Tag Archives: Ivanti

Olulisemad turvanõrkused 2024. aasta 38. nädalal

Apple avaldas iOSi ja iPadOSi versiooni 18

Uues iOSi versioonis on paigatud vähemalt 33 turvaviga, mille kaudu on võimalik rünnata nii iPhone’i kui ka iPadi seadmeid. Varasemas versioonis olevad turvaaugud võimaldavad ründajal saada ligipääsu tundlikele andmetele või hankida täieliku kontrolli seadme üle.

Lisaks avaldati ka turvauuendustega operatsioonisüsteem macOS Sequoia 15.

Kuigi hetkel ei ole avalikku infot, et parandatud turvanõrkusi oleks reaalselt ära kasutatud, soovitab Apple iOSi ja iPadOSi uuendada esimesel võimalusel versioonile 18 (SW, Apple).

Uuenduse tegemisel soovitame arvestada, et esimestel päevadel peale uuenduste paigaldamist võib seadme aku vastupidavus olla tavapärasest väiksem, kuna peale suuremat versiooniuuendust teeb seade taustategevusi, mis kulutavad energiat (ZD).

Ivanti hoiatab kriitilise turvavea eest Cloud Service Appliance’i tarkvaras

Eelmise nädala blogipostituses kirjutasime, et Ivanti paikas erinevates toodetes hulga turvanõrkusi. 19. septembril andis aga ettevõte teada, et Cloud Services Appliance’i (CSA) versioonis 4.6 (kasutusea lõpus olev tooteversioon) on avastatud uus kataloogihüppe (path traversal) turvanõrkus CVE-2024-8963 (CVSS skoor 9.4/10), mida koos varem leitud turvanõrkusega CVE-2024-8190 (CVSS skoor 7.2/10) rünnakutes aktiivselt ära kasutatakse. Need turvanõrkused koos võimaldavad autentimata ründajal mööduda autentimisest ja käivitada paikamata seadmetes endale sobilikke käske.

Soovitame uuendada Ivanti CSA tarkvara uusimale versioonile ja vältida kasutusea lõpus tarkvara kasutamist (BC).

Atlassian paikas oma sisemajutuses kasutatavates toodetes mitmeid turvavigu

Kolmapäeval avaldas Atlassian mitmed turvauuendused sisemajutuses kasutatavatele Data Center and Serveri versioonidele Bamboo, Bitbucketi, Confluence’i ja Crowdi tarkvaradest. Neli haavatavust, mis tuvastati kõikides nimetatud tarkvarades, võimaldasid ründajal tekitada teenusele teenusetõkestusründe (DoS) seisundi.

Atlassiani tooted on varasemalt olnud rünnakute sihtmärgiks, mistõttu soovitame sisemajutuses Atlassiani tooteid kasutavatel asutustel uuendada tarkvara võimalikult kiiresti viimasele versioonile (SW, Atlassian, Atlassian Server EOL).

VMware parandas kriitilised haavatavused oma tarkvaras

Teisipäeval avaldas VMware vCenter Serveri tarkvara turvauuendused. Parandati kriitiline puhvri ületäitumise turvanõrkus CVE-2024-38812 (CVSS skoor on 9.8/10) ja õiguste vallutuse nõrkus CVE-2024-38813 (CVSS skoor 7.5/10).

Mõjutatud on VMware vCenter Serveri versioonid 7.0 ja 8.0 ning VMware Cloud Foundationi versioonid 4.x ja 5.x. Vead on parandatud vCenter Serveri versioonides 8.0 U3b ja 7.0 U3s, soovitame tarkvara uuendada (SW).

D-Link parandas kriitilised haavatavused kolme populaarse ruuterimudeli püsivaras

D-link parandas kolmes populaarses ruuterimudelis kriitilised turvanõrkused, mis võimaldasid ründajal käivitada endale sobivat koodi või saada ruuterile ligipääs, kasutades püsikodeeritud pääsumandaate (hardcoded credentials).

Parandused on loodud järgmistele mudelitele:

  • COVR-X1870 (non-US) püsivara (firmware) versioon v1.02 ja varasemad;
  • DIR-X4860 püsivara versioon v1.04B04_Hot-Fix ja varasemad;
  • DIR-X5460 püsivara versioon v1.11B01_Hot-Fix või varasem.

Kuna D-Link-i ruuterid on sageli pahavara botnet’ide rünnakute all, soovitame ruuteri püsivara uuendada (BC).

Apache’i HugeGraph-Serveri turvanõrkus on aktiivsete rünnakute all

CISA hoiatab, et Apache’i HugeGraph-Serveri turvanõrkust CVE-2024-27348 (CVSS skoor 9.8), mis võimaldab koodi kaugkäitust, kasutatakse aktiivsete rünnakuteks ära. Antud turvanõrkus on parandatud HugeGraphi versiooniga 1.3.0 aprillis 2024. Soovitame uuendada tarkvara viimasele olemasolevale versioonile (BC).

SolarWinds paikas kriitilised turvanõrkused ARMi tarkvaras

Eelmisel nädalal tegi SolarWinds kaks turvauuendust Access Rights Manageri (ARM) tarkvarale. Kõige kriitilisem neist oli koodi kaugkäitust võimaldav viga tähisega CVE-2024-28991 (CVSS skoor 9.0/10). Mõlemad nõrkused on parandatud ARMi versioonis 2024.3.1.

Teadaolevalt pole õnnestunud neid nõrkuseid ära kasutada, kasutajatel soovitatakse tarkavara uuendada kõige värskemale versioonile (HN).

Olulisemad turvanõrkused 2024. aasta 37. nädalal

Kriitilist SonicWalli tulemüüride viga kasutatakse rünnete läbiviimisel

Turvaviga tähisega CVE-2024-40766 (CVSS skoor 9.3/10) mõjutab SonicWalli Gen 5, Gen 6 ja Gen 7 tulemüüre. Haavatavuse kaudu on võimalik saada ligipääs võrgule ja lunavararühmitused on hakanud seda aktiivselt kuritarvitama. Turvanõrkus on parandatud versioonides 5.9.2.14-13o, 6.5.2.8-2n, 6.5.4.15.116n või 7.0.1-5035.

Ettevõttel on üle 500 000 ärikliendi 215 riigis, nende hulgas on näiteks valitsusasutused ja mõned maailma suurimad ettevõtted (BC, SA).

GitLab paikas mitmeid turvavigasid

GitLab avaldas eelmisel nädalal turvauuenduse, millega parandati 17 haavatavust. Nende hulgas oli ka kriitiline turvaviga tähisega CVE-2024-6678 (CVSS skoor 9.9/10), mis võimaldab ründajal käivitada automatiseeritud protsessi (pipeline) suvalise kasutaja õigustes. Vead on parandatud GitLab Community Edition (CE) ja Enterprise Edition (EE) versioonides 17.3.2, 17.2.5 ja 17.1.7. Hetkel teadaolevalt ei ole neid turvavigasid ära kasutatud (HN).

Adobe paikas kriitilisi vigu oma tarkvarades

Adobe paikas 28 haavatavust, mis mõjutavad tarkvarasid Acrobat ja PDF Reader, Adobe ColdFusion, Adobe Photoshop ja Adobe Media Encoder. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ja osade haavatavuste vastu on olemas eksploitid.

Ohustatud on nii Windowsi kui ka Maci kasutajad (SW).

Microsoft paikas oma toodetes 79 haavatavust

Microsoft parandas kokku 79 haavatavust, mille hulgas oli ka neli nullpäeva turvanõrkust. Paigatud vigadest seitse on hinnatud kriitilise mõjuga veaks ja ettevõtte sõnul on nullpäeva turvanõrkusi juba rünnetes ära kasutatud.

Paigatud turvanõrkused jagunevad:

  • 30 õiguste ülesvallutuse turvanõrkust (Elevation of Privilege Vulnerabilities)
  • 4 turbevahenditest möödapääsu turvanõrkust (Security Feature Bypass Vulnerabilities)
  • 23 koodi kaugkäituse turvanõrkust (Remote Code Execution Vulnerabilities)
  • 11 info avalikustamise turvanõrkust (Information Disclosure Vulnerabilities)
  • 8 teenusetõkestuse turvanõrkust (Denial of Service Vulnerabilities)
  • 3 teesklusrünnakuid võimaldavat turvanõrkust (Spoofing Vulnerabilities)

Täpsema nimekirja parandustest leiab lisatud lingilt (BC, HNS).

Ivanti paikas turvanõrkusi erinevates toodetes

Ivanti paikas kriitilise haavatavuse tähisega CVE-2024-29847 (CVSS skoor 10/10), mis võimaldab autentimata ründajal tarkvaras Endpoint Manager (EPM) koodi käivitada. Lisaks nimetatud veale paigati veel mitmeid SQLi käivitamise vigasid EPMis. Ettevõte paikas ka seitse haavatavust tarkvarades Workspace Control (IWC) ja Cloud Service Appliance (CSA).

Cloud Service Appliance (CSA) versioonile 4.6 (eluea lõpus olev tooteversioon) toimuvad aktiivsed rünnakud, kasutades turvanõrkust CVE-2024-8190 (CVSS skoor 7.2/10), mis võimaldab autentimata ründajal käivitada koodi administraatoriõigustes.

Kõigil Ivanti toodete kasutajatel tuleks esimesel võimalusel tarkvara uuendada (BC, HN, CISA).

Palo Alto Networks paikas hulga turvanõrkusi oma toodetes

Palo Alto Networks andis kolmapäeval teada, et nad on paiganud hulga turvanõrkusi järgmistes toodetes: PAN-OS, Cortex XDR, ActiveMQ Content Pack, and Prisma Access Browser. Paigatud turvanõrkustest kõige tõsisem on PAN-OS’is leitud käsusüsti (command injection) turvanõrkus CVE-2024-8686 (CVSS skoor 8.6/10), mis võimaldab autentimata ründajal käivitada käsklusi juurkasutaja õigustes.

Seoses Google’i eelmise nädala Chromiumi turvauuendustega uuendati ka Chromiumil baseeruvat Prisma Access Browser’it.

Soovitame nende toodete tarkvara uuendada viimasele avaldatud versioonile (SW).

Olulisemad turvanõrkused 2024. aasta 33. nädalal

Microsoft hoiatab OpenVPNi haavatavuste eest

Microsoft hoiatas Black Hati turvalisuse konverentsil kasutajaid nelja turvavea eest (CVE-2024-27459, CVE-2024-24974, CVE-2024-27903, CVE-2024-1305), mis võimaldavad läbi viia koodi kaugkäivitamise ründeid. Ehkki vigu tutvustati kui nullpäeva turvanõrkusi, siis teadaolevalt ei ole õnnestunud neid kuritarvitada. Microsofti sõnul nõuab nende vigade ärakasutamine nii autentimist kui ka väga head arusaamist OpenVPN-i sisemisest tööst.

Vead on parandatud OpenVPN versioonis 2.6.10 ja ettevõte kutsub kõiki kasutajaid tarkvara uuendama esimesel võimalusel (SW).

Microsoft paikas oma toodetes 89 haavatavust

Microsoft parandas oma toodetes kokku 89 haavatavust, mille hulgas oli ka üheksa nullpäeva turvanõrkust. Paigatud vigadest kaheksa mõju on hinnatud kriitiliseks ja ettevõtte sõnul on kuut nullpäeva turvanõrkust rünnetes ära kasutatud. Täpsema nimekirja parandustest leiab lisatud lingilt (BC, SW).

Kriitiline turvanõrkus Ivanti Virtual Traffic Manageri tarkvaras

Ivanti paikas Virtual Traffic Manageri (vTM) kriitilise turvavea tähisega CVE-2024-7593 (CVSS skoor 9.8/10), mis võimaldab autentimisest mööda minna ja saada administraatori õigused.

Viga mõjutab järgnevaid vTMi versioone:

  • 22.2 (turvapaigatud versioon on 22.2R1)
  • 22.3 (turvapaigatud versioon on 22.3R3)
  • 22.3R2 (turvapaigatud versioon on 22.3R3)
  • 22.5R1 (turvapaigatud versioon on 22.5R2)
  • 22.6R1 (turvapaigatud versioon on 22.6R2)
  • 22.7R1 (turvapaigatud versioon on 22.7R2)

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada. Kui see ei ole mingil põhjusel võimalik, siis ajutise lahendusena võib ka piirata klientide ligipääsu haldusliidesele või anda ligipääsu ainult usaldusväärsetele IP-aadressidele.

Hetkel teadaoleva info alusel ei ole viga veel õnnestunud ära kasutada, kuid sellele on juba avaldatud kontseptsiooni tõendus. Eelmise aasta detsembrist alates rünnati paljusid organisatsioone Ivanti VPNi seadmete ja nendes olevate turvaaukude kaudu (HN, BC).

Adobe paikas suure hulga turvanõrkusi

Adobe paikas oma toodetes kokku 72 turvaviga ja hoiatab, et turvanõrkuste ära kasutamine võib kaasa tuua koodi käivitamise, mälulekked ja teenuste tõkestamise nii Windowsi kui ka macOSi platvormidel. Näiteks paigati 12 haavatavust populaarses PDFi lugeris Adobe Acrobat and Reader.

Mitmeid vigu paigati ka teistes Adobe’i tarkvarades nagu Adobe Illustrator, Adobe Photoshop, Adobe InDesign, Adobe Commerce ja Dimension. Adobe hoiatab, et kõige tõsisem turvaviga võimaldab ründajatel saada täieliku kontrolli ohvri seadme üle.

Adobe’i sõnul pole haavatavusi rünnete läbiviimiseks veel kuritarvitatud (SW).

SAP paikas oma toodetes kaks kriitilist turvanõrkust

SAP paikas 17 uut turvaviga ning uuendas kaheksat vana turvauuendust. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk CVSS skooriga 9.0/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid BusinessObjects, Business Intelligence ja Build Apps. Esimene neist on tähistatud CVE-2024-41730 (CVSS skoor 9.8/10) ning selle kaudu võib ründaja saada sisselogimiseks vajalikud õigused ja seeläbi kompromiteerida kogu süsteemi. Teine kriitiline turvaviga tähisega CVE-2024-29415 (CVSS skoor 9.1/10) mõjutab Node.js teeki ja Build Apps tarkvara.

SAP on üks maailma suuremaid ERP (Enterprise resource planning) tarkvarade tootjaid ja nende tooteid kasutab oluline osa ettevõtetest ning asutustest. Seetõttu on SAPi tarkvarade haavatavused ka pidevalt küberkurjategijate vaatluse all ja varasemalt on nende toodete kaudu saadud ligipääs paljude organisatsioonide süsteemidele. Soovitame kõigil SAPi tarkvarade kasutajatel tarkvara uuendada (SW, BC, SAP).