Tag Archives: Ivanti

Olulisemad turvanõrkused 2024. aasta 6. nädalal

Ivanti teatas uuest turvanõrkusest

Ivanti teatas uuest kõrge kriitilisuse tasemega turvanõrkusest (CVE-2024-22024).  Turvanõrkus võib lubada autentimata juurdepääsu teatud ressurssidele. Haavatavus mõjutab ainult teatud versioone Ivanti tarkvaradest – Ivanti Connect Secure’i versioone 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1, Ivanti Policy Secure versiooni 22.5R1.1 ja ZTA versiooni 22.6R1.3. Ettevõte pakub mõjutatud tarkvaradele turvaparandusi ja soovitab need esimesel võimalusel rakendada.

Ivanti toodetega seotud turvanõrkustest on viimastel nädalatel räägitud palju, näiteks eelmise nädala uudiskirjas kajastasime, kuidas turvavigu tähistega CVE-2024-21888 ja CVE-2024-21893 üritatakse juba rünnete läbiviimiseks ära kasutada. Seetõttu on kõikidel vastavate tarkvarade kasutajatel ääretult oluline jälgida, kas nad on mainitud turvanõrkuste vastu haavatavad. Kui jah, tuleks esimesel võimalusel rakendada avalikustatud turvaparandused (SW, RIA, HN, BC, SA).

Fortinet hoiatab kriitliste turvanõrkuste eest FortiOSi ja FortiSIEMi tarkvarades

Mitmes Fortineti tarkvaras tulid avalikuks kriitilised turvavead. Näiteks leiti FortiOSi tarkvarast kaks kriitilist koodi kaugkäivitamise viga tähistega CVE-2024-21762 ja CVE-2024-23113, mida on ettevõtte sõnul juba rünnetes kuritarvitatud. Turvanõrkus võimaldab autentimata ründajatel käivitada haavatavates süsteemides suvalist koodi. Järgnevatest tabelitest näete, milliseid süsteeme mõlemad turvanõrkused mõjutavad, ja versioone, kus haavatavus on parandatud. Esimene tabel on seotud turvanõrkusega CVE-2024-21762 ja teine tabel turvanõrkusega CVE-2024-23113.

Versioon Mõjutatud Lahendus
FortiOS 7.6 Ei ole mõjutatud
FortiOS 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiOS 7.2 7.2.0 kuni 7.2.6 Uuendage versioonile 7.2.7 või uuemale
FortiOS 7.0 7.0.0 kuni 7.0.13 Uuendage versioonile 7.0.14 või uuemale
FortiOS 6.4 6.4.0 kuni 6.4.14 Uuendage versioonile 6.4.15 või uuemale
FortiOS 6.2 6.2.0 kuni 6.2.15 Uuendage versioonile 6.2.16 või uuemale
FortiOS 6.0 Kõik 6.0 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiProxy 7.2 7.2.0 kuni 7.2.8 Uuendage versioonile 7.2.9 või uuemale
FortiProxy 7.0 7.0.0 kuni 7.0.14 Uuendage versioonile 7.0.15 või uuemale
FortiProxy 2.0 2.0.0 kuni 2.0.13 Uuendage versioonile 2.0.14 või uuemale
FortiProxy 1.2 Kõik 1.2 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 1.1 Kõik 1.1 versioonid Uuendage ühele eelnevalt mainitud versioonile.
FortiProxy 1.0 Kõik 1.0 versioonid Uuendage ühele eelnevalt mainitud versioonile.
CVE-2024-21762 turvanõrkusest mõjutatud Fortineti tarkvarade versioonid
Versioon Mõjutatud Lahendus
FortiOS 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiOS 7.2 7.2.0 kuni 7.2.6 Uuendage versioonile 7.2.7 või uuemale
FortiOS 7.0 7.0.0 kuni 7.0.13 Uuendage versioonile 7.0.14 või uuemale
FortiPAM 1.2 1.2.0 Uuendage versioonile 1.2.1 või uuemale.
FortiPAM 1.1 1.1.0 kuni 1.1.2 Uuendage versioonile 1.1.3 võ uuemale
FortiProxy 7.4 7.4.0 kuni 7.4.2 Uuendage versioonile 7.4.3 või uuemale
FortiProxy 7.2 7.2.0 kuni 7.2.8 Uuendage versioonile 7.2.9 või uuemale
FortiProxy 7.0 7.0.0 kuni 7.0.14 Uuendage versioonile 7.0.15 või uuemale
FortiSwitchManager 7.2 7.2.0 kuni 7.2.3 Uuendage versioonile 7.2.4 või uuemale versioonile
FortiSwitchManager 7.0 7.0.0 kuni 7.0.3 Uuendage versioonile 7.0.4 või uuemale versioonile
CVE-2024-23113 turvanõrkusest mõjutatud Fortineti tarkvarade versioonid

Lisaks avastati Fortineti FortiSIEMi tarkvaras samuti kaks kriitilist turvaviga, mille kaudu on võimalik pahaloomulist koodi käivitada. Haavatavused on tähistega CVE-2024-23108 ja CVE-2024-23109 ning on hinnatud suurima võimaliku CVSS skooriga 10/10.

Turvanõrkused on parandatud järgnevates FortiSIEMi versioonides:

FortiSIEMi versioon 7.1.2 või hilisem

FortiSIEMi versioon 7.2.0 või hilisem

FortiSIEMi versioon 7.0.3 või hilisem

FortiSIEMi versioon 6.7.9 või hilisem

FortiSIEMi versioon 6.6.5 või hilisem

FortiSIEMi versioon 6.5.3 või hilisem

FortiSIEMi versioon 6.4.4 või hilisem

Soovitame kõikidel, kes mõjutatud tarkvarasid kasutavad, turvauuendused esimesel võimalusel rakendada, sest haavatavad Fortineti süsteemid on tihti olnud ründajate sihtmärkideks (BC, BC, Fortinet, Fortinet).

Androidile avalikustatud tarkvarauuendus parandab kriitilise turvavea

Google on kõrvaldanud Androidi operatsioonisüsteemil 2024. aasta veebruari turvaparandustega 46 turvaauku, sealhulgas kriitilise koodi kaugkäitusega seotud vea (CVE-2024-0031), mis mõjutab Androidi versioone 11–14. See konkreetne süsteemi komponendis leitud viga võib anda ründajatele võimaluse koodi kaugkäivitada ilma kõrgendatud õiguseid omamata. Turvaparandused kõrvaldavad ka muid õiguste tõstmise ja võimalike andmeleketega seotud turvavigu. Uuenduste olemasolul soovitame need esimesel võimalusel rakendada (SW).

Avastatud turvanõrkuste hulk kasvas neljandat aastat järjest

Qualyse avaldatud ülevaatest selgub, et avastatud turvanõrkuste koguhulk kasvas 2023. aastal neljandat aastat järjest, ulatudes ligi 26 500ni. See number on 1500 võrra suurem kui 2022. aastal. Lisaks juhiti raportis tähelepanu sellele, et:

  • Vähem kui üks protsent haavatavustest olid suurima võimaliku riskiskooriga, kuid neid kuritarvitati siiski aktiivselt.
  • 97 kõrge riskiskooriga turvaauku, mida tõenäoliselt ära kasutatakse, ei kuulunud CISA ärakasutatud haavatavuste (KEV) andmekataloogi.
  • 25 protsenti nendest turvaaukudest üritati ära kasutada samal päeval, kui haavatavus ise avalikustati.
  • 1/3 kõrge riskiskooriga haavatavustest mõjutasid võrguseadmeid ja veebirakendusi.

Täpsemalt saab ülevaatega tutvuda siin.

Canoni printeritel parandati seitse kriitilist turvanõrkust

Canon on värskendanud printerite tarkvara, et parandada seitse kriitilist turvaauku erinevates kontorite jaoks mõeldud printerites. Turvanõrkused võivad võimaldada pahaloomulist koodi käivitada või printerite tööd häirida, kui need on otse internetiga ühendatud. Turvanõrkused mõjutavad printerite püsivara versiooni 03.07 ja varasemaid versioone. Ettevõte ei ole teadlik, et haavatavusi oleks suudetud ära kasutada, kuid palub printerite kasutajatel siiski seadmed esimesel võimalusel uuendada (Canon, SW).

Microsoft Azure’i HDInsight teenusel leiti kolm uut turvaviga

Teadlased leidsid Microsoft Azure’i HDInsighti teenuses kolm uut turvaviga, mis mõjutavad jõudlust ja võivad lubada volitamata kontrolli mõjutatud süsteemide üle. Üks haavatavus võib põhjustada teenuste töös tõrkeid ja kahe abil on võimalik suurendada mõjutatud süsteemis kasutajaõigusi või saada ligipääs tundlikele andmetele. Turvanõrkustele on olemas parandused, kuid HDInsight teenuse eripära tõttu on paranduste rakendamiseks vaja luua uusima versiooniga uus klaster (DR).

Cisco parandas võrguseadmetel kriitilised turvanõrkused

Cisco on parandanud Cisco Expresswayd kasutavatel võrguseadmetel kolm haavatavust, mis lubavad ründajatel petta legitiimseid kasutajaid tegema muudatusi, mida nad ei kavatsenud teha, nagu volitamata kasutajate lisamine või seadete muutmine seda mõistmata. Antud haavatavused on eriti salakavalad, kuna need tuginevad legitiimsete kasutajate usalduse ja lubade väärkasutamisel. Cisco soovitab mõjutatud seadmete kasutajatel värskendada need uusimale versioonile, et kaitsta end võimalike küberrünnakute eest (BP).

Olulisemad turvanõrkused 2024. aasta 5. nädalal

Ivanti teatas taas kahest kriitilisest turvaveast

Turvavead (CVE-2024-21888 ja CVE-2024-21893) mõjutavad Ivanti Connect Secure ja Policy Secure tooteid ning ühte neist on juba rünnete läbiviimisel ära kasutatud.

Esimene turvaviga tähisega CVE-2024-21888 on hinnatud CVSS skooriga 8.8/10 ning selle kaudu on võimalik õigustega manipuleerida ning saada administraatori õigused.

Teine turvaviga tähisega CVE-2024-21893 on serveripoolne päringute võltsimise viga, mis on hinnatud CVSS skooriga 8.2/10 ja ründajad on proovinud seda kuritarvitada.

Haavatavused on paigatud Connect Secure tarkvara versioonides 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1 ning ZTA versioonis 22.6R1.3. Kuna uued turvavead tulid avalikuks, siis hakatakse suure tõenäosusega neid rünnetes kuritarvitama ning seetõttu soovitab ettevõte paigata tarkvara esimesel võimalusel. Lisaks uutele haavatavustele paigati nüüd ka jaanuaris avalikuks tulnud turvanõrkused tähistega CVE-2023-46805 ja CVE-2024-21887.

Shadowserveri monitooringu kohaselt on hetkel internetile avatud enam kui 24 700 Ivanti Connect Secure tarkvaraga serverit ning 460 kompromiteeritud seadet. Erinevate allikate sõnul on ründajad võtnud Ivanti haavatavused sihikule ja neid proovitakse järjepidevalt ära kasutada (HN, BC, SA).

GitLab paikas järjekordse kriitilise turvavea

GitLab parandas taas kriitilise turvavea oma tarkvarades GitLab Community Edition (CE) ja Enterprise Edition (EE). Haavatavus tähisega CVE-2024-0402 on hinnatud kõrge CVSS skooriga 9.9/10 ning see võimaldab ründajal kirjutada faile GitLabi serveris suvalistesse kohtadesse.

Mõned nädalad tagasi tuli avalikuks samuti kriitiline turvaviga GitLabi tarkvaras, mis võimaldas parooli lähtestamise abil konto üle võtta. Sellest kirjutasime ka varasemas blogis.

Lisaks paigati veel neli keskmise mõjuga haavatavust. Turvavead on parandatud GitLabi versioonides 16.8.1, 16.7.4, 16.6.6 ja 16.5.8. Ettevõtte soovitab kõigil kasutajatel rakendada turvapaigad esimesel võimalusel (HN, GitLab).

45 000 Jenkinsi serverit on turvanõrkuse tõttu ohus

Küberturbe teadurite sõnul on umbes 45 000 Jenkinsi serverit ohus kriitilise turvanõrkuse (CVE-2024-23897) tõttu, mis võimaldab ründajal pahaloomulist koodi kaugelt käivitada. Veale on avaldatud ka mitu kontseptsiooni tõendust (proof-of-concept ehk PoC), millest võib eeldada, et rünnete arv kasvab.

Turvaviga on parandatud 24. jaanuaril ning kõik kasutajad peaks tarvara uuendama versioonidele 2.442 ja LTS 2.426.3. Lisaks turvapaikadele on Jenkins avaldanud ka leevendavad meetmed neile, kel ei ole võimalik kohe turvapaikasid rakendada (BC, Jenkins).

AnyDesk teavitas neid tabanud küberründest

2. veebruaril avalikustas AnyDesk, et nad sattusid küberründe ohvriks, mille tagajärjel said häkkerid ligipääsu ettevõtte tootmissüsteemidele. Rünnaku käigus varastati muuhugas ka lähtekood ja koodi signeerimise võtmed.

AnyDesk on kaugligipääsu lahendus, mis võimaldab kasutajatel saada kaugelt juurdepääs arvutile kas võrgu või interneti kaudu. Ettevõttel on enam kui 170 000 klienti üle maailma, nende hulgas näiteks 7-Eleven, Comcast, LG Electronics, Samsung, MIT, NVIDIA, SIEMENS ja ÜRO.

Ettevõte ei ole avaldanud täpsemat infot selle kohta, kuidas ründajad said nende serveritele ligipääsu. Küll aga on nad kinnitanud, et tegemist ei ole lunavararünnakuga.

AnyDeski sõnul ei ole rünne mõjutanud lõppkasutaja seadmeid, kuid kõigil kasutajatel soovitatakse siiski uuendada tarkvara ja kasutada viimast versiooni.

Lisaks on soovitatav AnyDeski parool ära vahetada ning kui sama parool on kasutusel ka mõnes teises keskkonnas, siis tuleks ka seal parooli uuendada. AnyDeski sõnul ei lekkinud ründe käigus kasutajate paroolid, kuid küberturbega tegelev ettevõtte Resecurity avastas AnyDeski kasutajate mandaatide müügi internetis. Seega tuleks kindlasti kõigil kasutajatel parool ära vahetada (BC, HN, Resecurity).

Mozilla paikas oma tarkvarades 15 turvaviga

Mozilla paikas nii Firefox veebilehitsejas kui ka Thunderbird meiliprogrammis kokku 15 turvaviga, mille hulgas oli viis kõrge mõjuga haavatavust. Vead on paigatud Mozilla Firefoxi versioonis 122 ning Thunderbirdi ja Firefox ESRi versioonides 115.7. Soovitame Mozilla tarkvarad uuendada esimesel võimalusel (SW, Mozilla).

Olulisemad turvanõrkused 2024. aasta 2. nädalal

Ivanti Connecti VPN-tarkvaras avastati kaks kriitilist turvaviga

Laialdaselt kasutatavas VPN-tarkvaras Ivanti Connect Secure on tuvastatud kaks kriitilist nullpäeva turvaauku (CVE-2023-46805, CVE-2024-21887), mida ründajad on aktiivselt ära kasutanud. Turvavead mõjutavad VPNi versioone 9.x ja 22.x ja võivad lubada volitamata isikutel juurdepääsu tundlikule teabele või potentsiaalselt ohustada võrkude turvalisust, mis seda tarkvara kasutavad. Nõrkused teeb lisaks murettekitavaks asjaolu, et nende kuritarvitamiseks ei ole vaja ründajal end autentida. Ettevõte lubas turvaparandused avalikustada esimesel võimalusel. Seni on tarkvara kasutajatel võimalik end kaitsta, järgides ettevõtte soovitusi siin. Kui turvaparandus on saadaval, tuleks see samuti kohe rakendada (Ivanti, SA).

Uue turvanõrkuse abil võivad ründajad GitLabi kontod lihtsalt üle võtta

GitLabi kriitiline haavatavus võimaldab parooli lähtestamise funktsiooni vea tõttu platvormi kasutajakontosid kompromiteerida. Turvanõrkus mõjutab nii GitLab Community Editionit (CE) kui ka Enterprise Editionit (EE). Haavatavus, mida tähistatakse kui CVE-2023-7028, tekkis GitLabi versioonis 16.1.0. See lubab ründajal saata volitamata parooli lähtestamise e-kirju kinnitamata e-posti aadressidele. Viga on parandatud versioonides 16.5.6, 16.6.4 ja 16.7.2, 16.1.6, 16.2.9, 16.3.7 ja 16.4.5. GitLab soovitab täiendava turvameetmena rakendada kahefaktorilist autentimist (2FA). Need, kel on 2FA rakendatud, ei ole haavatavad selle turvanõrkuse vastu, samas on võimalik nende kontode paroole siiski lähtestada. Ettevõte on avalikustanud ka juhised, kuidas logidest võimalikku turvanõrkuse ärakasutamist kontrollida. Infot selle kohta leiate viidatud lingilt. Kasutajatel soovitatakse oma GitLabi lahendused viivitamatult värskendada, et kaitsta end võimalike küberrünnakute eest (SCM).

Juniperi võrguseadmetel paigati kriitiline turvanõrkus

Juniper Networks on parandanud oma tulemüürides ja switch’ides kriitilise koodi kaugkäivitamise (RCE) haavatavuse (CVE-2024-21591). Autentimata ründaja võib turvavea abil saada mõjutatud seadmes juurõigused või teostada seadme vastu teenusetõkestusründe. Turvanõrkus mõjutab paljusid Juniperi võrgutooteid (täpsem nimekiri viidatud linkidelt), ohustades seega mitmete organisatsioonide võrgutaristut. Ettevõte ei ole siiski teadlik, et antud nõrkust oleks suudetud ära kasutada. Juniper Networksi tulemüüride ja switch’ide kasutajatel soovitatakse värskendada seadmete püsivara uusimale versioonile, et haavatavus parandada ja kaitsta oma võrke võimaliku turvanõrkuse ärakasutamise eest (SA). Kui uuendamine ei ole võimalik, on ettevõte avalikustanud ka mõned alternatiivsed kaitsemeetmed, mille kohta saab lugeda täpsemalt siit.

Microsoft parandas jaanuari uuendustega 49 turvaviga

Microsofti parandas igakuiste uuenduste programmi raames 49 turvaauku, sealhulgas 12 koodi kaugkäivitamise (RCE) viga. Kaks neist kaheteistkümnest haavatavustest klassifitseeriti kriitiliseks ja mõjutavad Windows Kerberose turvafunktsioone ning Hyper-V virtualiseerimistarkvara. Lisaks parandati märkimisväärne Office’i tarkvara mõjutav koodi kaugkäivitamise haavatavus (CVE-2024-20677). Turvavärskendused on Windowsi süsteemide turvalisuse ja terviklikkuse säilitamiseks üliolulised ning need tuleks kiiresti rakendada (BC).

Cisco Unity Connectioni viga võimaldab ründajal saada juurkasutaja õigused

Cisco paikas Unity Connectioni tarkvaral kriitilise turvavea, mis võimaldab autentimata ründajal saada juurkasutaja õigused. Unity Connection lahendust kasutavad veebilehitsejad, e-postkastid ning mitmed Cisco seadmed. Eduka ründe korral on võimalik salvestada ohvri seadmesse pahaloomulisi faile ja käivitada operatsioonisüsteemis erinevaid käske. Cisco soovitab kõigil oma toodete kasutajatel teha tarkvarauuendus (BC).