Tag Archives: küberturvalisus

Olulisemad turvanõrkused 2024. aasta 33. nädalal

Microsoft hoiatab OpenVPNi haavatavuste eest

Microsoft hoiatas Black Hati turvalisuse konverentsil kasutajaid nelja turvavea eest (CVE-2024-27459, CVE-2024-24974, CVE-2024-27903, CVE-2024-1305), mis võimaldavad läbi viia koodi kaugkäivitamise ründeid. Ehkki vigu tutvustati kui nullpäeva turvanõrkusi, siis teadaolevalt ei ole õnnestunud neid kuritarvitada. Microsofti sõnul nõuab nende vigade ärakasutamine nii autentimist kui ka väga head arusaamist OpenVPN-i sisemisest tööst.

Vead on parandatud OpenVPN versioonis 2.6.10 ja ettevõte kutsub kõiki kasutajaid tarkvara uuendama esimesel võimalusel (SW).

Microsoft paikas oma toodetes 89 haavatavust

Microsoft parandas oma toodetes kokku 89 haavatavust, mille hulgas oli ka üheksa nullpäeva turvanõrkust. Paigatud vigadest kaheksa mõju on hinnatud kriitiliseks ja ettevõtte sõnul on kuut nullpäeva turvanõrkust rünnetes ära kasutatud. Täpsema nimekirja parandustest leiab lisatud lingilt (BC, SW).

Kriitiline turvanõrkus Ivanti Virtual Traffic Manageri tarkvaras

Ivanti paikas Virtual Traffic Manageri (vTM) kriitilise turvavea tähisega CVE-2024-7593 (CVSS skoor 9.8/10), mis võimaldab autentimisest mööda minna ja saada administraatori õigused.

Viga mõjutab järgnevaid vTMi versioone:

  • 22.2 (turvapaigatud versioon on 22.2R1)
  • 22.3 (turvapaigatud versioon on 22.3R3)
  • 22.3R2 (turvapaigatud versioon on 22.3R3)
  • 22.5R1 (turvapaigatud versioon on 22.5R2)
  • 22.6R1 (turvapaigatud versioon on 22.6R2)
  • 22.7R1 (turvapaigatud versioon on 22.7R2)

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada. Kui see ei ole mingil põhjusel võimalik, siis ajutise lahendusena võib ka piirata klientide ligipääsu haldusliidesele või anda ligipääsu ainult usaldusväärsetele IP-aadressidele.

Hetkel teadaoleva info alusel ei ole viga veel õnnestunud ära kasutada, kuid sellele on juba avaldatud kontseptsiooni tõendus. Eelmise aasta detsembrist alates rünnati paljusid organisatsioone Ivanti VPNi seadmete ja nendes olevate turvaaukude kaudu (HN, BC).

Adobe paikas suure hulga turvanõrkusi

Adobe paikas oma toodetes kokku 72 turvaviga ja hoiatab, et turvanõrkuste ära kasutamine võib kaasa tuua koodi käivitamise, mälulekked ja teenuste tõkestamise nii Windowsi kui ka macOSi platvormidel. Näiteks paigati 12 haavatavust populaarses PDFi lugeris Adobe Acrobat and Reader.

Mitmeid vigu paigati ka teistes Adobe’i tarkvarades nagu Adobe Illustrator, Adobe Photoshop, Adobe InDesign, Adobe Commerce ja Dimension. Adobe hoiatab, et kõige tõsisem turvaviga võimaldab ründajatel saada täieliku kontrolli ohvri seadme üle.

Adobe’i sõnul pole haavatavusi rünnete läbiviimiseks veel kuritarvitatud (SW).

SAP paikas oma toodetes kaks kriitilist turvanõrkust

SAP paikas 17 uut turvaviga ning uuendas kaheksat vana turvauuendust. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk CVSS skooriga 9.0/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid BusinessObjects, Business Intelligence ja Build Apps. Esimene neist on tähistatud CVE-2024-41730 (CVSS skoor 9.8/10) ning selle kaudu võib ründaja saada sisselogimiseks vajalikud õigused ja seeläbi kompromiteerida kogu süsteemi. Teine kriitiline turvaviga tähisega CVE-2024-29415 (CVSS skoor 9.1/10) mõjutab Node.js teeki ja Build Apps tarkvara.

SAP on üks maailma suuremaid ERP (Enterprise resource planning) tarkvarade tootjaid ja nende tooteid kasutab oluline osa ettevõtetest ning asutustest. Seetõttu on SAPi tarkvarade haavatavused ka pidevalt küberkurjategijate vaatluse all ja varasemalt on nende toodete kaudu saadud ligipääs paljude organisatsioonide süsteemidele. Soovitame kõigil SAPi tarkvarade kasutajatel tarkvara uuendada (SW, BC, SAP).

Olulisemad turvanõrkused 2024. aasta 32. nädalal

Google paikas Androidi nullpäeva turvanõrkuse

Kokku paigati 46 haavatavust, mille hulgas oli ka koodi kaugkäivitamist võimaldav viga, mida on juba rünnetes ära kasutatud. Suurem osa paigatud haavatavustest on hinnatud suure mõjuga vigadeks. Lisaks paigati ka nullpäeva turvanõrkus tähisega CVE-2024-36971, mis on Linuxi kerneli haavatavus ja võimaldab muuta võrguühendusi. Google’i sõnul on näha, et nullpäeva turvaviga on proovitud rünnetes kuritarvitada. Sel kuul avaldas Google kaks Androidi turvauuenduste paketti: 2024-08-01 ja 2024-08-05. Turvapaigad avaldati ka Wear OSi operatsioonisüsteemile. Soovitame kõigil Androidi seadmete kasutajatel tarkvara uuendada (BC, SW).

Apache OfBiz tarkvaras paigati koodi kaugkäivitamise viga

Apache OfBiz on avatud lähtekoodiga ERP (Enterprise Resource Planning) tarkvara, milles paigati haavatavus tähisega CVE-2024-38856. Viga on hinnatud kriitilise CVSS skooriga 9.8/10 ja sellele on avaldatud ka kontseptsiooni tõendus, mistõttu võib eeldada et peagi hakatakse seda viga ära kasutama. Haavatavuse kaudu on võimalik autentimata ründajal suvalist koodi käivitada. Viga mõjutab kõiki tarkvara versioone kuni 18.12.14 ja kasutajatel soovitatakse uuendada tarkvara versioonile 18.12.15 või uuemale.

CISA hoiatas, et Apache OfBiz tarkvaras olevat maikuus avalikuks tulnud turvaviga tähisega Apache OfBiz CVE-2024-32113 on rünnetes kuritarvitatud. Viga mõjutab kõiki tarkvara versioone kuni 18.12.13. Tänu oma mitmekülgsusele ja kulutõhususele kasutatakse Apache OfBiz tarkvara paljudes tööstusharudes ja ettevõtetes (HN, BC).

Chrome’i ja Firefoxi veebilehitsejates paigati haavatavusi

Google avaldas Chrome’i versiooni 127.0.6533.99, Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Paigatud vigadest üks (CVE-2024-7532) on hinnatud kriitilise mõjuga ja ülejäänud viis suure mõjuga haavatavuseks.

Mozilla Firefoxi uues versioonis 129 on paigatud kokku 14 turvanõrkust, millest 11 on hinnatud suure mõjuga veaks. Mozilla avaldas turvapaigad ka tarkvaradele Thunderbird ja Firefox ESR. Soovitame kõigil Chrome’i ja Firefoxi kasutajatel teha turvauuendus. Kumbki ettevõte ei ole avaldanud infot turvavigade ärakasutamise kohta (SW).

Cisco hoiatab IP-telefonide kriitilisest turvaveast

Koodi kaugkäivitamist võimaldavad kriitilised nullpäeva turvanõrkused mõjutavad Cisco IP-telefone seeriatest SPA 300 ja SPA 500. Mõlemate seeriate tootmine on lõpetatud ja neile ei avaldada enam turvauuendusi.

Cisco on avalikustanud viis haavatavust, millest kolm on hinnatud kriitiliseks (CVSS skoor 9.8/10) ja kaks suure mõjuga (CVSS skoor 7.5/10) veaks. Kriitilised turvanõrkused on tähistega CVE-2024-20450, CVE-2024-20452 ja CVE-2024-20454. Suure mõjuga turvavead on tähistega CVE-2024-20451 ja CVE-2024-20453.

Nimetatud telefonide kasutajatel oleks soovitatav üle minna uuematele mudelitele, näiteks Cisco IP-telefoni mudelile 8841 või mõnele telefonile Cisco 6800 seeriast (BC).

Microsoft hoiatab Outlooki paikamata turvaveast

Microsoft avaldas nullpäeva turvanõrkuse tähisega CVE-2024-3820 (CVSS skoor 7.5/10), mille eduka ärakasutamise korral on võimalik saada ligipääs tundlikule infole. Kurjategija saadab e-kirja või sõnumi, millele on lisatud pahatahtlik link ja sellele vajutades käivitatakse kasutaja arvutis fail. Haavatavus mõjutab järgmisi Outlooki versioone: Microsoft Office 2016, Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise ja Microsoft Office 2019.

Veale peaks tulema parandus 13. augustil. Hetkel on Microsoft avaldanud leevendavad meetmed, mille leiab lisatud linkidelt (HN, Microsoft).

1Password paroolihalduris olevad kriitilised turvavead võimaldavad paroole varastada

Turvavead tähistega CVE-2024-42219 ja CVE-2024-42218 mõjutavad paroolihalduri 1Passwordi macOSi versiooni ning nende kaudu on võimalik saada ligipääs kasutaja paroolidele. Turvavead on paigatud tarkvara versioonides v8.10.36 ja  v8.10.38. Hetkel teadaolevalt ei ole kurjategijatel õnnestunud haavatavusi ära kasutada (HNS).

Olulisemad turvanõrkused 2024. aasta 29. nädalal

SolarWinds paikas kaheksa kriitilist turvanõrkust tarkvaras Access Right Manager (ARM)

SolarWinds paikas kaheksa kriitilist turvanõrkust oma Access Right Manageri (ARM) tarkvaras – neist kuus võimaldasid mõjutatud seadmetes koodi kaugkäitust (BC). Koodi kaugkäitust võimaldavad turvanõrkused (tähistega CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471, and CVE-2024-23470) olid kõik hinnatud 9.6/10 kriitilisuse skooriga ning nende abil võisid ründajad mõjutatud seadmetes koodi käivitada, ilma et neil selleks mingeid privileege vaja oleks.

Kaks paigatud turvanõrkust (tähistega CVE-2024-23475 ja CVE-2024-23472) võimaldasid kataloogihüpet, mis lubas autentimata kasutajatel konfidentsiaalsetele failidele ja kaustadele ligi saada ning neid ka kustutada.

Viimane paigatud turvanõrkus, tähisega CVE-2024-23465, võimaldas pahatahtjatel saada ligi domeeni administraatorile Active Directory’s.

Kriitiline Cisco turvanõrkus võimaldab ründajatel lisada SEG seadmetesse juurkasutajaid

Cisco paikas kriitilise turvanõrkuse (tähisega CVE-2024-20401), mis võimaldas ründajatel lisada uusi juurõigustega kasutajaid ning kokku jooksutada Security Email Gateway nutikuid, kasutades pahaloomulisi manuseid sisaldavaid e-kirju (BC).

Antud turvanõrkus tuleneb vigasest meilimanuste käsitlemisest, kui failianalüüs ja sisufiltrid on sisse lülitatud. Ründajad said seda ära kasutada ükskõik millise mõjutatud süsteemi failide väljavahetamiseks, mis omakorda võimaldas neil lisada uusi juurõigustega kasutajaid, teha koodi kaugkäitust või teostada permanentset ummistusrünnakut.  

Cisco SSM On-Premi haavatavus võimaldab kasutajate paroole muuta

Cisco paikas kriitilise turvanõrkuse, mis võimaldas ründajatel haavatavates Cisco Smart Software Manager On-Prem litsensiserverites kõikide kasutajate (kaasa arvatud administraatorite) paroole muuta (BC). See haavatavus mõjutab lisaks ka SSM On-Prem installatsioone enne 7.0 versiooni.

Antud haavatavus, tähisega CVE-2024-20419, tuleneb verifitseerimata paroolimuudatuse nõrkusest SSM On-Premi autentimissüsteemis. Ründajad saavad haavatavust ära kasutada, saates spetsiaalseid HTTP-päringuid mõjutatud seadmetesse. Nõrkuse ärakasutamise korral on võimalik määrata mõjutatud süsteemi kasutajatele uusi paroole ilma originaalmandaate teadmata.