Tag Archives: küberturvalisus

Olulisemad turvanõrkused 2024. aasta 12. nädalal

Atlassian paikas oma toodetes mitmeid turvavigu

Atlassian parandas kümneid haavatavusi, mis mõjutavad ettevõtte erinevaid tooteid, nagu Bamboo, Bitbucket, Confluence ja Jira.

Kõige tõsisema mõjuga neist on kriitiline turvaviga tähisega CVE-2024-1597, mis võimaldab ründajal käivitada pahaloomulisi SQL-käske Bamboo Data Centeri and Serveri tarkvaras.

Haavatavus on hinnatud maksimaalse CVSS skooriga 10.0/10. See mõjutab Bamboo Data Centeri and Serveri versioone 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 ja 9.5.0. Viga on paigatud sama tarkvara versioonides 9.6.0 (LTS), 9.5.2, 9.4.4 ja 9.2.12 (LTS).

Lisaks paigati veel mitmeid turvavigu teistes tarkvarades. Näiteks parandati 20 kõrge mõjuga haavatavust JIRA tarkvaras, mida kasutavad paljud asutused ja ettevõtted ka Eestis. Täpse nimekirja turvavigadest ja paigatud versioonidest leiab siit. Ettevõte soovitab kõigil kasutajatel Atlassiani tarkvarad uuendada viimasele versioonile (SA, SW).

WordPressi pistikprogrammi kriitiline haavatavus võimaldab veebilehe ülevõtmist

Kriitiline turvanõrkus (CVE-2024-2172) mõjutab miniOrange’i pistikprogramme Malware Scanner ja Web Application Firewall. Haavatavus on hinnatud kriitilise CVSS skooriga 9.8/10 ning WordPressi veebilehtede administraatoritel soovitatakse need plugin’ad ära kustutada. Arendaja on mõlema pistikprogammi allalaadimise peatanud ning neid ei hakata tulevikus enam kasutajatele pakkuma.

Haavatavuste kaudu on võimalik autentimata ründajal hankida administraatoriõigused ja seejärel veebileht üle võtta. Administraatorina on võimalik lisada veebilehele erinevaid pahaloomulisi faile, muuta seal olevaid postitusi ja suunata kasutaja mõnele teisele veebilehele. Neid pistikprogramme kasutab umbes 10 000 WordPressi veebilehte (HN, SA).

Enam kui 133 000 Fortineti seadet on ohus kuu aja eest paigatud turvanõrkuse tõttu

Turvanõrkus tähisega CVE-2024-21762 mõjutab Fortineti FortiOSi ja FortiProxy tarkvarasid ning vea kuritarvitamiseks on avaldatud mitmeid kontseptsiooni tõendusi. Tegemist on haavatavusega, mis võimaldab autentimata ründajal koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.6/10. Turvaviga on parandatud juba kuu aega tagasi, kuid Shadowserveri monitooringu andmeil on endiselt ligi 133 000 paikamata seadet.

Varasemalt on Fortineti seadmete haavatavused olnud mitmete häkkerirühmituste sihtmärgiks, samuti on need jõudnud kõige sagedamini ärakasutatud haavatavuste loenditesse.

Lisaks tuli eelmisel nädalal ka info teisest Fortineti turvaveast, mida on õnnestunud rünnete läbiviimisel kuritarvitada. Turvaviga tähisega CVE-2023-48788 mõjutab Fortineti FortiClient Enterprise Management Serveri (EMS) tarkvara ning kuna selle vea kohta avaldati samuti kontseptsiooni tõendus, siis hakati seda ka üsna pea ära kasutama (TR, SA).

TeamCity turvanõrkused on ründajate sihtmärgiks

Eelmisel nädalal kirjutasime blogis samal teemal, kuid nüüdseks on selgunud, et TeamCity haavatavuste kaudu viiakse läbi veelgi enam erinevaid ründeid. Hiljuti avalikuks tulnud turvavead TeamCity tarkvaras on sattunud küberrühmituste sihtmärgiks – nende kaudu viiakse läbi lunavararündeid (BianLian ja Jasmin), seatakse üles krüptokaevureid (XMRig) ja hangitakse kaugligipääs ohvri seadmetele (Spark RAT).  

Rünnete läbiviimisel kasutatakse haavatavust tähisega CVE-2024-27198, mis on parandatud TeamCity versioonis 2023.11.4. Kuna veale on internetis avaldatud kontseptsiooni tõendus (proof of concept) ja rünnete katsed aina sagenevad, siis on eriti oluline tarkvara uuendada (HN, SA, TM).

Fujitsu avastas oma IT-süsteemidest pahavara

Jaapani tehnikatootja Fujitsu avastas, et mitmed nende IT-süsteemid on pahavaraga nakatunud ja ühtlasi on varastatud klientide andmeid.  Fujitsu on maailmas suuruselt kuues IT-teenuste pakkuja, kus töötab 124 000 inimest ja firma aastakäive on 23,9 miljardit dollarit. Nende toodete hulka kuuluvad nii erinev arvutitehnika kui ka teenused, näiteks: serverid ja salvestussüsteemid, tarkvara, telekommunikatsiooniseadmed, pilvelahendus ja IT-nõustamisteenuseid.

Eelmisel nädalal avalikuks tulnud küberintsident mõjutab nii ettevõtte sisemisi süsteeme kui ka klientide andmeid. Pahavara avastati mitmes arvutis ja samuti on tõendeid selle kohta, et nende klientide tundlikke andmeid on alla laetud. Kohe, kui intsidendist teada saadi, eemaldati nakatunud arvutid võrgust ja hakati uurima, kuidas pahavara süsteemi pääses.

See ei ole paraku esimene kord, kui Fujitsu süsteemidesse häkiti. 2021. aasta mais kasutati Fujitsu ProjectWEB tarkavara ja tungiti selle kaudu mitme Jaapani valitsusasutuse infosüsteemidesse. Ründe käigus saadi ligipääs 76 000 meiliaadressile ja tundlikule infole. Varastatud andmed hõlmasid tundlikku teavet valitsussüsteemide ja Narita rahvusvahelise lennujaama lennujuhtimisandmete kohta (BC).

Pahavarakampaania mõjutab 39 000 WordPressi veebilehte

Pahavarakampaania nimega Sign1 on viimase kuue kuu jooksul nakatanud üle 39 000 WordPressi veebilehe, põhjustades külastajatele soovimatuid ümbersuunamisi ja hüpikaknaid. Kampaania käigus lisati pahavara nii HTMLi elementidesse kui ka pistikprogrammidesse. Ligipääs WordPressi veebilehele saadi kas jõuründe või pistikprogrammide haavatavuste ärakasutamise abil.

Oma veebilehe kaitsmiseks tuleks kasutada tugevat administraatoriparooli ja regulaarselt uuendada pistikprogrammid kõige uuemale versioonile. Samuti võiks eemaldada kõik üleliigsed lisamoodulid (add-ons), mida ei kasutata ja mille kaudu võivad ründed toimuda (BC).

Olulisemad turvanõrkused 2024. aasta 10. nädalal

Apple paikas kaks uut nullpäeva turvanõrkust

Apple avaldas turvauuenduse, millega paigatakse kaks iOS tarkvara nullpäeva turvanõrkust, mida on juba rünnete läbiviimisel kuritarvitatud. Turvanõrkused (CVE-2024-23225 ja CVE-2024-23296) võimaldavad ründajal turvaseadistusest mööda minna.

Turvavead mõjutavad järgmisi Apple’i seadmeid:

  • iPhone XS ja uuemad, iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch ja iPad Pro 12.9-inch 1st generation
  • iPad Pro 12.9-inch 2nd generation ja uuemad, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation ja uuemad, iPad Air 3rd generation ja uuemad, iPad 6th generation ja uuemad ning iPad mini 5th generation ja uuemad.

Vead on parandatud tarkvarades iOS 17.4, iPadOS 17.4, iOS 16.76 ja iPad 16.7.6 ning kõigil kasutajatel soovitatakse tarkvara uuendada niipea kui võimalik. Sel aastal on Apple paiganud kolm nullpäeva turvanõrkust. Apple’i turvanõrkusi on varasemalt kasutatud sihitud rünnete läbiviimiseks ja seetõttu on seadmete tarkvara oluline uuendada (BC, Apple).

Androidi tarkvarauuendus parandab kriitilise koodi kaugkäituse vea

Androidi nutiseadmetes paigati 38 turvaviga, nende hulgas oli kaks kriitilist haavatavust tähistega CVE-2024-0039 ja CVE-2024-23717, mis võivad kaasa tuua pahaloomulise koodi kaugkäivitamise ja õigustega manipuleerimise. Kriitilised turvavead mõjutavad Androidi versioone 12, 12L, 13 ja 14.

Lisaks paigati veel 50 haavatavust Pixeli nutiseadmetes – nende hulgas oli ka 16 kriitilist viga. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada, kuid soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Hikvision paikas kõrge mõjuga turvanõrkuse oma tarkvaras

Hiina videovalveseadmete tootja Hikvision teatas, et on paiganud kaks turvaviga tarkvaras HikCentral Professional. Nimetatud tarkvara kasutatakse erinevate turvasüsteemide haldamiseks. Nendest on suurema mõjuga turvaviga tähisega CVE-2024-25063, mille kaudu võib ründaja saada volitamata juurdepääsu teatud veebiaadressidele. Viga mõjutab HikCentral Professionali versiooni 2.5.1 ja vanemaid.

Hikvision soovitab kõigil oma klientidel tarkvara värskendada, kuna varasemalt on nende toodete turvaauke pahatahtlike rünnakute käigus ära kasutatud (SW).

Kriitilised TeamCity turvanõrkused ohustavad tarkvara tarneahelat

TeamCity näol on tegemist ettevõtte tarkvaraarenduse platvormiga, mida kasutab enam kui 30 000 organisatsiooni üle maailma. TeamCity kliendid on näiteks Citibank, Nike ja Ferrari. Haavatavused tähistega CVE-2024-27198 ja CVE-2024-27199 võimaldavad ründajal

autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Vead on paigatud TeamCity versioonis 2023.11.4 ja tootja kutsub üles kõiki kasutajaid tarkvara uuendama. Kui seda ei ole võimalik teha, siis tuleks ajutiselt peatada serveri ligipääs internetile.

Kurjategijad on asunud kiirelt nimetatud haavatavusi kuritarvitama. Internetile avatud serveritesse on loodud sadu uusi kasutajaid ja LeakIX andmete põhjal on kompromiteeritud juba 1400 seadet. CISA on lisanud turvavea CVE-2024-27198 ärakasutatud turvanõrkuste kataloogi.

2023. aasta lõpus teavitasid mitmed riigid, et kremlimeelne rühmitus APT29 kasutab sarnast TeamCity haavatavust rünnete läbiviimisel ja see võib kaasa tuua tarneahelaründeid.  (DR, HNS, TeamCity, BC).

Kriitiline Fortineti turvaviga võib mõjutada 150 000 internetile avatud seadet

Turvanõrkus tähisega CVE-2024-21762 mõjutab Fortineti FortiOSi ja FortiProxy tarkvarasid. Tegemist on haavatavusega, mis võimaldab autentimata ründajal koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.6/10. Turvaviga on parandatud veebruaris, kuid sel nädalal teatasid Shadowserveri teadurid, et endiselt on paikamata ligi 150 000 seadet (BC, SA).

Cisco paikas VPNi seadmeid mõjutavad turvavead

Ettevõte parandas kaks kõrge mõjuga haavatavust Cisco Secure Clienti tarkvaras. Turvaviga tähisega CVE-2024-20337 võimaldab autentimata ründajal varastada kasutaja identsustõendi (token) ja luua seejärel kasutaja õigustega VPNi ühenduse. Viga on paigatud Secure Clienti versioonides 4.10.08025 ja 5.1.2.42. Hetkel teadaolevalt ei ole veel haavatavusi õnnestunud ära kasutada (SW, HNS).

Häkkerid ründavad WordPressi veebilehti pistikprogrammi vea kaudu

Rünnetes kasutatakse ära juba eelmisel aastal paigatud turvaviga Popup Builderi pistikprogrammis. Turvaviga kannab tähist CVE-2023-6000 ning see mõjutab pistikprogrammi versiooni 4.2.3 ja vanemaid. Hetkel on juba enam kui 3300 WordPressi veebilehele lisatud pahaloomulist koodi.

Popup Builderi kasutajatel tuleks uuendada pistikprogramm versioonile 4.2.7. WordPressi statistika alusel on enam kui 80 000 kasutajat, kes ei ole nimetatud pluginat uuendanud ja on seetõttu potentsiaalsed ründe sihtmärgid.

Kõigil WordPressi veebilehtede haldajatel tuleks regulaarselt pluginaid uuendada, kuna nende kaudu viiakse tihti ründeid läbi (BC).

Olulisemad turvanõrkused 2024. aasta 9. nädalal

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on üle viie miljoni veebilehe ohus

Turvanõrkus tähisega CVE-2023-40000 mõjutab pistikprogrammiLitespeed Cacheja selle kaudu on võimalik autentimata ründajal saada kõrgemad õigused ning ligipääs tundlikule

infole. Pistikprogrammi on alla laetud enam kui viis miljonit korda ehk tegemist on väga laialdaselt kasutusel oleva tarkvaraga. Litespeed Cache abil on võimalik veebilehe jõudlust parandada. Turvanõrkus on paigatud juba eelmise aasta oktoobris tarkvara versioonis 5.7.0.1 ja kõigil kasutajatel tuleks uuendada pistikprogramm kõige uuemale versioonile. Hetkel on selleks 6.1.

Turvanõrkuse täpsema kirjelduse leiab Patchstacki postitusest (HN, SA).

Populaarses WordPressi pistikprogrammis avastati kriitiline turvaviga

Eelmisel nädalal avaldati ka teine suure mõjuga WordPressi turvaviga. Üle 200 000 WordPressi veebilehe on mõjutatud Ultimate Memberi pistikprogrammis olevast haavatavusest, mille kaudu võib autentimata ründaja käivitada SQL-päringuid ja saada ligipääsu andmebaasile. See on plugin, mis võimaldab WordPressi administraatoril hallata kasutajate registreeringuid, sisselogimisi, profiile ja rolle.

Viga tähistatakse CVE-2024-1071 ja seda on hinnatud kriitilise CVSS skooriga 9.8/10. Haavatavus mõjutab kõiki pistikprogrammi versioone kuni 2.8.3, kus turvaviga on paigatud. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada. Defianti andmeil on vähemalt ühel korral proovitud haavatavust ka ära kasutada (SW).

Zyxel paikas mitu turvanõrkust oma tulemüüri seadmetes

Ettevõte paikas neli turvanõrkust, mis võimaldavad ründajal koodi kaugkäivitada ja teenuseid tõkestada. Zyxel parandas turvavead tähistega CVE-2023-6397, CVE-2023-6398, CVE-2023-6399 ja CVE-2023-6764. Haavatavused mõjutavad Zyxeli tulemüüriseadmeid ATP, USG FLEX, USG FLEX 50(W)/USG20(W)-VPN ja USG FLEX H. Turvavead on paigatud ja tootja soovitab kõigil kasutajatel teha tarkvarauuenduse esimesel võimalusel (SW, Zyxel).

Sel aastal on oodata turvanõrkuste kasvu

Coalitioni aruanne näitab, et 2024. aastal on kasvab avaldatud turvanõrkuste arv neljandiku võrra. Eeldatavalt avalikustatakse sel aastal ligi 35 000 erinevat CVE tähisega turvanõrkust ehk igal kuul võime oodata 2900 uut haavatavust. Kuna erinevate turvavigade kuritarvitamine on üks enamlevinud ründevektoritest, siis võib haavatavuste arvu tõus suurendada ka rünnete arvu.

Lisaks tuli aruandes välja ka see, et unikaalsete IP-aadressite poolt läbiviidud avatud kaugtöölauaprotokolli (RDP) skaneerimised on kasvanud 59% võrra.

Paljud lunavararünded viiakse läbi just internetile avatud kaugtöölauaühenduse kaudu.  (HNS)

Teadur avastas kriitilise turvanõrkuse Facebookis

Kriitilise turvanõrkuse kaudu oli potsentsiaalselt võimalik üle võtta ükskõik milline Facebooki konto. Viga avaldus parooli lähtestamise ajal, kui kasutaja valis parooli taastamiseks “Send Code via Facebook Notification” ehk uue koodi saatmise Facebooki teavituse kaudu. Teadur teavitas veast selle aasta 30. jaanuaril ning turvaviga paigati juba 2. veebruaril. Meta sõnul oli tegemist väga suure mõjuga turvaveaga, mille abil oleks saanud ilma kasutajapoolse tegevuseta kontosid kompromiteerida (SA).

Eksperdid hoiatavad Androidi vastu suunatud rünnete tõusu eest

Kaspersky avalikustas oma iga-aastase nutiseadmete ohtude analüüsi, mille kohaselt 2023. aastal suurenes mobiilseadmete vastu suunatud rünnete arv võrreldes eelmise aastaga 52%. Raporti alusel viidi eelmisel aastal läbi 33.8 miljonit rünnet mobiilseadmete vastu. Kõige enam kasutati rünnete läbviimisel pahaloomulist reklaamvara.

Kaspersky sõnul kasutavad küberkurjategijad pahavara levitamiseks erinevaid taktikaid – kasutatakse nii ametlikke kui ka võltsitud rakenduste poode. Näiteks laeti Google Play poodi üles pahatahtlikke rakendusi ja lisaks tuvastati WhatsAppi ning Telegrami võltsinguid, mille eesmärgiks oli kasutajate andmete varastamine.

Kaspersky tõi ka välja mitmeid soovitusi, kuidas on võimalik ohtusid ennetada:

  • rakendusi tuleks alla laadida ainult ametlike tootjate poodidest ja veebilehtedelt
  • rakendada turvasätteid ja kasutada usaldusväärseid turvalahendusi
  • uuenda regulaarselt nii operatsioonisüsteemi tarkvara kui ka erinevaid rakendusi (ISM, SL).