, mis mõjutavad jõudlust ja võivad lubada volitamata kontrolli mõjutatud süsteemide üle. Üks haavatavus võib põhjustada teenuste töös tõrkeid ja kahe abil on võimalik suurendada mõjutatud süsteemis kasutajaõigusi või saada ligipääs tundlikele andmetele. Turvanõrkustele on olemas parandused, kuid HDInsight teenuse eripära tõttu on paranduste rakendamiseks vaja luua uusima versiooniga uus klaster (DR).

Cisco parandas võrguseadmetel kriitilised turvanõrkused

Cisco on parandanud Cisco Expresswayd kasutavatel võrguseadmetel kolm haavatavust, mis lubavad ründajatel petta legitiimseid kasutajaid tegema muudatusi, mida nad ei kavatsenud teha, nagu volitamata kasutajate lisamine või seadete muutmine seda mõistmata. Antud haavatavused on eriti salakavalad, kuna need tuginevad legitiimsete kasutajate usalduse ja lubade väärkasutamisel. Cisco soovitab mõjutatud seadmete kasutajatel värskendada need uusimale versioonile, et kaitsta end võimalike küberrünnakute eest (BP).

VMware parandas Aria Automation tarkvaral kriitilise turvanõrkuse

Virtuaalmasinate loomise ja haldamise tarkvara pakkuv ettevõte VMware parandas hiljuti tõsise turbeprobleemi oma tootes nimega Aria Automation (varem tuntud kui vRealize Automation). Turvanõrkuse abil oli võimalik volitamata pääseda erinevatesse tarkvaraga seotud süsteemidesse ja protsessidesse,  juhul kui ründajal on haavatavale VMware’ile juba teatud tasemel juurdepääs (THN).

Turvaviga kannab tähist CVE-2023-34063 ja see on hinnatud kriitilisuse tasemega 9.9/10, mis näitab, et tegemist on väga tõsise haavatavusega.

Mõjutatud tarkvara versioonid:

VMware Aria Automation (versioonid 8.11.x, 8.12.x, 8.13.x ja 8.14.x)

VMware Cloud Foundation (versioonid 4.x ja 5.x)

Ettevõte juhib enda ametlikus teadaandes tarkvara kasutajate tähelepanu sellele, et pärast turvapaiga rakendamist peaksid kliendid uuendama oma süsteemid ainult versioonile 8.16. Kui nad lähevad üle versioonile, mis on mõjutatud versioonide ja versiooni 8.16 vahel, võib turvanõrkus uuesti ilmneda, mis nõuab teist parandust (VMware).

Atlassian parandas Confluence’il tõsiste tagajärgedega haavatavuse

Atlassian on hiljuti parandanud oma toodetes suurel hulgal turvanõrkuseid, sealhulgas ühe väga tõsise nõrkuse Confluence Data Center ja Confluence Server toodetes. Haavatavus on koodi kaugkäivitamise (RCE) viga, mis tähendab, et see võib lubada kellelgi, kellel pole volitatud juurdepääsu, tarkvaraga seotud süsteemile käske anda või seda muul moel mõjutada (Atlassian).

Turvanõrkusetähis on CVE-2023-22527 ja seda on hinnatud kõrgeima kriitilisuse skooriga 10.0/10.0. Haavatavus mõjutab tarkvara versioone 8.0.x kuni 8.5.3, kuid ei mõjuta versiooni 7.19.x LTS (pikaajalise toega versioon) (Atlassian).

Atlassian on selle probleemi lahendanud järgmistes uuemates versioonides: 8.5.4, 8.5.5, 8.6.0, 8.7.1 ja 8.7.2 (ainult Confluence Data Center jaoks). Ettevõte soovitab kasutajatel, kes kasutavad vanemaid a haavatavaid versioone, uuendada oma tarkvara uusimale saadaolevale versioonile (Atlassian).

Google parandas Chrome’i sirvikul nullpäeva turvanõrkuse

Google avalikustas Chrome’i brauseri värskendused, et parandada äsja avastatud ja aktiivselt kuritarvitatud turvaauk. Viga peitub selles, kuidas Chrome käsitleb teatud tüüpi koodi. Ründajad võivad seda loogikaviga manipuleerida nii, et brauseri töö katkeb või õnnestub ründajal veebilehitseja üle kontroll võtta. Viga kannab tähist CVE-2024-0519 ja seda nimetatakse nullpäeva turvanõrkuseks,  kuna ründajad kasutasid seda aktiivselt ära enne, kui Google sellest teadlikuks sai ja paranduse välja andis.

Üksikasju ei ole rünnakute kohta avalikustatud. Eelmisel aastal parandas Google Chrome’i sirvikus kokku kaheksa nullpäeva turvanõrkust (THN).

Selle haavatavuse eest kaitsmiseks soovitatakse kasutajatel värskendada oma Chrome’i brauser uusimale versioonile: 120.0.6099.224/225 Windowsi jaoks, 120.0.6099.234 macOS-i jaoks ja 120.0.6099.224 Linuxi jaoks. Teiste Chromiumil põhinevate brauserite (nt Microsoft Edge, Brave, Opera ja Vivaldi) kasutajatel soovitatakse samuti oma brausereid värskendada niipea, kui parandused on saadaval (THN).

Nutitelefonide valgusandurid võivad võimaldada salajast jälgimist

MIT-i teadlased on avastanud, et nutitelefonide, sealhulgas iPhone’i ja Androidi, seadmete ümbritseva valguse tuvastamiseks mõeldud andureid saab kasutada kasutaja interaktsioonide salvestamiseks ilma nende teadmata. Need andurid, mida tavaliselt kasutatakse ekraani heleduse reguleerimiseks, ei vaja kasutamiseks kasutaja luba. MIT-i teadlasterühm näitas, et andurid suudavad jäädvustada žeste, nagu kerimine, tuvastades kasutaja käe poolt blokeeritud valguse variatsioonid (DR).

MIT-i doktorant Yang Liu rõhutas nende anduritega seotud privaatsusriske, eriti kuna kasutajad ei tea, et varjatud jälgimiseks võidakse kasutada pildistamiseks mitte mõeldud komponente. Suundumus suuremate ja heledamate ekraanide poole ning tehisintellekti kasutavate tehnoloogiate edusammud võivad selliseid riske süvendada. Valdkonna eksperdid tunnistavad selle avastuse olulisust, kuid peavad vahetut ohtu kasutajale minimaalseks. Siiski rõhutatakse vajadust suurendada turvalisust kõigis digitaalselt ühendatud seadmetes (DR).

Konkreetse ohu leevendamiseks soovitavad teadlased tarkvarapoolseid lahendusi, nagu näiteks ümbritseva valguse andurite lubade kontrolli rakendamist (DR).

USA julgeolekuasutused hoiatavad Hiinas toodetud droonide kasutamise eest

FBI ja CISA hoiatasid, et Hiinas toodetud droonide sagenev kasutamine kujutab endast olulist ohtu USA kriitilisele infrastruktuurile. Asutused andsid välja dokumendi, mis soovitab USA organisatsioonidel hankida vajadusel USA-s toodetud turvalise projekteerimise põhimõtetele (secure by design) vastavaid droone. Asutused nõustuvad, et droonide kasutamine on tõhus kulude vähendamisel ja ohutuse parandamisel erinevates valdkondades, sealhulgas energia-, keemia- ja sidesektoris. David Mussington CISAst juhib aga tähelepanu, et Hiinas toodetud droonid paljastavad tundlikku teavet, mis võib ohustada USA riiklikku julgeolekut ja majandusjulgeolekut (SCM).

Mure tuleneb CISA pressiteate kohaselt Hiina seadustest, mis võimaldavad Hiina valitsusel pääseda ligi Hiina ettevõtete, sealhulgas droonitootjate valduses olevatele andmetele. Julgeolekuasutuste juhistest järeldub muu hulgas, et Hiina Rahvavabariigi 2017. aasta riiklik luureseadus kohustab Hiina ettevõtteid tegema koostööd riiklike luureteenistustega, mis hõlmab juurdepääsu võimaldamist ülemaailmselt kogutud andmetele. Bryan Vorndran FBI küberosakonnast hoiatab samuti Hiinas toodetud droonide kasutuselevõtuga USA peamistes sektorites seotud julgeolekuprobleemide eest, võttes arvesse süsteemidele ja andmetele volitamata juurdepääsu ohtu (SCM).

Lisaks sellele, et CISA ja FBI juhised kutsusid organisatsioone Hiinas toodetud seadmeid vältima, jagasid nad avaldatud dokumendis ka mitmeid soovitusi tööstuslike droonidega seotud turvariskide maandamiseks. Näiteks olid soovituste seas privaatsuspoliitika ülevaatamine, et mõista, kus drooniandmeid salvestatakse ja jagatakse, püsivara turvapaikade ja värskenduste rakendamine usaldusväärsest allikast ja kogutud andmete droonile salvestamata jätmine. Antud dokumendiga on võimalik tutvuda CISA kodulehel.

POST SMTP pistikprogrammi turvanõrkused võivad mõjutada WordPressi veebilehti

Rohkem kui 150 000 WordPressi veebilehte on haavatavad POST SMTP Mailer pistikprogrammi turvavigade tõttu, mille kaudu võib ründaja saada täieliku kontrolli ohvri veebilehe üle. Esimene haavatavus võimaldab autentimata ründajal API võtme lähtestada ja pääseda juurde tundlikule logiteabele, mille abil võib haavatava veebilehe täielikult üle võtta. Teise vea abil on ründajatel võimalik lisada haavatavetele veebilehtedele pahatahtlikke skripte. Turvanõrkused on parandatud pistikprogrammi versioonis 2.8.8. Haavatavused tõestavad taas, et lisaks WordPressi uuendamisele on oluline jälgida ka seda, et kõikidele kasutavatele pistikprogrammidele oleksid uuendused rakendatud (BC).

Enam kui 178 000 SonicWalli tulemüüri on turvanõrkuste tõttu ohus

Küberturvalisusega tegelevad teadurid avastasid, et üle 178 000 SonicWalli tulemüüri on internetile avatud haldusliidesega, mistõttu ohustavad neidteenuse tõkestamise ja koodi kaugkävitamise ründed. Neid seadmeid mõjutavad turvavead tähistega CVE-2022-22274 ja CVE-2023-0656. SonicWalli tulemüüride kasutajatel soovitatakse üle kontrollida, et haldusliides poleks võrgust ligipääsetav ja uuendada tarkvara viimasele versioonile (BC).