Tag Archives: Jira

Olulisemad turvanõrkused 2023. aasta 49. nädalal

Androidi turvauuendused parandavad kriitilise turvavea

Androidi nutiseadmetes paigati 85 turvaviga. Nende hulgas on ka kriitiline koodi kaugkäivitamist võimaldav turvaviga (CVE-2023-40088), mis ei vaja kasutajapoolset tegevust haavatavuse edukaks kuritarvitamiseks. Samuti ei ole haavatavuse kuritarvitamiseks vaja kõrgendatud õiguseid. Teadaolevalt ei ole viga rünnete läbiviimisel veel ära kasutatud, kuid RIA soovitab Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (BC, SA, Android).

Atlassian parandas enda toodetes neli kriitilist turvaviga

Atlassian avaldas parandused nelja kriitilise koodi kaugkäitamise haavatavuse kohta, mis mõjutavad Confluence’i, Jira ja Bitbucketi tarkvaru. Kõik haavatavused said kriitilisuse skooriks vähemalt 9.0/10.0-st ja neid tähistatakse kui CVE-2023-22522, CVE-2023-22523, CVE-2023-22524 ja CVE-2022-1471. RIA soovitab esimesel võimalusel tarkvarad uuendada (HNAtlassian).

WordPressi administraatoritele saadetakse võltsitud turvauuenduste kirju

WordPressi haldajatele saadetakse võltsitud WordPressi turvateatisi fiktiivse haavatavuse kohta, et nakatada veebilehti pahatahtliku pistikprogrammiga. Kirja sisus on väidetud, et platvormil leiti kriitiline koodi kaugkäivitamist võimaldav viga ja selle parandamiseks tuleks alla laadida turvapaik. Kui lingile vajutada, siis suunatakse kasutaja kurjategijate loodud lehele, mis näeb välja identne õige WordPressi veebilehega (BC).

Lisaks paigati WordPressi uues versioonis 6.4.2 viga, mida on võimalik koos mõne teise haavatavusega ära kasutada pahatahtliku koodi kaugkäivitamiseks. Kõigil WordPressi kasutajatel on soovitatud tarkvara uuendada esimesel võimalusel, kuna haavatavuse tõttu on võimalik saada täielik kontroll veebilehe üle (SA, WordPress).

Tõsine Bluetoothi haavatavus võib lubada seadmetesse alla laadida pahaloomulisi rakendusi

Hiljutine turvahaavatavus CVE-2023-45866 mõjutab Androidi, Linuxi ja Apple’i seadmeid, võimaldades ründajatel sisestada klahvivajutused Bluetoothi turvavea kaudu. See viga võimaldab Bluetoothi levialas asuvatel ründajatel luua ühenduse tuvastatavate seadmetega ilma kasutaja kinnitust vajamata, võimaldades neil teha selliseid toiminguid nagu rakenduste installimine või käskude käivitamine. Haavatavus tuvastati esmalt macOS-is ja iOS-is, mõjutades isegi lukustusrežiimis (Lockdown Mode) olevaid seadmeid. Hiljem tuvastati see ka Androidis ja Linuxis (SW).

Mõjutatud on kõik Androidi versioonid alates versioonist 4.2.2. Google’i sõnul parandavad turvavea 2023. aasta detsembri turvauuendused (SW).

Kuigi Linuxi erinevatele distributsioonidele on parandus olemas juba 2020. aastast, on see tihti vaikimisi seades keelatud. Mõjutatud on Linuxi operatsioonisüsteemi kasutavad seadmed, mis on seatud olekusse avastatav/ühendatav (SW).

Lisaks on macOS ja iOS haavatavad, kui Bluetooth on lubatud ja Magic Keyboard on seadmes rakendatud. Sellisel juhul ei kaitse potentsiaalse ründe eest ka lukustusrežiim (Lockdown Mode) (SW).

USA valitsusasutuste vastu on üritatud ära kasutada Adobe ColdFusioni kriitilist turvanõrkust

Häkkerid on aktiivselt kasutanud Adobe ColdFusioni kriitilist turvaauku, mille tähistus on CVE-2023-26360, et tungida USA valitsusasutuste serveritesse. See haavatavus võimaldab ründajatel käivitada mis tahes koodi sihtmärgiks valitud serverites, mis kasutavad veebirakenduste arendusplatvormi Adobe ColdFusioni aegunud versioone. Turvaviga kasutati algselt nullpäeva haavatavusena, enne kui Adobe paranduse välja andis.

USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) on liigitanud antud häkkimiskatsed luuretegevuseks, mis tavaliselt hõlmavad teabe kogumist sihitud võrkude ja süsteemide kohta. CISA avalikustas föderaalasutustele ja osariikide teenistustele hoiatuse ja soovitused, et nad rakendaksid oma Adobe ColdFusioni tarkvaradele kohe saadaolevad turvavärskendused (CISA).

Riski maandamiseks ja võimalike ärakasutamiste eest kaitsmiseks soovitatakse ColdFusion uuendada uusimale saadaolevale versioonile. Lisaks soovitatakse rakendada võrgu segmenteerimist, kasutada tulemüüri ja/või veebirakenduste tulemüüri (WAF) ning kasutada nii palju kui võimalik mitmefaktorilist autentimist, et veelgi tugevdada kaitset selliste haavatavuste vastu (CISA).

5Ghoul-nimelised turvanõrkused mõjutavad 5G-modemeid

5Ghoul koondnimetusega haavatavused on turvanõrkused, mis leiti Qualcommi ja MediaTeki valmistatud 5G-modemites. Neid kasutatakse paljudes nutitelefonides, ruuterites ja USB-modemites. Teadlased avastasid 14 erinevat turvaprobleemi, millest kümmet on ka avalikkusega jagatud (SA).

Konkreetsed haavatavused võivad põhjustada teenuste töös tõrkeid või sundida mõjutatud seadmeid kasutama vähem turvalist võrku. Neid saab kuritarvitada haavatavatele seadmetele ilma füüsilist juurdepääsu omamata, imiteerides lihtsalt legitiimset 5G võrgusignaali. Mõned kriitilisemad haavatavused on tähistatud kui CVE-2023-33043, CVE-2023-33044 ja CVE-2023-33042 (SA).

Nii Qualcomm kui ka MediaTek on avaldanud turvahoiatused, mis käsitlevad avalikustatud 5Ghouli haavatavusi. Turvavärskendused tehti seadmemüüjatele kättesaadavaks kaks kuud tagasi. Tarkvara levitamise keerukuse tõttu, eriti Android-seadmetes, võib aga kuluda veidi aega, enne kui parandused turvavärskenduste kaudu lõppkasutajatele jõuavad. See tähendab, et kuigi nende haavatavuste jaoks on paigad olemas, sõltub nende juurutamine üksikutele seadmetele erinevatest teguritest, sealhulgas seadmete tootjatest ja konkreetsetest mõjutatud mudelitest (SA).

Sierra Wirelessi ruuterite turvanõrkused võivad mõjutada kriitilist infrastruktuuri

Turvanõrkused mõjutavad Sierra Wireless OT/IoT ruutereid ja võivad seetõttu ohustada kriitilist infrastruktuuri. Turvanõrkuste abil on võimalik autentimisest mööda minna, käivitada pahatahtlikku koodi ja teenuste tööd häirida. Sierra AirLink ruutereid kasutavad maailmas näiteks mitmed tööstusettevõtted ja hädaabiteenuse pakkujad oma kriitilise tähtsusega süsteemides. Kõigil kasutajatel soovitatakse üle minna ALEOS-i (AirLink Embedded Operating System) versioonile 4.17.0, kus vead on paigatud (BC, Forescout).

Olulised turvanõrkused 2023. aasta 38. nädalal

Eelmisel nädalal kajastati, kuidas Apple paikas kolm nullpäeva turvanõrkust. Turvanõrkused mõjutavad mitmeid Apple’i tooteid, turvauuendused on tootja väljastanud. Lisaks Apple’ile avalikustasid turvapaigad veel mitmed ettevõtted, sh Fortinet, GitLab, Atlassian jpt. Kõik olulisemad uudised on lühidalt välja toodud järgnevas kokkuvõttes.

  • Apple paikas kolm uut nullpäeva turvanõrkust

Apple avalikustas turvauuendused, et parandada kolm uut nullpäeva turvaviga. Turvavigu on tootja sõnul rünnakutes juba ära kasutatud. Haavatavused lubavad ründajatel käivitada pahaloomulist koodi ohvri seadmes, kui ohver külastab selleks otstarbeks loodud veebilehte, samuti on võimalik ühe nullpäeva turvanõrkuse abil haavatavas süsteemis õigusi suurendada. Konkreetsed nõrkused on parandatud operatsioonisüsteemides macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ja watchOS 9.6.3/10.0.1. Soovitame uuendused rakendada esimesel võimalusel (BP, Apple, Apple).

  • GitLab paikas kriitilise turvanõrkuse

GitLab paikas kriitilise turvavea (CVE-2023-4998), mis mõjutab tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versioone 13.12 kuni 16.2.7 ja 16.3 kuni 16.3.4. Turvaviga on hinnatud CVSS skooriga 9.6/10. Haavatavus on parandatud GitLab Community Edition ja Enterprise Edition versioonides 16.3.4 ning 16.2.7. Ettevõtte soovitab viivitamatult uuendada GitLabi tarkvara uuele versioonile (BC, Gitlab).

  • Fortinet paikas kõrge mõjuga turvavead oma toodetes

Turvanõrkus (CVE-2023-29183) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahaloomulist JavaScripti koodi käivitada. Turvaviga mõjutab FortiOSi versioone 6.2.x, 6.4.x, 7.0.x ja 7.2.x ning FortiProxy versioone 7.2.x ja 7.0.x. Teine kõrge mõjuga haavatavus (CVE-2023-34984) mõjutab FortiWebi versioone 6.3, 6.4, 7.0.x ja 7.2.x. Tarkvarade kasutajad peaksid esimesel võimalusel veenduma, et vastavad turvauuendused on rakendatud (SW, Fortinet, Fortinet).

  • Atlassian paikas neli turvanõrkust

Atlassian avalikustas turvauuendused neljale haavatavusele, mis mõjutavad kas Jira, Confluence’i, Bitbucketi või Bamboo tarkvara. Kõige tõsisemat haavatavust märgitakse tähisega CVE-2023-22513 (CVSS skoor 8.5/10.0) ja selle abil on autentitud ründajal võimalik käivitada haavatavas Bitbucketi süsteemis pahaloomulist koodi. Turvanõrkus on parandatud Bitbucketi versioonides 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 ja 8.14.0 (SW, Atlassian).

  • Tuhandeid Juniperi võrguseadmeid ohustab kriitiline turvanõrkus

Hinnanguliselt 12 000 Juniperi SRX-tulemüüri ja EX switchi on haavatavad koodi kaugkäivitamise vea suhtes, mida autentimata ründajad saavad ära kasutada. Vead tähistega CVE-2023-36845 ja CVE-2023-36846 avaldati juba augustis, kuid siis polnud teada, et nende koosmõjul tekib kriitiline haavatavus. Tootja soovitab kõigil mõjutatud Juniperi seadmete kasutajal uuendada tarkvara esimesel võimalusel, kuna haavatavuse kaudu võib saada ründaja ligipääsu ohvri võrgule. Täpsem loetelu mõjutatud seadmetest on lisatud linkidel (BC, Juniper).

Olulised turvanõrkused 2023. aasta 5. nädalal

Illustratsioon: Andres Varustin

QNAP palub uuendada NAS-seadmete tarkvara

QNAP avalikustas eelmisel nädalal uued versioonid QTSi ja QuTSi tarkvaradest, mis parandavad ühe kriitilise turvanõrkuse (CVE-2022-27596). Turvanõrkus mõjutab QNAPi NAS-seadmeid. Ründaja saab haavatavust ära kasutada, et paigaldada seadmetele pahavara. Sealjuures ei pea ründajal olema turvavea ärakasutamiseks süsteemis õiguseid ja selleks ei ole vaja ka kasutajapoolset tegevust (SA).

NAS-seadmed on ründajatele ajalooliselt palju huvi pakkunud ning eelkõige neile, kes korraldavad lunavararünnakuid. Näiteks mullu septembris kirjeldati, kuidas DeadBolti lunavaraga olid nakatunud tuhanded taolised seadmed (ArsTechnica). 

Kes ja mida peaks tegema?

Turvanõrkus mõjutab QNAPi seadmeid, mis kasutavad QTS 5.0.1 või QuTS hero h5.0.1 tarkvara. Haavatavus on parandatud tarkvarades:

  • QTS 5.0.1.2234 build 20221201 ja uuem
  • QuTS hero h5.0.1.2248 build 20221215 ja uuem

Atlassian parandas Jiral kriitilise turvanõrkuse

Eelmisel nädalal teatas Atlassian, et Jira Service Managementil on parandatud kriitiline turvanõrkus CVE-2023-22501 (9.4/10.0). Ründajal on võimalik turvanõrkuse abil teatud tingimustel saada teenusele ligipääs. Kui Jira Service Management on konfigureeritud nii, et väljaminevad kirjad on lubatud ja ründajal on ka kirjutamisõigused kasutaja kataloogi, saab ta kompromiteerida teised kasutajad, kellele on registreerimise jaoks mõeldud tokenid saadetud, kuid kes ei ole kunagi sisse loginud (Atlassian).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab Jira Service Management and Data Center versioone 5.3.0, 5.3.1, 5.3.2, 5.4.0, 5.4.1, 5.5.0.

Turvanõrkus on parandatud versioonides 5.3.3, 5.4.2, 5.5.1,5.6.0 ning uuemates versioonides.

Häkkeritel on võimalik segada teatud elektriautode laadijate tööd

Eelmisel nädalal avaldati raport, mis tõi välja, et ründajatel on võimalik teatud OCPP (Open Charge Point Protocol) standardi versiooni kasutavate elektriautode laadijate tööd segada või varastada andmeid. OCPP abil suhtlevad laadimispunktid keskhaldussüsteemidega ja seda protokolli kasutatakse maailmas laialdaselt (SF).

Analüüsi kohaselt on OCPP-l kaks nõrkust – esiteks tekivad probleemid siis, kui laadimispunkt peab tegelema rohkem kui ühe ühendusega korraga. Ründajad võivad seetõttu segada algset laadimispunkti ja keskhaldusüsteemi vahelist ühendust, avades veel ühe täiendava ühenduse. Uurimus leidis, et enamik turul olevaid keskhaldussüsteeme käituvad sellises olukorras kahel erineval viisil. Ühed lõpetavad esialgse ühenduse, mistõttu ei ole kliendil võimalik enam autot laadida, teised hakkavad kasutama pahaloomulist ühendust ja ei suhtle enam esialgse ühendusega (kuid ei katkesta seda) (SF).

Teise nõrkusena tõid analüüsi autorid välja puudused autentimises. Nimelt on vastavalt OCPP protokolli standardi 1.6J versioonile keskhaldussüsteemidel kolm võimalust, kuidas laadimispunkte identifitseerida – laadimispunkti ID järgi, ID ja kasutajatunnuste kaudu või ID ja sertifikaadi kaudu. Kui kasutatakse esimest meetodit (ainult laadimispunkti ID järgi), on ründajal võimalik ühendus üle võtta ja tegutseda näiliselt kompromiteeritud laadimispunkti nimel (SF).  

Analüüs leidis ka, et enamikel juhtudel tuvastavadki keskhaldussüsteemid laadimispunkte ainult ID-põhiselt. Sellest tulenevalt eksisteerib raporti autorite sõnul ka oht, et ründaja võib häirida jõuründe (brute-force) abil paljude keskhaldussüteemi kasutavate laadijate tööd, kui laadimispunktid loovad OCPP ühenduse keskhaldusüsteemiga ja laadimispunktide identifitseerimine toimub mingi kindla URLi parameetri kaudu (SF).

Pikemalt saab avastatud nõrkustest lugeda siit.