Tag Archives: Juniper

Olulisemad turvanõrkused 2024. aasta 16. nädalal

Laialdaselt kasutusel olevas SSH-kliendis PuTTY leiti kriitiline turvaviga

PuTTY ja Telneti tarkvarade pakkujad hoiatavad kasutajaid kriitilise haavatavuse eest, mis mõjutab versioone 0.68 kuni 0.80 ning mida saab ära kasutada NIST P-521 privaatvõtmete täielikuks taastamiseks. PuTTY on avatud lähtekoodiga tarkvara, mida kasutavad süsteemiadministraatorid serverite ja muude võrguseadmete kaughaldamiseks. Turvaviga tähisega CVE-2024-31497 võimaldab eduka ründe korral saada ligipääsu ohvri serveritele.

Lisaks PuTTY-le mõjutab turvaviga ka teisi tarkvarasid:

  • FileZilla (versioonid 3.24.1 – 3.66.5)
  • WinSCP (versioonid 5.9.5 – 6.3.2)
  • TortoiseGit (versioonid 2.4.0.2 – 2.15.0)
  • TortoiseSVN (versioonid 1.10.0 – 1.14.6)

Viga on parandatud tarkvarades PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ja TortoiseGit 2.15.0.1. TortoiseSVN kasutajatele on hetkel kättesaadaval ajutine lahendus. Turvaviga CVE-2024-31497 mõjutab tõenäoliselt rohkem tarkvarasid, mis kasutavad ohus olevat PuTTY versiooni. Seetõttu soovitatakse kasutajatel oma tarkvarad üle kontrollida ja vajadusel ennetavad meetmed kasutusele võtta (HN, BC).

Juniper Networks paikas mitmeid turvavigasid

Juniper Networks paikas sadakond turvaviga, mis mõjutavad operatsioonisüsteeme Junos OS ja Junos OS Evolved ning teisi ettevõtte tooteid. Juniper Networksi klientidel on soovitatav oma seadmete tarkvara esimesel võimalusel uuendada, kuna kõige suurema mõjuga haavatavuste jaoks ei ole leevendavaid meetmeid saadaval. Rohkem infot parandatud vigade kohta leiab Juniper Networksi kodulehelt (SW, Juniper).

Ivanti hoiatab kriitiliste haavatavuste eest Avalanche’i tarkvaras

Ivanti on välja andnud turvauuendused, et parandada 27 haavatavust Avalanche’i mobiilseadmete kaughalduse (MDM) lahenduses. Avalanche’i kasutatakse, et keskelt hallata nutiseadmeid ja nende tarkvarauuendusi. Paigatud vigadest kaks (CVE-2024-24996 ja CVE-2024-29204) on hinnatud kriitilise mõjuga nõrkusteks, mis võimaldavad käske kaugkäivitada.

Hetkel teadaolevalt ei ole haavatavusi õnnestunud kuritarvitada ja kõigil kasutajatel soovitatakse uuendada tarkvara versioonile Avalanche 6.4.3. Ivanti tarkvaras olevaid haavatavusi on varem tihti kasutatud ründevahenditena. Näiteks õnnestus möödunud suvel saada häkkeritel ligipääs Norra valitsusasutuste IT-süsteemidele just Ivanti haavatavuste kaudu. Mobiilseadmete haldussüsteemid on kurjategijate jaoks atraktiivsed sihtmärgid, kuna nende kaudu on võimalik saada korraga ligipääs tuhandetele seadmetele. Tihti kasutavad just riigiasutused taolisi mobiilseadmete haldamise vahendeid (BC).

Chrome’i ja Firefoxi veebilehitsejates paigati suure mõjuga turvavigu

Google avaldas Chrome’i versiooni 124 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 22 haavatavust. Mozilla avaldas Firefoxi versiooni 125, kus on paigatud 15 turvaviga, nende hulgas ka üheksa suure mõjuga haavatavust. Lisaks avaldati ka Firefox ESR 115.10, kus on samuti parandatud üheksa turvaviga. Soovitame nii Google Chrome’i kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Oracle paikas enam kui 400 turvaviga

Parandatud turvanõrkuste hulgas oli üle 30 kriitilise haavatavuse. Kokku paigati üle 200 turvavea, mida on võimalik kuritarvitada kaugteel ja ilma autentimata. Turvavead mõjutavad mitmeid erinevaid Oracle tooteid, näiteks Oracle Communications, Fusion Middleware, Financial Services Applications, E-Business Suite ja MySQL. Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ja Oracle soovitab kõigil kasutajatel tarkvara uuendada. Ettevõtte sõnul on teada juhtumeid, kus on õnnestunud paikamata tarkvara kaudu nende kliente rünnata (SW, Oracle).

Kiibitootja Nexperia kinnitas küberrünnaku toimumist

Hollandi kiibitootja Nexperia kinnitas, et häkkeritel õnnestus nende võrgule ligipääs saada. Ettevõte avaldas pressiteate, milles andis teada, et nad olid sunnitud oma IT-süsteemid välja lülitama ning algatama täpsemate asjaolude uurimise. 

10. aprillil teatas lunavararühmitus veebilehel Dunghill Leak, et neil on õnnestunud varastada 1 TB mahus Nexperia konfidentsiaalseid andmeid ja lisaks lekitati ka näidiseid varastatud andmetest. Ründajad avaldasid näiteks pilte elektroonikakomponentidest, töötajate passidest ja erinevatest lepingutest. Ettevõtet ähvardati suuremahulise andmelekkega, kui nad ei maksa soovitud lunaraha (BC, Nexperia).

300 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kriitiline turvanõrkus CVE-2024-28890 (CVSS skoor 9.8/10) mõjutab pistikprogrammi Forminator ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi faile üles laadida. Lisaks nimetatud haavatavusele paigati veel kaks turvaviga.

Pistikprogrammi kasutab umbes 500 000 WordPressi veebilehte ja hetkel on ligikaudu kolmandik neist jõudnud tarkvara uuendada. Viga on parandatud tarkvara versioonis 1.29.3. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada. Hetkel teadaolevalt ei ole veel õnnestunud turvaviga kuritarvitada (BC).

Olulisemad turvanõrkused 2024. aasta 2. nädalal

Ivanti Connecti VPN-tarkvaras avastati kaks kriitilist turvaviga

Laialdaselt kasutatavas VPN-tarkvaras Ivanti Connect Secure on tuvastatud kaks kriitilist nullpäeva turvaauku (CVE-2023-46805, CVE-2024-21887), mida ründajad on aktiivselt ära kasutanud. Turvavead mõjutavad VPNi versioone 9.x ja 22.x ja võivad lubada volitamata isikutel juurdepääsu tundlikule teabele või potentsiaalselt ohustada võrkude turvalisust, mis seda tarkvara kasutavad. Nõrkused teeb lisaks murettekitavaks asjaolu, et nende kuritarvitamiseks ei ole vaja ründajal end autentida. Ettevõte lubas turvaparandused avalikustada esimesel võimalusel. Seni on tarkvara kasutajatel võimalik end kaitsta, järgides ettevõtte soovitusi siin. Kui turvaparandus on saadaval, tuleks see samuti kohe rakendada (Ivanti, SA).

Uue turvanõrkuse abil võivad ründajad GitLabi kontod lihtsalt üle võtta

GitLabi kriitiline haavatavus võimaldab parooli lähtestamise funktsiooni vea tõttu platvormi kasutajakontosid kompromiteerida. Turvanõrkus mõjutab nii GitLab Community Editionit (CE) kui ka Enterprise Editionit (EE). Haavatavus, mida tähistatakse kui CVE-2023-7028, tekkis GitLabi versioonis 16.1.0. See lubab ründajal saata volitamata parooli lähtestamise e-kirju kinnitamata e-posti aadressidele. Viga on parandatud versioonides 16.5.6, 16.6.4 ja 16.7.2, 16.1.6, 16.2.9, 16.3.7 ja 16.4.5. GitLab soovitab täiendava turvameetmena rakendada kahefaktorilist autentimist (2FA). Need, kel on 2FA rakendatud, ei ole haavatavad selle turvanõrkuse vastu, samas on võimalik nende kontode paroole siiski lähtestada. Ettevõte on avalikustanud ka juhised, kuidas logidest võimalikku turvanõrkuse ärakasutamist kontrollida. Infot selle kohta leiate viidatud lingilt. Kasutajatel soovitatakse oma GitLabi lahendused viivitamatult värskendada, et kaitsta end võimalike küberrünnakute eest (SCM).

Juniperi võrguseadmetel paigati kriitiline turvanõrkus

Juniper Networks on parandanud oma tulemüürides ja switch’ides kriitilise koodi kaugkäivitamise (RCE) haavatavuse (CVE-2024-21591). Autentimata ründaja võib turvavea abil saada mõjutatud seadmes juurõigused või teostada seadme vastu teenusetõkestusründe. Turvanõrkus mõjutab paljusid Juniperi võrgutooteid (täpsem nimekiri viidatud linkidelt), ohustades seega mitmete organisatsioonide võrgutaristut. Ettevõte ei ole siiski teadlik, et antud nõrkust oleks suudetud ära kasutada. Juniper Networksi tulemüüride ja switch’ide kasutajatel soovitatakse värskendada seadmete püsivara uusimale versioonile, et haavatavus parandada ja kaitsta oma võrke võimaliku turvanõrkuse ärakasutamise eest (SA). Kui uuendamine ei ole võimalik, on ettevõte avalikustanud ka mõned alternatiivsed kaitsemeetmed, mille kohta saab lugeda täpsemalt siit.

Microsoft parandas jaanuari uuendustega 49 turvaviga

Microsofti parandas igakuiste uuenduste programmi raames 49 turvaauku, sealhulgas 12 koodi kaugkäivitamise (RCE) viga. Kaks neist kaheteistkümnest haavatavustest klassifitseeriti kriitiliseks ja mõjutavad Windows Kerberose turvafunktsioone ning Hyper-V virtualiseerimistarkvara. Lisaks parandati märkimisväärne Office’i tarkvara mõjutav koodi kaugkäivitamise haavatavus (CVE-2024-20677). Turvavärskendused on Windowsi süsteemide turvalisuse ja terviklikkuse säilitamiseks üliolulised ning need tuleks kiiresti rakendada (BC).

Cisco Unity Connectioni viga võimaldab ründajal saada juurkasutaja õigused

Cisco paikas Unity Connectioni tarkvaral kriitilise turvavea, mis võimaldab autentimata ründajal saada juurkasutaja õigused. Unity Connection lahendust kasutavad veebilehitsejad, e-postkastid ning mitmed Cisco seadmed. Eduka ründe korral on võimalik salvestada ohvri seadmesse pahaloomulisi faile ja käivitada operatsioonisüsteemis erinevaid käske. Cisco soovitab kõigil oma toodete kasutajatel teha tarkvarauuendus (BC).

Olulisemad turvanõrkused 2023. aasta 41. nädalal

  • Uus “HTTP/2 Rapid Reset” nullpäeva turvanõrkus võimaldab läbi viia suuremahulisi DDoS-ründeid

Eelmisel  nädalal avalikustati uus teenusetõkestusrünnete läbiviimise meetod, mida nimetatakse “HTTP/2 Rapid Reset”. Rünnetes kasutatakse ära HTTP/2 protokolli haavatavust, mille kaudu on võimalik teha väga suure mahuga hajusaid teenusetõkestusründeid. Meetodit on juba augustikuust alates kasutatud DDoS-rünnete läbiviimiseks ja Clouflare’il on õnnestunud leevendada juba enam kui tuhandet “HTTP/2 Rapid Reset” DDoS-rünnet.

Cloudflare’i sõnul on uue tehnikaga läbiviidud ründed kolm korda suurema võimsusega kui oli möödunud aasta rekord. Kui varasemalt oli rekordiline rünne 71 miljonit päringut sekundis, siis nüüd viiakse läbi ründeid mahuga 200 miljonit päringut sekundis. Google’i sõnul on nemad tegelenud ka ründega, mille maht oli ligi 400 miljonit päringut sekundis.

Nii Amazon Web Services, Cloudflare kui ka Google on kasutusele võtnud meetodid, mis aitavad ründeid leevendada (BC, Cloudflare, Google).

  • Microsoft paikas oma toodetes 104 viga

Microsoft parandas kokku 104 haavatavust, nende hulgas oli kolm nullpäeva turvanõrkust, mida on rünnetes ära kasutatud. Parandatud vigadest võimaldavad koodi kaugkäivitada 45 haavatavust ja 12 neist on hinnatud kriitilise mõjuga veaks.

Parandatud nullpäeva turvanõrkustest esimene (CVE-2023-41763) mõjutab Skype for Business tarkvara ja selle kaudu on võimalik saada kõrgemad õigused. Teine haavatavus (CVE-2023-36563) on Microsofti Wordpad tarkvaras ja see võimaldab ründajal saada ligipääsu ohvri süsteemile.  Kolmas nullpäeva turvanõrkus (CVE-2023-44487) on seotud eelmises lõigus kirjeldatud „HTTP/2 Rapid Reset“ haavatavusega.

Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Google Chrome’i uues versioonis on parandatud 20 turvanõrkust

Google avaldas Chrome’i versiooni 118.0.5993.70 Windows, Mac ja Linux seadmetele. Parandatud turvanõrkuste seas on üks kriitilise ja kaheksa keskmise mõjuga haavatavust. Hetkel teadaolevalt ei ole haavatavusi rünnete läbiviimisel ära kasutatud. Soovitame uuendada Google Chrome’i esimesel võimalusel (SW, Chrome).

  • Juniper paikas rohkem kui 30 turvaviga operatsioonisüsteemis Junos OS

Juniper Networks paikas üle 30 turvavea, mis mõjutavad Junos OS ja Junos OS Evolved operatsioonisüsteeme. Nende hulgas oli ka üheksa kõrge mõjuga haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-44194, mille kaudu võib autentimata ründaja saada juurkasutaja õigustega ligipääsu. Vead on paigatud Junos OS ja Junos OS Evolved versioonides 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4, 23.1, 23.2 ja 23.3.

Ettevõtte sõnul ei ole teada, et parandatud haavatavusi oleks rünnetes ära kasutatud. Arvestades seda, kui tihti proovitakse võrguseadmete turvanõrkusi rünnete läbiviimisel kuritarvitada, soovitab tootja uuendada tarkvara esimesel võimalusel (SW).

  • Adobe paikas turvavead Adobe Commerce, Magento Open Source ja Photoshop tarkvarades

Adobe paikas kokku 13 haavatavust, mis mõjutavad tarkvarasid Adobe Commerce, Magento Open Source ja Adobe Photoshop. Eduka ründe korral on võimalik õigustega manipuleerida, turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada.

Turvavead mõjutavad Adobe Commerce ja Magento Open Source versioone 2.4.7-beta1 ja vanemaid. Lisaks paigati ka vead Adobe Photoshop 2022 ja Photoshop 2023 tarkvarades. Täpsem nimekiri mõjutatud tarkvarade versioonidest on lisatud linkidel.

Kuna Adobe toodete turvanõrkused on tihti rünnakute sihtmärgiks, siis soovitab tootja kõigil kasutajatel nimetatud tarkvara uuendada (SW, Adobe, Adobe).

  • D-Linki WiFi signaalivõimendi on haavatav koodi kaugkäivitamisele

Populaarne WiFi signaalivõimendi D-Link DAP-X1860 WiFi 6 on haavatav turvanõrkusele CVE-2023-45208, mis võib kaasa tuua teenuse tõkestamise ja pahatahtliku koodi kaugkäivitamise. Hetkel ei ole veale parandust ja D-Link DAP-X1860 seadme kasutajatel soovitatakse piirata käsitsi võrguskaneerimise lubamist ning lülitada seade välja, kui seda parajasti ei kasuta (BC).