Tag Archives: Jenkins

Olulisemad turvanõrkused 2024. aasta 5. nädalal

Ivanti teatas taas kahest kriitilisest turvaveast

Turvavead (CVE-2024-21888 ja CVE-2024-21893) mõjutavad Ivanti Connect Secure ja Policy Secure tooteid ning ühte neist on juba rünnete läbiviimisel ära kasutatud.

Esimene turvaviga tähisega CVE-2024-21888 on hinnatud CVSS skooriga 8.8/10 ning selle kaudu on võimalik õigustega manipuleerida ning saada administraatori õigused.

Teine turvaviga tähisega CVE-2024-21893 on serveripoolne päringute võltsimise viga, mis on hinnatud CVSS skooriga 8.2/10 ja ründajad on proovinud seda kuritarvitada.

Haavatavused on paigatud Connect Secure tarkvara versioonides 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1 ning ZTA versioonis 22.6R1.3. Kuna uued turvavead tulid avalikuks, siis hakatakse suure tõenäosusega neid rünnetes kuritarvitama ning seetõttu soovitab ettevõte paigata tarkvara esimesel võimalusel. Lisaks uutele haavatavustele paigati nüüd ka jaanuaris avalikuks tulnud turvanõrkused tähistega CVE-2023-46805 ja CVE-2024-21887.

Shadowserveri monitooringu kohaselt on hetkel internetile avatud enam kui 24 700 Ivanti Connect Secure tarkvaraga serverit ning 460 kompromiteeritud seadet. Erinevate allikate sõnul on ründajad võtnud Ivanti haavatavused sihikule ja neid proovitakse järjepidevalt ära kasutada (HN, BC, SA).

GitLab paikas järjekordse kriitilise turvavea

GitLab parandas taas kriitilise turvavea oma tarkvarades GitLab Community Edition (CE) ja Enterprise Edition (EE). Haavatavus tähisega CVE-2024-0402 on hinnatud kõrge CVSS skooriga 9.9/10 ning see võimaldab ründajal kirjutada faile GitLabi serveris suvalistesse kohtadesse.

Mõned nädalad tagasi tuli avalikuks samuti kriitiline turvaviga GitLabi tarkvaras, mis võimaldas parooli lähtestamise abil konto üle võtta. Sellest kirjutasime ka varasemas blogis.

Lisaks paigati veel neli keskmise mõjuga haavatavust. Turvavead on parandatud GitLabi versioonides 16.8.1, 16.7.4, 16.6.6 ja 16.5.8. Ettevõtte soovitab kõigil kasutajatel rakendada turvapaigad esimesel võimalusel (HN, GitLab).

45 000 Jenkinsi serverit on turvanõrkuse tõttu ohus

Küberturbe teadurite sõnul on umbes 45 000 Jenkinsi serverit ohus kriitilise turvanõrkuse (CVE-2024-23897) tõttu, mis võimaldab ründajal pahaloomulist koodi kaugelt käivitada. Veale on avaldatud ka mitu kontseptsiooni tõendust (proof-of-concept ehk PoC), millest võib eeldada, et rünnete arv kasvab.

Turvaviga on parandatud 24. jaanuaril ning kõik kasutajad peaks tarvara uuendama versioonidele 2.442 ja LTS 2.426.3. Lisaks turvapaikadele on Jenkins avaldanud ka leevendavad meetmed neile, kel ei ole võimalik kohe turvapaikasid rakendada (BC, Jenkins).

AnyDesk teavitas neid tabanud küberründest

2. veebruaril avalikustas AnyDesk, et nad sattusid küberründe ohvriks, mille tagajärjel said häkkerid ligipääsu ettevõtte tootmissüsteemidele. Rünnaku käigus varastati muuhugas ka lähtekood ja koodi signeerimise võtmed.

AnyDesk on kaugligipääsu lahendus, mis võimaldab kasutajatel saada kaugelt juurdepääs arvutile kas võrgu või interneti kaudu. Ettevõttel on enam kui 170 000 klienti üle maailma, nende hulgas näiteks 7-Eleven, Comcast, LG Electronics, Samsung, MIT, NVIDIA, SIEMENS ja ÜRO.

Ettevõte ei ole avaldanud täpsemat infot selle kohta, kuidas ründajad said nende serveritele ligipääsu. Küll aga on nad kinnitanud, et tegemist ei ole lunavararünnakuga.

AnyDeski sõnul ei ole rünne mõjutanud lõppkasutaja seadmeid, kuid kõigil kasutajatel soovitatakse siiski uuendada tarkvara ja kasutada viimast versiooni.

Lisaks on soovitatav AnyDeski parool ära vahetada ning kui sama parool on kasutusel ka mõnes teises keskkonnas, siis tuleks ka seal parooli uuendada. AnyDeski sõnul ei lekkinud ründe käigus kasutajate paroolid, kuid küberturbega tegelev ettevõtte Resecurity avastas AnyDeski kasutajate mandaatide müügi internetis. Seega tuleks kindlasti kõigil kasutajatel parool ära vahetada (BC, HN, Resecurity).

Mozilla paikas oma tarkvarades 15 turvaviga

Mozilla paikas nii Firefox veebilehitsejas kui ka Thunderbird meiliprogrammis kokku 15 turvaviga, mille hulgas oli viis kõrge mõjuga haavatavust. Vead on paigatud Mozilla Firefoxi versioonis 122 ning Thunderbirdi ja Firefox ESRi versioonides 115.7. Soovitame Mozilla tarkvarad uuendada esimesel võimalusel (SW, Mozilla).

Olulisemad turvanõrkused 2024. aasta 4. nädalal

Apple paikas selle aasta esimese nullpäeva turvanõrkuse

Apple paikas turvanõrkuse tähisega CVE-2024-23222, mis mõjutab kõiki Apple’i nutitelefone, sülearvuteid  ja Apple TV seadmeid. Haavatavus paikneb Apple Webkiti komponendis ja eduka ründe korral on võimalik ohvri seadmes pahatahtlikku koodi käivitada. Viga on paigatud iOSi versioonis 17.3, macOS Sonoma versioonis 14.3 ning macOS Ventura versioonis 13.6.4. Ettevõtte sõnul on haavatavusi juba rünnetes ära kasutatud, mistõttu on eriti oluline kõik mõjutatud Apple’i seadmed uuendada (BC, SW).

Häkkerid kasutavad ära kriitilist Confluence’i turvaviga

16. jaanuaril avalikustatud kriitilist turvaviga tähisega CVE-2023-22527 proovitakse aktiivselt rünnetes kuritarvitada, selgub Shadowserveri andmetest. Turvaviga võimaldab autentimata ründajal käivitada pahatahtlikku koodi ja see mõjutab kõiki Confluence Data Centeri ja Serveri versioone, mis on väljastatud enne 5. detsembrit 2023. Shadowserveri sõnul on nad näinud juba üle 40 000 ründekatse. Kõikidel Confluence’i kasutajatel soovitame uuendused rakendada esimesel võimalusel, kui seda ei ole veel tehtud (SW, BC).

Enam kui 5300 GitLabi serverit ohustab kontode ülevõtmist võimaldav turvaviga

Sel kuul avaldati GitLabi turvaviga tähisega CVE-2023-7028, mis võimaldab ründajal keskkonna kasutajate kontod üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile. Shadowserveri sõnul on haavatavuse tõttu ohus enam kui 5300 internetile avatud GitLabi serverit. Praeguse informatsiooni põhjal ei ole turvaviga veel kuritarvitatud, kuid kõik GitLabi kasutajad peaksid tarkvara uuendama esimesel võimalusel (BC).

Kriitilised turvanõrkused ohustavad Jenkinsi tarkvara kasutavaid servereid

SonarSource kirjutas hiljuti kahest Jenkinsi tarkvara mõjutavast kriitilisest turvanõrkusest. Neid tähistatakse vastavalt  CVE-2024-23897 ja CVE-2024-23898. Esimene neist võimaldab autentimata ründajatel lugeda andmeid haavatavatest serveritest. Kogutud teabe abil saab mõjutatud keskkonnas potentsiaalselt käivitada pahaloomulist koodi. Teise turvanõrkuse puhul aga on ründajatel võimalik käivitada suvalisi CLI käske juhul, kui neil õnnestub ohvreid veenda klikkama spetsiifilisel veebilingil. Ühe kriitilise Jenkinsi tarkvara turvanõrkuse jaoks on juba avalikustatud mitu kontseptsiooni tõendust (PoCi). Jenkins on tarkvara, mida kasutatakse sageli tarkvaraarenduses ülesannete automatiseerimiseks. Turvanõrkused on parandatud Jenkinsi versioonides 2.442 ja LTS 2.426.3. Soovitame kõigil kasutajatel uuendada tarkvara esimesel võimalusel (SonarSource, BC).

Cisco hoiatab kriitilise turvanõrkuse eest sidetarkvaras

Cisco sõnul on mitmed tooted, mis kasutavad tarkvarasid Unified Communications Manager (CM) ja Contact Center Solutions, haavatavad kriitilise turvaveale tähisega CVE-2024-20253. Turvaviga võimaldab autentimata ründajal käivitada suvalisi käske ja saada juurkasutaja õigused. Täpsem nimekiri mõjutatud toodetest ja neile olemasolevatest turvapaikadest on lisatud linkidel (BC, HN, Cisco).

Pwn2Own Automotive’i üritusel demonstreeriti 49 uut nullpäeva turvaauku

Pwn2Own on tuntud häkkimisvõistlus, mis kutsub eetilisi häkkereid üles avastama ja ära kasutama tarkvara- ja riistvarasüsteemide haavatavusi. Osalejad demonstreerivad oma oskusi erinevate süsteemide peal, Pwn2Own Automotive’i üritusel on fookusteemaks aga sõidukid ja nendega seotud seadmed (elektrisõidukite laadijad, multimeediasüsteemid jms). Lisaks sellele, et üritusel näidati 49 uut nullpäeva turvaauku, demonstreeriti ka kaht erinevat viisi, kuidas Tesla autode süsteemidesse on võimalik sisse murda. Pwn2Own Automotive’i leiud juhivad tähelepanu sellele, kui vajalik on keskenduda küberturvalisusele ka autotööstuses (BC).

Olulised turvanõrkused 2023. aasta 10. nädalal

Avalikustati Microsoft Wordi kriitilise turvavea kontseptsiooni tõendus

Microsoft parandas veebruari turvauuendustega Microsoft Wordi kriitilise turvavea tähisega CVE-2023-21716. Turvaviga on seotud wwlib.dll failiga ja võimaldab koodi kaugkäivitamist. Haavatavusel on ka väga kõrge kriitilisuse skoor (9.8/10), kuna seda ei ole keeruline ära kasutada ja selle jaoks ei ole vaja kõrgendatud õiguseid. Ründaja saab turvanõrkust ära kasutada pahaloomuliste RTF failide abil.

Nüüd on turvanõrkusele avalikult kättesaadav ka proof-of-concept (PoC) ehk kontseptsiooni tõendus. Microsofti hinnangul on haavatavuse kuritarvitamine hetkel siiski vähetõenäoline, kuid sellised kontseptsiooni tõendused muudavad pahaloomuliste failide loomise, mis turvanõrkust ära suudavad kasutada, kindlasti lihtsamaks (BC, Microsoft).

Kes ja mida peaks tegema?

Microsofton turvanõrkuse jaoks avalikustanud turvaparanduse ja samuti mõned alternatiivmeetmed, kui turvaparanduse rakendamine ei ole võimalik. Rohkem infot leiate Microsofti veebilehelt. Soovitame kindlasti turvaparanduse rakendamist.

Fortinet hoiatab uue kriitilise haavatavuse eest

FortiOS-i ja FortiProxy haldusliidese haavatavus CVE-2023-25610 (9.3/10.0) võib lubada ründajal käivitada haavatavas seadmes autentimata suvalist koodi ja/või teostada teenusetõkestusrünnak spetsiaalselt selleks loodud päringute kaudu. Fortinetile teadaolevalt ei ole seda haavatavust veel ära kasutatud (Fortinet).

Kes ja mida peaks tegema?

Haavatavus mõjutab järgnevaid FortiOSi ja FortiProxy versioone:

FortiOSi versioonid 7.2.0-7.2.3;
FortiOSi versioonid 7.0.0-7.0.9;
FortiOSi versioonid 6.4.0-6.4.11;
FortiOSi versioonid 6.2.0-6.2.12;
kõik FortiOSi 6.0 versioonid;
FortiProxy versioonid 7.2.0-7.2.2;
FortiProxy versioonid 7.0.0-7.0.8;
FortiProxy versioonid 2.0.0-2.0.11;
kõik FortiProxy 1.2 versioonid;
kõik FortiProxy 1.1 versioonid.

Fortinet on haavatavuse turvauuendustega parandanud. Rohkem infot versioonide kohta, milles on haavatavus parandatud, leiate siit.

Kui te kasutate ülal mainitud haavatavate versioonidega Fortineti tarkvarasid, rakendage turvauuendused esimesel võimalusel.

Androidi seadmetes paigati kaks kriitilist koodi kaugkäitust võimaldavat turvanõrkust

Google avalikustas 6. märtsil, et selle kuu turvauuendustega parandatakse Androidi operatsioonisüsteemides mitukümmend turvaviga.

Nende seas on ka kaks koodi kaugkäitust võimaldavat turvanõrkust (CVE-2023-20951, CVE-2023-20954), mis on hinnatud kriitiliseks. Nende turvanõrkuste ärakasutamiseks pole vaja mitte mingit kasutajapoolset tegevust (nt linkidele klõpsamist, pahaloomuliste failide avamist vms).

Selliste tõsiste turvanõrkuste abil on ründajatel potentsiaalselt võimalik käivitada haavatavates seadmetes pahavara ja saada teatud tingimustel kontroll kogu seadme üle. Google ei ole turvanõrkuste kohta täpsemaid detaile jaganud.

Lisaks kahele kriitilisele turvanõrkusele paigati märtsi turvauuendustega veel mitukümmend madalama kriitilise tasemega nõrkust (BP, Android).

Kes ja mida peaks tegema?

Turvauuendusi pakutakse Androidi operatsioonisüsteemi versioonidele 11, 12 ja 13. Kui teie Androidi seade kasutab versiooni 10 või vanemat, siis sellele turvauuendusi enam ei pakuta, kuna vastavate versioonide tootjapoolne tugi on lõppenud. Selline seade tuleks võimalikult kiiresti uuema vastu vahetada!

Kui sinu Androidi operatsioonisüsteemi kasutav nutitelefon või tahvelarvuti pakub turvauuendusi, rakenda need palun esimesel võimalusel!

NB! Seadmete regulaarne uuendamine on üks küberhügieeni alustalasid. Kutsume kõiki üles suhtuma oma seadmetes pakutavatesse uuendustesse tõsiselt ning neid alati rakendama.

Jenkinsi tarkvara mõjutavad koodi kaugkäitust võimaldavad nõrkused

Jenkins on avatud lähtekoodiga tarkvara, mida kasutatakse tarkvaraarenduses. Jenkins Server and Update Center keskkonnas, mille abil saab Jenkinsile alla laadida erinevaid pistikprogramme, avastati kaks haavatavust, mida nimetatakse koondnimetusega CorePlague. Haavatavused on seotud sellega, kuidas keskkond pistikprogramme töötleb. Kui ründaja pahaloomulise pistikprogrammi Jenkinsi Update Center keskkonda ülesse laeb ja ohver pistikprogrammide jaoks mõeldud halduskeskkonna avab, on võimalik teostada XSS (Cross Site Scripting) rünne. Eduka ärakasutamise korral võimaldavad haavatavused autentimata ründajal käivitada suvalist koodi ohvri Jenkinsi serveris, mille abil on tal võimalik server täielikult üle võtta (Aquasec).

Kes ja mida peaks tegema?

Haavatavad on Jenkinsi serverid versiooniga 2.270 kuni 2.393 (kaasaarvatud) ja LTS 2.277.1 kuni 2.375.3 (kaasaarvatud). Haavatavad on ka Jenkinsi Update Center versioonid 3.15 ja vanemad. Haavatavate tarkvarade kasutamise korral uuendage need esimesel võimalusel.  Rohkem infot leiate Jenkinsi kodulehelt.

Joomla sisuhaldustarkvara turvanõrkust kuritarvitatakse üha aktiivsemalt

Kolm nädalat tagasi parandati Joomla sisuhaldustarkvaral, mida paljud veebilehed kasutavad, turvanõrkus, mis lubas ründajal ligi pääseda kasutajatunnuseid sisaldavale andmebaasile lihtsa päringu abil. Kuna haavatavuse ärakasutamine on suhteliselt kerge, on selle populaarsus ründajate seas ajas kasvanud (SANS).

Kes ja mida peaks tegema?

Haavatavad on Joomla tarkvara versioonid 4.0.0 kuni 4.2.7 (kaasaarvatud). Turvanõrkus on parandatud alates versioonist 4.2.8. Kui te haavatava versiooniga Joomla tarkvara kasutate, uuendage see esimesel võimalusel vähemalt versioonini 4.2.8. Sellisel juhul turvanõrkus teile ohtu ei kujuta (NSFOCUS).

Chrome’i uues versioonis on parandatud 40 turvanõrkust

Google avalikustas eelmisel nädalal Chrome’i uue -versiooni tähisega 111, milles on paigatud 40 turvanõrkust. 40-st nõrkusest kaheksa on kõrge mõjuga, 11 keskmise mõjuga ja viis madala mõjuga (SW, Google).

Kes ja mida peaks tegema?

Windowsile on uus versioon saadaval tähisega 111.0.5563.64/.65, Linuxile ja macOSile aga tähisega 111.0.5563.64. Soovitame kõikidel Chrome’i kasutajatel rakendada uus versioon esimesel võimalusel. Juhised, kuidas Chrome’i uuendada, leiate siit.


RIA analüüsi- ja ennetusosakond