Tag Archives: iOS

Olulised turvanõrkused 2023. aasta 30. nädalal

Teadlased leidsid kriitilised nõrkused operatiivraadioside standardist TETRA

Hollandi teadlased avastasid TETRA operatiivraadioside standardist viis haavatavust, millest kaks on kriitilised. Turvanõrkustele on antud koodnimetus TETRA:BURST. Avastused on olulised, kuna TETRAt kasutavad mitmete riikide korrakaitseüksused ning samuti kasutatakse seda kriitilise taristu haldamiseks. Haavatavuste tõttu saaksid kolmandad osapooled kuulata pealt operatiivraadiosidet või seda segada. Täpsemad tehnilised detailid avalikustatakse augustis toimuvatel küberturbekonverentsidel (SW,Wired,Tetraburst).

Apple paikas veel ühe nullpäeva turvanõrkuse

Parandatud haavatavus on uus kerneli viga tähisega CVE-2023-38606, mida on Apple’i sõnul kuritarvitatud juba vanemate seadmete (iOS versioon vanem kui 15.7.1) ründamiseks. Küberekspertide sõnul on antud turvanõrkuse abil paigaldatud haavatavatesse seadmetesse nuhkvara. Haavatavus on parandatud macOS Ventura 13.5, iOS ja iPadOS 16.6, tvOS 16.6, watchOS 9.6 ja Safari 16.6 versioonides (BP, Apple).

Kes ja mida peaks tegema?

Soovitame kõigil Apple’i seadmete kasutajatel vastavad tarkvarauuendused rakendada.

Ubuntu kasutajad võivad olla uue turvavea suhtes haavatavad

Hiljuti Ubuntus avastatud turvaauk võimaldab pahaloomulistele kasutajatel saada suurel hulgal seadmetel kõrgendatud õigused. Ubuntu on üks enim kasutatavaid Linuxi distributsioone. Turvanõrkus tähisega CVE-2023-2640 mõjutab täpsemalt OverlayFS moodulit ja tegu on kõrge tasemega haavatavusega (CVSS v3 skoor 7.8/10.0). Turvanõrkusele on olemas ka kontseptsiooni tõendus, mis tõstab selle kuritarvitamise tõenäosust. (BP, Ubuntu, Wiz).

Kes ja mida peaks tegema?

Saadaval on turvauuendus, mille kohta leiab täpsemat informatsiooni tootja kodulehelt (Ubuntu). Soovitame selle vajadusel rakendada esimesel võimalusel.

OpenSSH haavatavus võimaldab koodi kaugkäitust

OpenSSH uus turvaviga võimaldab potentsiaalselt käivitada pahaloomulisi käske haavatavates süsteemides. Turvanõrkus CVE-2023-38408 mõjutab OpenSSH võtmete haldamisega seotud lahendust ssh-agent. Haavatavust saab siiski ära kasutada ainult siis, kui haavatavaid versioone käitavatesse süsteemidesse on installitud teatud teegid ja SSH autentimisagent edastatakse ründaja juhitavale süsteemile.

Kes ja mida peaks tegema?

Konkreetne haavatavus mõjutab kõiki OpenSSH-i versioone, mis on vanemad kui 9.3p2 (SA, Qualys).

Austraalia ja USA hoiatavad uues ülevaates veebirakendustega seotud turvanõrkuste eest

Austraalia küberkaitsekeskus (ACSC), USA kübeturvalisuse ja infrasturktuuri agentuur (CISA) ja USA riiklik julgeolekuagentuur avaldasid ühiselt ülevaate, mis käsitleb veebirakendustega seotud spetsiifilisi haavatavusi (insecure direct object reference ehk IDOR). IDOR tüüpi turvanõrkused võimaldavad pahatahtlikel osapooltel muuta või kustutada andmeid või tundlikele andmetele ligi pääseda, saates veebilehele või veebirakenduse programmeerimisliidesele (API) kindlat tüüpi päringuid (CISA).

Ülevaates tuuakse välja, et selliseid turvaauke on sageli kasutatud andmeleketega seotud küberintsidentide puhul, sest need on levinud ja nende mõjuulatus on lai. Väidetavalt on IDOR tüüpi haavatavused põhjustanud miljonite kasutajate ja tarbijate isikliku, finants- ja terviseteabe ohtu sattumise. Turvavigadele on olemas standardsed vastumeetmed, mille kohta saab täpsemalt lugeda avaldatud ülevaatest siin.

Olulised turvanõrkused 2023. aasta 14. nädalal

Androidile avalikustatud turvauuendused paikavad 16 kriitilist turvaviga

Google avalikustas Androidi operatsioonisüsteemile turvauuendused, mis paikavad kokku 65 haavatavust, millest 16 on hinnatud kriitiliseks. Enamik turvanõrkusi võimaldavad haavatavas süsteemis õigusi suurendada või teabele ligi pääseda. Kõige murettekitavamad nõrkused on CVE-2023-21085 ja CVE-2023-21096. Haavatavused lubavad ründajal kõrgendatud õigusteta potentsiaalselt koodi kaugkäitada. Sealjuures ei ole ründajal vaja selleks kasutajapoolset sekkumist (SW).

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga seadet, kontrollige, kas süsteem pakub teile uuendusi. Kui jah, rakendage need esimesel võimalusel. Uuenduste kättesaadavus võib sõltuda tootjate lõikes.

Apple paikas kaks kriitilist nullpäeva turvanõrkust

Apple avalikustas 7. aprillil iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad kaks nullpäeva turvanõrkust tähistega CVE-2023-28205 ja CVE-2023-28206. Esimest haavatavust on ründajal võimalik ära kasutada pahaloomuliste rakenduste kaudu, teist haavatavust aga siis, kui ohver külastab selleks spetsiaalselt loodud veebilehte. Mõlema nõrkuse abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkuseid aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.4.1, iPadOS 16.4.1 ja macOS Ventura 13.3.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid hetkel ainult ühe nullpäeva turvanõrkuse eest kaitsta (CVE-2023-28205). Selleks on vaja uuendada Safari veebilehitseja versioonile 16.4.1 (Apple).

iOS 16.4.1 või iPadOS 16.4.1 on rakendatavad järgmistele mudelitele:

•             iPhone 8 ja uuemad mudelid;

•             iPad Pro (kõik mudelid);

•             iPad Air 3 ja uuemad mudelid;

•             iPadi viies generatsioon ja uuemad mudelid;

•             iPad mini 5 ja uuemad mudelid.

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Kõikide Apple’i turvahoiatustega saate tutvuda veebileheküljel https://support.apple.com/en-us/HT201222.

Avalikustati kriitilise VM2 teegi turvavea kontseptsiooni tõendus

Hiljuti avalikustatud VM2 teegi kriitilisele turvaveale on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). VM2 on sandbox, mida kasutatakse koodi testimiseks turvalises keskkonnas. Selle abil on võimalik koodi osaliselt käivitada ja samuti takistab VM2 vajadusel käivitatud koodil volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused. Turvanõrkuse abil on võimalik VM2-e keskkonnast välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi (BP).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki VM2 tarkvara versioone, mis on versiooninumbriga 3.9.14 või vanem. Haavatavus on parandatud versioonis 3.9.15. Soovitame kõikidel teenuse- ja/või süsteemihalduritel kontrollida, kas haavatavat VM2 tarkvara kasutatakse. Kui jah, tuleks tarkvara uuendada esimesel võimalusel versioonini 3.9.15.

Autode varastamiseks kasutati uudset lähenemisviisi

Autode küberturvalisuse uurimisega seotud eksperdid avastasid uudse meetodi, kuidas saab autodesse sisse murda ja need potentsiaalselt varastada. Haavatavus on seotud ühe siini standardiga (Controller Area Network ehk CAN). CAN võimaldab sõidukis olevatel mikrokontrolleritel ja seadmetel omavahel juhtarvuti abita andmeid vahetada. Põhimõtteliselt on autos nii-öelda kohalik võrk, kuhu küberründajad saavad sisse tungida, et peatada ja käivitada auto, avada selle uksi ja aknaid, käivitada raadio jpm. 3. aprillil avaldatud blogipostitus kirjeldabki, kuidas ründajatel õnnestus ühe auto elektrooniline juhtseade (ECU) kompromiteerida, kasutades selleks just CANi siini. Siinile pääseti ligi esitulede kaudu. Sellist lähenemisviisi ei olnud eksperdid varem näinud. Täpsemalt saab avastuste kohta lugeda siit.

Internetiga on ühendatud 15 miljonit uuendamata ja haavatavat sihtmärki

Küberekspertide uurimuse kohaselt on internetiga ühendatud kokku rohkem kui 15 miljonit haavatavat arvutit, teenust kui ka muid seadmeid (nii virtuaalseid kui füüsilisi). Näiteks 2014. aastal avalikustatud Heartbleedi nime kandva turvanõrkuse vastu on haavatavad endiselt ligi 190 000 süsteemi. Eksperdid toonitasid taas üldlevinud tõde, et regulaarne uuendamine on äärmiselt oluline, sest haavatavaid süsteeme üritatakse pidevalt leida ning kompromiteerida. Täpsema ülevaate saate viidatud artiklist (DR).


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 12. nädalal

Avaldati ülevaade eelmisel aastal kuritarvitatud nullpäeva turvanõrkustest

Eelmisel nädalal avaldatud ülevaatest selgub, et 2022. aastal oli 55 nullpäeva turvanõrkust, mida ründajad aktiivselt ära kasutasid. 53 turvanõrkust 55-st lubasid ründajal suurendada süsteemis enda õiguseid või teostada koodi kaugkäitust. Enamik olid seotud operatsioonisüsteemide, veebilehitsejate või võrguhaldustoodetega. Nullpäeva turvanõrkusteks loetakse haavatavusi, mis avalikustatakse või mida kuritarvitatakse enne, kui sellele on olemas parandus või vastutav tootja sellest teab. Sellised turvavead on häkkerite jaoks äärmiselt väärtuslikud (BP). Ülevaatega saate tutvuda siin.

Microsoft jagas näpunäiteid Outlooki nullpäeva turvanõrkuse ärakasutamise tuvastamiseks

Eelmisel nädalal jagas Microsoft mahukat ülevaadet hiljuti avalikustatud Outlooki nullpäeva turvanõrkusest. RIA kajastas konkreetset turvanõrkust ka enda blogis. Microsofti kokkuvõte annab hea ülevaate, kuidas tuvastada, kas Outlooki nullpäeva turvanõrkust CVE-2023-23397 on jõutud ära kasutada, milliseid tehnikaid ründajad tarvitavad ning mida teha, et end haavatavuse eest kaitsta (Microsoft).

Kes ja mida peaks tegema?

Kui te kasutate Outlooki ja ei ole viimaseid turvauuendusi veel rakendanud, soovitame tungivalt seda esimesel võimalusel teha. Kindlasti soovitame lugeda ka Microsofti kokkuvõtet turvanõrkusest.

Cisco paikas IOS ja IOS XE tarkvaral kokku kümme haavatavust

Kolme turvanõrkuse abil on võimalik haavatavat tarkvara kasutava seadme tööd takistada ehk teostada teenusetõkestusrünnak. Need turvanõrkused on märgitud tähistega CVE-2023-20080, CVE-2023-20072 ja CVE-2023-20027. Esimene neist mõjutab IOS-i ja IOS XE tarkvara IPv6 DHCP versiooni 6 (DHCPv6) serveri funktsioone. Ründajal on võimalik saata mõjutatud seadmele spetsiaalselt loodud DHCPv6 sõnumeid ja põhjustada seadme ootamatu taaskäivitus. Teine haavatavus mõjutab spetsiifiliste pakettide käsitlemise koodi ja seda saab ära kasutada, saates mõjutatud süsteemile killustatud pakette. Kolmas nõrkus on seotud IPv4 Virtual Fragmentation Reassembly (VFR) funktsiooniga. Nimelt ei monteerita suuri pakette korralikult uuesti kokku, kui VFR on lubatud. Haavatavust saab ründaja siis ära kasutada, kui ta saadab killustatud paketid mõjutatud seadmele, mis kasutab VFR-i. Lisaks paigati veel mitu nõrkust (SW). Täpsema ülevaate hiljuti parandatud nõrkustest saate Cisco veebilehelt.

Kes ja mida peaks tegema?

Kui te kasutate haavatavat tarkvara, uuendage see esimesel võimalusel, et vältida võimalikku küberintsidenti.

WooCommerce’i pistikprogrammi kasutavaid veebilehti ohustab kriitiline turvanõrkus

WordPress installeerib sadadele tuhandetele veebilehtedele uuenduse, mis paikab kriitilise haavatavuse WooCommerce Payments pistikprogrammis. Turvaviga võib lubada autentimata ründajatel saada administraatori tasemel ligipääs haavatavatesse e-poodidesse. Turvanõrkus mõjutab WooCommerce Paymentsi 4.8.0 ja uuemaid versioone. Hetkel ei ole leitud ühtegi tõendit, et seda turvanõrkust oleks suudetud ära kasutada. Kõikidel veebilehtedel, mis on majutatud WordPress.com keskkonnas, Pressables või WPVIP-is, deaktiveeriti mõjutatud teenused ja parandati turvanõrkus (BP).

Kes ja mida peaks tegema?

Kui te majutate WordPressi sisuhaldusplatvormi kasutavat veebilehte enda serveris, peate manuaalselt WooCommerce’i pistikprogrammi uuendama. Selleks käituge järgnevalt:

  1. Klõpsake oma WP Admin haldusliideses pistikprogrammide menüü peale (Plugins) ja leidke sealt WooCommerce Payments plugin.
  2. Pistikprogrammi versiooninumber peaks olema kuvatud plugina nime kõrval kirjelduse veerus (Description). Kui see number ühtib numbriga 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 või 5.6.2, ei pea te midagi tegema, sest teil on parandusega versioon juba rakendatud.
  3. Kui te kasutate aga versiooni, mis ei ole eelnevas punktis välja toodud, uuendage see esimesel võimalusel. Sellisel juhul peaks WordPressi platvorm ise pakkuma võimalust vastav pistikprogramm ära uuendada.

Kui te olete enda veebilehe ära uuendanud, peaksite analüüsima, kas turvanõrkust on siiski suudetud ära kasutada. Selleks soovitatakse veenduda, et lisatud ei oleks kahtlaseid administraatori õigustega kasutajaid ega veidraid postitusi haavatavale veebilehele. Kui te leiate tõendeid turvanõrkuse ärakasutamisest, tuleks teil esimesel võimalusel ebavajalikud administraatoriõigustega kasutajad eemaldada ning uuendada legitiimsetel kasutajatel paroolid, samuti tuleks ära vahetada Payment Gateway ja WooCommerce’i API võtmed (WooCommerce).


RIA analüüsi- ja ennetusosakond