Tag Archives: Google

Olulisemad turvanõrkused 2024. aasta 3. nädalal

VMware parandas Aria Automation tarkvaral kriitilise turvanõrkuse

Virtuaalmasinate loomise ja haldamise tarkvara pakkuv ettevõte VMware parandas hiljuti tõsise turbeprobleemi oma tootes nimega Aria Automation (varem tuntud kui vRealize Automation). Turvanõrkuse abil oli võimalik volitamata pääseda erinevatesse tarkvaraga seotud süsteemidesse ja protsessidesse,  juhul kui ründajal on haavatavale VMware’ile juba teatud tasemel juurdepääs (THN).

Turvaviga kannab tähist CVE-2023-34063 ja see on hinnatud kriitilisuse tasemega 9.9/10, mis näitab, et tegemist on väga tõsise haavatavusega.

Mõjutatud tarkvara versioonid:

VMware Aria Automation (versioonid 8.11.x, 8.12.x, 8.13.x ja 8.14.x)

VMware Cloud Foundation (versioonid 4.x ja 5.x)

Ettevõte juhib enda ametlikus teadaandes tarkvara kasutajate tähelepanu sellele, et pärast turvapaiga rakendamist peaksid kliendid uuendama oma süsteemid ainult versioonile 8.16. Kui nad lähevad üle versioonile, mis on mõjutatud versioonide ja versiooni 8.16 vahel, võib turvanõrkus uuesti ilmneda, mis nõuab teist parandust (VMware).

Atlassian parandas Confluence’il tõsiste tagajärgedega haavatavuse

Atlassian on hiljuti parandanud oma toodetes suurel hulgal turvanõrkuseid, sealhulgas ühe väga tõsise nõrkuse Confluence Data Center ja Confluence Server toodetes. Haavatavus on koodi kaugkäivitamise (RCE) viga, mis tähendab, et see võib lubada kellelgi, kellel pole volitatud juurdepääsu, tarkvaraga seotud süsteemile käske anda või seda muul moel mõjutada (Atlassian).

Turvanõrkusetähis on CVE-2023-22527 ja seda on hinnatud kõrgeima kriitilisuse skooriga 10.0/10.0. Haavatavus mõjutab tarkvara versioone 8.0.x kuni 8.5.3, kuid ei mõjuta versiooni 7.19.x LTS (pikaajalise toega versioon) (Atlassian).

Atlassian on selle probleemi lahendanud järgmistes uuemates versioonides: 8.5.4, 8.5.5, 8.6.0, 8.7.1 ja 8.7.2 (ainult Confluence Data Center jaoks). Ettevõte soovitab kasutajatel, kes kasutavad vanemaid a haavatavaid versioone, uuendada oma tarkvara uusimale saadaolevale versioonile (Atlassian).

Google parandas Chrome’i sirvikul nullpäeva turvanõrkuse

Google avalikustas Chrome’i brauseri värskendused, et parandada äsja avastatud ja aktiivselt kuritarvitatud turvaauk. Viga peitub selles, kuidas Chrome käsitleb teatud tüüpi koodi. Ründajad võivad seda loogikaviga manipuleerida nii, et brauseri töö katkeb või õnnestub ründajal veebilehitseja üle kontroll võtta. Viga kannab tähist CVE-2024-0519 ja seda nimetatakse nullpäeva turvanõrkuseks,  kuna ründajad kasutasid seda aktiivselt ära enne, kui Google sellest teadlikuks sai ja paranduse välja andis.

Üksikasju ei ole rünnakute kohta avalikustatud. Eelmisel aastal parandas Google Chrome’i sirvikus kokku kaheksa nullpäeva turvanõrkust (THN).

Selle haavatavuse eest kaitsmiseks soovitatakse kasutajatel värskendada oma Chrome’i brauser uusimale versioonile: 120.0.6099.224/225 Windowsi jaoks, 120.0.6099.234 macOS-i jaoks ja 120.0.6099.224 Linuxi jaoks. Teiste Chromiumil põhinevate brauserite (nt Microsoft Edge, Brave, Opera ja Vivaldi) kasutajatel soovitatakse samuti oma brausereid värskendada niipea, kui parandused on saadaval (THN).

Nutitelefonide valgusandurid võivad võimaldada salajast jälgimist

MIT-i teadlased on avastanud, et nutitelefonide, sealhulgas iPhone’i ja Androidi, seadmete ümbritseva valguse tuvastamiseks mõeldud andureid saab kasutada kasutaja interaktsioonide salvestamiseks ilma nende teadmata. Need andurid, mida tavaliselt kasutatakse ekraani heleduse reguleerimiseks, ei vaja kasutamiseks kasutaja luba. MIT-i teadlasterühm näitas, et andurid suudavad jäädvustada žeste, nagu kerimine, tuvastades kasutaja käe poolt blokeeritud valguse variatsioonid (DR).

MIT-i doktorant Yang Liu rõhutas nende anduritega seotud privaatsusriske, eriti kuna kasutajad ei tea, et varjatud jälgimiseks võidakse kasutada pildistamiseks mitte mõeldud komponente. Suundumus suuremate ja heledamate ekraanide poole ning tehisintellekti kasutavate tehnoloogiate edusammud võivad selliseid riske süvendada. Valdkonna eksperdid tunnistavad selle avastuse olulisust, kuid peavad vahetut ohtu kasutajale minimaalseks. Siiski rõhutatakse vajadust suurendada turvalisust kõigis digitaalselt ühendatud seadmetes (DR).

Konkreetse ohu leevendamiseks soovitavad teadlased tarkvarapoolseid lahendusi, nagu näiteks ümbritseva valguse andurite lubade kontrolli rakendamist (DR).

USA julgeolekuasutused hoiatavad Hiinas toodetud droonide kasutamise eest

FBI ja CISA hoiatasid, et Hiinas toodetud droonide sagenev kasutamine kujutab endast olulist ohtu USA kriitilisele infrastruktuurile. Asutused andsid välja dokumendi, mis soovitab USA organisatsioonidel hankida vajadusel USA-s toodetud turvalise projekteerimise põhimõtetele (secure by design) vastavaid droone. Asutused nõustuvad, et droonide kasutamine on tõhus kulude vähendamisel ja ohutuse parandamisel erinevates valdkondades, sealhulgas energia-, keemia- ja sidesektoris. David Mussington CISAst juhib aga tähelepanu, et Hiinas toodetud droonid paljastavad tundlikku teavet, mis võib ohustada USA riiklikku julgeolekut ja majandusjulgeolekut (SCM).

Mure tuleneb CISA pressiteate kohaselt Hiina seadustest, mis võimaldavad Hiina valitsusel pääseda ligi Hiina ettevõtete, sealhulgas droonitootjate valduses olevatele andmetele. Julgeolekuasutuste juhistest järeldub muu hulgas, et Hiina Rahvavabariigi 2017. aasta riiklik luureseadus kohustab Hiina ettevõtteid tegema koostööd riiklike luureteenistustega, mis hõlmab juurdepääsu võimaldamist ülemaailmselt kogutud andmetele. Bryan Vorndran FBI küberosakonnast hoiatab samuti Hiinas toodetud droonide kasutuselevõtuga USA peamistes sektorites seotud julgeolekuprobleemide eest, võttes arvesse süsteemidele ja andmetele volitamata juurdepääsu ohtu (SCM).

Lisaks sellele, et CISA ja FBI juhised kutsusid organisatsioone Hiinas toodetud seadmeid vältima, jagasid nad avaldatud dokumendis ka mitmeid soovitusi tööstuslike droonidega seotud turvariskide maandamiseks. Näiteks olid soovituste seas privaatsuspoliitika ülevaatamine, et mõista, kus drooniandmeid salvestatakse ja jagatakse, püsivara turvapaikade ja värskenduste rakendamine usaldusväärsest allikast ja kogutud andmete droonile salvestamata jätmine. Antud dokumendiga on võimalik tutvuda CISA kodulehel.

POST SMTP pistikprogrammi turvanõrkused võivad mõjutada WordPressi veebilehti

Rohkem kui 150 000 WordPressi veebilehte on haavatavad POST SMTP Mailer pistikprogrammi turvavigade tõttu, mille kaudu võib ründaja saada täieliku kontrolli ohvri veebilehe üle. Esimene haavatavus võimaldab autentimata ründajal API võtme lähtestada ja pääseda juurde tundlikule logiteabele, mille abil võib haavatava veebilehe täielikult üle võtta. Teise vea abil on ründajatel võimalik lisada haavatavetele veebilehtedele pahatahtlikke skripte. Turvanõrkused on parandatud pistikprogrammi versioonis 2.8.8. Haavatavused tõestavad taas, et lisaks WordPressi uuendamisele on oluline jälgida ka seda, et kõikidele kasutavatele pistikprogrammidele oleksid uuendused rakendatud (BC).

Enam kui 178 000 SonicWalli tulemüüri on turvanõrkuste tõttu ohus

Küberturvalisusega tegelevad teadurid avastasid, et üle 178 000 SonicWalli tulemüüri on internetile avatud haldusliidesega, mistõttu ohustavad neidteenuse tõkestamise ja koodi kaugkävitamise ründed. Neid seadmeid mõjutavad turvavead tähistega CVE-2022-22274 ja CVE-2023-0656. SonicWalli tulemüüride kasutajatel soovitatakse üle kontrollida, et haldusliides poleks võrgust ligipääsetav ja uuendada tarkvara viimasele versioonile (BC).

Olulisemad turvanõrkused 2024. aasta 1. nädalal

Nõrk parool põhjustas Hispaania suurel mobiilioperaatoril võrgukatkestuse

Hispaania suuruselt teist mobiilsideoperaatorit Orange España tabas eelmisel kolmapäeval võrgukatkestus pärast seda, kui tundmatu osapool sai nõrga parooli tõttu ligipääsu ettevõtte RIPE halduskontole, mida kasutatakse globaalse marsruutimistabeli haldamiseks. Selle tabeli abil kontrollitakse, millised võrgud võivad edastada ettevõtte võrguliiklust. Väidetavalt varastati kasutajatunnused nuhkvara abil, mis paiknes ettevõtte arvutis eelmise aasta septembrist alates. Konto ülevõtmise tegi lihtsamaks asjaolu, et sel ei olnud rakendatud multiautentimist (MFA). Intsident suudeti küll lahendada, kuid see tõestab, kuidas ebapiisav küberhügieen võib põhjustada laiaulatuslikke tagajärgi (BP, AT).

Androidi operatsioonisüsteemile avaldati 2024. aasta jaanuari turvauuendused

Jaanuari alguses avaldati Androidi operatsioonisüsteemile turvaparandused, millega paigati mitmesugused tõsiseid haavatavused erinevates operatsioonisüsteemi komponentides. Nende turvanõrkuste abil võib ründaja haavatavas süsteemis enda õiguseid suurendada või potentsiaalselt tundlikele andmetele ligi pääseda. Google on info paranduste kohta edastanud kõikidele enda toodetel Androidi kasutavatele firmadele, et nad turvauuendused väljastaksid. Kui teie seade pakub teile uuendusi, tehke seda esimesel võimalusel (Android).

Terrapini-nimeline turvanõrkus võib ohustada 11 miljonit serverit

Terrapini rünnak, mille avastasid Saksamaa ülikooli teadlased, võib kujutada märkimisväärset ohtu ligi 11 miljonile avalikult kättesaadavale serverile, mis kasutavad SSH-protokolli. SSH-protokoll on levinud meetod seadmetevaheliseks turvaliseks suhtluseks. Rünnak mõjutab nii kliente kui ka servereid. Turvaviga võib kahjustada SSH-ühenduskanali terviklikkust, eriti kui kasutatakse teatud krüptimisrežiime. Rünnaku teostamiseks peab ründajal olema võimalik SSH-protokolli võrguliiklust pealt kuulata. Haavatavus on murettekitav, kuna see mõjutab suurt hulka servereid, millest enamik asub Ameerika Ühendriikides, Hiinas, Saksamaal, Venemaal, Singapuris ja Jaapanis. Turvavea avastanud teadlased on avalikustanud skänneri, millega on võimalik kontrollida, kas SSH klient või server on antud ründe vastu haavatav. Täpsemalt saab rünnaku ja skänneri kohta lugeda viidatud artiklist (BP).

GoAhead tarkvaral töötavaid seadmeid ohustab tõsine turvanõrkus

GoAhead tarkvaras leiti turvaviga (CVE-2017-17562), mille abil võivad häkkerid seda tarkvara kasutavad seadmed üle võtta. GoAhead on väike veebiserver, mida kasutavad paljud ettevõtted, sealhulgas IBM, HP, Oracle, Boeing, D-link jpt. Lisaks kasutatakse seda ka paljudes nutikates koduseadmetes. Avalikele allikatele tuginedes on internetiga ühendatud vähemalt 700 000 GoAhead tarkvaral töötavat seadet üle maailma. Siiski ei pruugi kõik need olla selle turvanõrkuse vastu haavatavad, sest see mõjutab ainult seadmeid, millel on teatud tehnilised seaded lubatud. GoAheadi loonud ettevõte on probleemi lahendanud, muutes viisi, kuidas tarkvara teatud tüüpi andmeid käsitleb  (SW).

Ivanti parandas enda tootel kriitilise turvanõrkuse

Ivanti parandas hiljuti oma Endpoint Manageri (EPM) tootes kriitilise turvanõrkuse, mida tähistatakse kui CVE-2023-39336. Turvanõrkus võib lubada sisevõrgus asuval ründajal sooritada suvalisi SQL-päringuid ja pääseda juurde teabele ilma autentimata. Kui viga õnnestub ära kasutada, võib see lubada EPMi kasutavad seadmed üle võtta. Turvanõrkus mõjutab EPM 2022 Service Update 4 ja varasemaid versioone, sealhulgas EPM 2021 iteratsioone. Ivanti andis haavatavuse kõrvaldamiseks välja EPM 2022 Service Update 5.

Ivanti tooted on olnud varemgi rünnakute sihtmärgiks. Märkimisväärseim intsident toimus eelmise aasta suvel, mil riikliku toega rühmitused kasutasid ära nullpäeva turvanõrkusi, et rünnata Norra valitsusasutusi (SW).

Olulisemad turvanõrkused 2023. aasta 52. nädalal

Ründajad üritavad aktiivselt ära kasutada Apache OFBiz kriitilist turvanõrkust

Shadowserver Foundation on täheldanud katseid kasutada ära avatud lähtekoodiga Apache OFBiz tarkvaras leiduvat kriitilist haavatavust. See haavatavus, mida tähistatakse kui CVE-2023-49070, võimaldab ründajatel autentimisest mööda minna ja võltsida serveripoolset päringut (SSRF), mis võib viia suvalise koodi käivitamiseni ja andmete varguseni. Turvanõrkuse parandamiseks tuleb Apache OFBiz uuendada vähemalt versioonini 18.12.11 (SW).

Nuhkvarad kasutavad ära võimalikku turvanõrkust Google’i OAuthi lahenduses

Mitu pahavara kuritarvitavad väidetavalt Google OAuthi lõpp-punkti nimega MultiLogin, et taastada aegunud autentimisküpsised, mille abil võimaldatakse pahavarade kasutajatele volitamata juurdepääsu Google’i kontodele. Konkreetne turvanõrkus võimaldab pahalastel säilitada juurdepääsu kompromiteeritud kontodele ka pärast seda, kui mõjutatud kasutajad enda konto parooli lähtestavad. Meediaväljaannete info kohaselt ei ole Google konkreetset haavatavust ega selle ärakasutamist kinnitanud. Küll aga on mitmed pahavarade loojad väidetavalt sellest teadlikud ja vastavad lahendused selle ärakasutamiseks ka enda programmidele lisanud (BP).

Lihtne konfiguratsiooniviga seadis ohtu ligi miljoni Jaapani mänguarendajaga seotud inimese andmed

Jaapani mänguarendaja Ateami küberintsident paljastas, kuidas lihtne konfiguratsiooniviga pilveteenuse kasutamisel võib osutuda tõsiseks turberiskiks. Nimelt oli alates 2017. aasta märtsist määratud ettevõtte ühele Google Drive’i keskkonnale konfiguratsioonisäte selliselt, et kõik, kel oli vastav link, said keskkonnale juurdepääsu. Antud juhtum võis potentsiaalselt paljastada peaaegu miljoni inimese tundlikud andmed (BP).

Avalikult kättesaadavad andmed paiknesid kokku 1369 failis ja hõlmasid Ateami klientide, äripartnerite, töötajate, praktikantide ja tööotsijate isikuandmeid. Ohustatud andmete hulgas olid täisnimed, e-posti aadressid, telefoninumbrid, kliendihaldusnumbrid ja seadme identifitseerimisnumbrid (BP).

Kuigi hetkel puuduvad konkreetsed tõendid, et paljastatud teave on varastatud, pöörab see juhtum siiski tähelepanu pilveteenuste turvalise kasutamise olulisusele. Lisaks illustreerib see intsident, kuidas lihtsa konfiguratsioonvea tõttu võivad pahalased pääseda kergesti ligi tundlikele andmetele, mis võib viia potentsiaalse väljapressimiseni või andmete müügini teistele häkkeritele (BP)​.

Mõned soovitused antud juhtumi taustal:

  • Vaadake regulaarselt üle ja värskendage vajadusel pilvekeskondade konfiguratsioonisätteid.
  • Harige töötajaid turvalise andmetöötluse ja jagamise tavade kohta.
  • Rakendage tundlike andmete jaoks rangeid juurdepääsu kontrolle ja krüptimist.

Google Cloudi Kubernetese teenuses parandati haavatavus

Google Cloud parandas enda Kubernetese teenuses keskmise tõsidusega turvavea. Fluent Biti logimiskonteinerist ja Anthos Service Meshist leitud haavatavust saab ära kasutada õiguste suurendamiseks Kubernetese klastris. Lisaks võib antud haavatavus võimaldada andmete vargust ja põhjustada klastril tööhäireid. Haavatavuse ärakasutamise edukus sõltub sellest, kas ründaja on juba mõne meetodi abil, näiteks koodi kaugkäivitamise vea kaudu, FluentBiti konteinerile ligipääsu saanud. Haavatavus parandati turvauuendustega mitmes Google Kubernetes Engine’i (GKE) ja Anthos Service Meshi (ASM) versioonis (THN).

Nimekiri nendest versioonidest, milles on turvanõrkus parandatud:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Microsoft keelas pahavararünnakutes kuritarvitatud MSIX-i protokolli käsitlusrakenduse

Microsoft keelas MSIX ms-appinstalleri protokolli käsitlusrakenduse, mida erinevad grupeeringud kasutasid pahavara levitamiseks. Ründajad kuritarvitasid turvameetmetest mööda hiilimiseks ära Windows AppX Installeri haavatavust CVE-2021-43890. Konkreetset pahavara, mis antud ründevektoreid ära kasutas, jagati pahatahtlikke reklaamide ja andmepüügisõnumite abil. Microsoft soovitab installida App Installeri paigatud versiooni (1.21.34.210.0 või uuem). Kui see ei ole võimalik, soovitatakse administraatoritel ms-appistaller protokoll võimalusel süsteemides keelata (BP, MS).