Tag Archives: küberturvalisus

Olulisemad turvanõrkused 2024. aasta 22. nädalal

TP-Link parandas kriitilise vea populaarses ruuteris C5400X

TP-Link paikas turvavea, mida on hinnatud maksimaalse CVSS-skooriga (10.0/10) ning mis võimaldab autentimata ründajal kaugelt koodi käivitada. Pahaloomuliste käskude käivitamine võib kaasa tuua ruuterite ülevõtmise, andmete pealtkuulamise, DNSi sätete muutmise ja ligipääsu võrgule.

Turvaviga tähisega CVE-2024-5035 mõjutab mängurite seas populaarset TP-Linki ruuterit Archer C5400X ja selle tarkvara versioone kuni 1.1.1.6. Haavatavus on paigatud ruuteri tarkvara versioonis 1_1.1.7 (HN, BC).

Cisco paikas Firepower Management Centeris (FMC) kõrge mõjuga haavatavuse

Cisco parandas Firepower Management Centeri (FMC) tarkvara veebipõhise haldusliidese haavatavuse tähisega CVE-2024-20360, mida on hinnatud kõrge CVSS-skooriga (8,8/10). Haavatavus võimaldab pahaloomulisi SQLi käske käivitada, mille tulemusel saab ründaja andmebaasist mistahes andmeid, käivitada operatsioonisüsteemis suvalisi käske ja õigustega manipuleerida. Turvaveale on olemas parandus ja selle saavad kasutajad alla laadida (SA, Cisco).

WordPressi pistikprogrammi kasutatakse ära kaardiandmete varastamiseks

Kurjategijad on võtnud sihikule WordPressi pistikprogrammi Dessky Snippets. Häkkerid on asunud e-poodide veebilehtedele lisama pistikprogrammi kaudu pangakaardiandmeid varastavat pahaloomulist PHP-koodi.

Kuna e-poodides hoitakse tundlikke andmeid, näiteks pangakaardiandmed ja klientide isikuandmed, siis on need tihti kurjategijate sihtmärkideks. Kõigil WordPressi veebilehtede haldajatel tuleks hoida tarkvara ajakohasena, kasutada tugevaid paroole ja monitoorida oma lehel toimuvat (HN, SA).

Check Point paikas nullpäeva turvanõrkuse

Turvanõrkus tähisega CVE-2024-24919 mõjutab VPNi seadmeid ja seda on õnnestunud rünnetes kuritarvitada. Täpsemalt mõjutab turvaviga järgmisi Check Pointi tooteid: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways ja Quantum Spark Appliances. Mõjutatud versioonid on R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, and R81.20.

Haavatavuse kaudu võib saada kaugjuurdepääsu tulemüürile ja seejärel ligipääsu ettevõtte võrgule.

Check Pointi teatel on virtuaalsete privaatvõrkude (VPN) vastu suunatud rünnakud viimastel kuudel märkimisväärselt suurenenud. Mitmete suurte VPNi pakkujate, nagu Ivanti, Fortinet ja Cisco, toodetes on avalikustatud haavatavusi, mille kaudu on õnnestunud ründeid läbi viia. Muuhulgas kasutavaid neid turvanõrkusi ka riiklikud küberrühmitused. Näiteks jaanuaris hoiatas CISA, et Hiina riikliku taustaga häkkerid on võtnud sihikule Ivanti VPNi nullpäeva turvanõrkused. Seetõttu on oluline VPNi tarkvara uuendada niipea, kui turvauuendused välja antakse.

Kõigil, kes kasutavad Check Pointi Quantum Gateway tooteid, tuleks tarkvara uuendada (SA, SC).

Fortineti SIEMi tarkvara kriitilisele turvanõrkusele avaldati kontseptsiooni tõendus

Veebruaris avalikuks tulnud Fortineti FortiSIEMi tarkvaras olevale kriitilisele turvanõrkusele tähisega CVE-2024-23108 avaldati kontseptsioonitõendus, mis näitab, kuidas turvaviga ära kasutada. Veale on veebruarikuust olemas ka parandus ning kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada (SA).

WordPressi pistikprogrammide kriitilised turvavead on ründajate sihtmärgiks

WordPressi veebilehtede vastu suunatud pahatahtliku kampaania käigus kasutatakse ära turvanõrkusi kolmes erinevas pistikprogrammis – WP Statistics, WP Meta SEO ja LiteSpeed Cache. Tegemist on väga populaarsete pluginatega – WP Statistics pistikprogrammi on alla laetud 600 000 korda ja LiteSpeed Cache pistikprogrammi 5 miljonit korda.

Turvavead mõjutavad pluginate versioone:

  • WP Statistics 14.5 ja vanemad;
  • WP Meta SEO 4.5.12 ja vanemad;
  • LiteSpeed Cache 5.7.0.1 ja vanemad.

Eduka ründe korral on võimalik luua administraatorikonto, sisestada veebilehele pahaloomulist PHP-koodi ning jälgida kogu veebilehel toimuvat. Soovitame kõigil WordPressi veebilehtede haldajatel hoida tarkvara ajakohasena (SW).

Ticketmasterit tabas ulatuslik andmeleke

Live Nation kinnitas, et Ticketmasteri keskkonda on tabanud andmeleke, mis mõjutab 560 miljonit klienti.  Häkkerid on pakkunud tumeveebis müügiks 1.3 TB andmeid, mille eest soovitakse 500 000 dollarit. Varastatud andmed hõlmavad Ticketmasteri klientide nimesid, e-posti aadresse, telefoninumbreid, piletimüügi ja tellimuse üksikasju. Väidetavalt õnnestus andmed varastada pilveteenusepakkuja Snowflake kaudu – esmalt saadi kätte Snowflake’i töötaja kontoandmed ja seejärel saadi ligipääs nende klientide andmetele. Kurjategijate sõnul on nad sarnasel moel saanud ligipääsu ka teiste ettevõtete, nt Mitsubishi, Neiman Marcus ja Advance Auto Parts, andmetele (SA, CS).

Olulisemad turvanõrkused 2024. aasta 21. nädalal

Küberkurjategijad kasutavad ära GitHubi ja FileZillat, et levitada pahavara

GitHubi ja FileZilla kaudu on hakatud levitama erinevat andmeid varastavat pahavara ja pangandustroojalisi, nagu Atomic (teise nimega AMOS), Vidar, Lumma (teise nimega LummaC2) ja Octo. Rünnete läbiviimiseks on loodud GitHubi võltsprofiilid ja koodihoidlad, mille kaudu levitatakse pahavara. Pahavara on loodud nii Androidi, macOSi kui ka Windowsi kasutajate sihtimiseks. Kasutajale jääb mulje, et ta laeb alla legitiimset tarkvara, kuid tegelikult jagatakse koodihoidlas hoopis kurjategijate loodud võltstarkvara (HN).

QNAP paikas oma NAS-seadmetes koodi kaugkäivitamist võimaldava turvavea

Taiwani tehnikatootja QNAP Systems paikas turvavea tähisega CVE-2024-27130, mille kaudu on ründajal võimalik käivitada pahaloomulist koodi. Vea kohta on avaldatud ka kontseptsiooni tõendus. Viga paigati tarkvara QTS versioonis 5.1.7.2770 ja QuTS hero versioonis h5.1.7.2770. Lisaks nimetatud veale parandati teisigi haavatavusi ja kõigil kasutajatel on soovitatav tarkvara uuendada. QNAPi seadmete haavatavusi on varasemalt rünnete läbiviimisel ära kasutatud (SW, HN).

Ivanti paikas kriitilise turvavea Endpoint Manageri tarkvaras

Ivanti paikas oma toodetes mitmeid haavatavusi, mille hulgas oli ka kriitiline koodi käivitamist võimaldav viga Endpoint Manageri (EPM) tarkvaras. Ettevõtte sõnul paigati EPMis kokku kuus kriitilist SQLi käivitamise viga, mille kaudu võib autentimata ründaja suvalist koodi käivitada. Turvavead kannavad tähiseid CVE-2024-29822 kuni CVE-2024-29827 ja neid on hinnatud kriitilise CVSS skooriga 9.6/10. Lisaks paigati haavatavusi ka Avalanche’i ja Connect Secure’i tarkvarades.

Ivanti sõnul ei ole neil infot, et turvavigu oleks õnnestunud ära kasutada, kuid sellegipoolest soovitatakse kõigil nende toodete kasutajatel tarkvara uuendada (SW).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-4985 on hinnatud maksimaalse CVSS skooriga 10/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.13.0 ja on paigatud versioonides 3.9.15, 3.10.12, 3.11.10 ning 3.12.4. Täpsemalt mõjutab haavatavus neid, kes kasutavad SAMLi single-sign-on (SSO) lahendust. Hetkel teadaolevalt ei ole õnnestunud haavatavust kuritarvitada, kuid arvestades turvavea tõsidust  soovitatakse kõigil kasutajatel siiski tarkvara uuendada esimesel võimalusel (SW, DR).

Veeam hoiatab oma kliente kriitilisest turvaveast Backup Enterprise Manageri tarkvaras

Kriitiline haavatavus tähisega CVE-2024-29849 on hinnatud CVSS skooriga 9.8/10 ning selle kaudu saab ründaja autentimisest mööda minna. Eduka ründe korral on võimalik sisse logida Veeam Backup Enterprise Manageri veebiliidesesse, justkui oleks tegemist õige kasutajaga. Turvaviga mõjutab Backup & Replicationi tarkvara versioone 5.0 kuni 12.1. Lisaks kriitilisele veale paigati veel kolm haavatavust tähistega CVE-2024-29850, CVE-2024-29851 ja CVE-2024-29852.

Vead on parandatud versioonis 12.1.2.172. Kui tarkvara uuendada ei ole võimalik, siis soovitab tootja seda ajutiselt mitte kasutada (SA, SW, BC).

GitLab paikas turvavea, mille kaudu saab konto üle võtta

Kõrge mõjuga turvaviga tähisega CVE-2024-4835 võimaldab autentimata ründajal kasutaja konto üle võtta ning saada ligipääsu piiratud teabele. See ja mitmed teised turvavead on paigatud GitLab Community Editioni (CE) ja Enterprise Editioni (EE) versioonides 17.0.1, 16.11.3 ning 16.10.6.

GitLab on populaarne sihtmärk ründajate seas, kuna seal hoitakse erinevat tüüpi tundlikke andmeid – muu hulgas näiteks API võtmeid ja tarkvara lähtekoodi. Seetõttu võivad kaaperdatud GitLabi kontod avaldada ettevõttele märkimisväärset mõju ja kaasa tuua ka tarneahela rünnaku. Näiteks võib juhtuda, et ründaja saab ligipääsu ohvri keskkonnale ning lisab sinna pahatahtlikku koodi.

CISA avaldas ka sel kuul hoiatuse, et endiselt proovitakse ära kasutada jaanuaris paigatud GitLabi haavatavust. Haavatavus tähisega CVE-2023-7028 võimaldab ründajal kasutajakonto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile. Kuna GitLabi haavatavused on tihti olnud rünnete sihtmärgiks, siis soovitame tarkvara uuendada esimesel võimalusel (BC).

Google paikas taas Chrome’i nullpäeva turvanõrkuse

Tegemist on kaheksanda Chrome’i nullpäeva turvanõrkusega sel aastal ja maikuus on paigatud juba neli nullpäeva haavatavust. Ettevõtte sõnul on turvaviga tähisega CVE-2024-5274 rünnetes ära kasutatud. Soovitame uuendada Chrome’i uuele versioonile 125.0.6422.112 esimesel võimalusel (BC, DR).

Olulisemad turvanõrkused 2024. aasta 20. nädalal

iOS 17.5 paikab 15 turvanõrkust

Apple avaldas uue iOSi versiooni, milles on parandatud 15 haavatavust. Vead mõjutavad erinevaid rakendusi: Find My, Maps, Notes, Screenshots, Shortcuts, WebKit jt.

Lisaks avaldati ka turvauuendused vanematele iPhone’i ja iPadi seadmetele – mõjutatud on iPhone 8, iPhone 8 Plus, iPhone X, iPad 5th generation, iPad Pro 9.7-inch ja iPad Pro 12.9-inch 1st generation. Turvavead on paigatud tarkvarades iOS 16.7.8, iPadOS 16.7.8 ja macOS Ventura 13.6.7.

Sel aastal on juba kolme Apple’i turvanõrkust õnnestunud kuritarvitada ja seetõttu soovitame kõigil Apple’i seadmete kasutajatel tarkvara uuendada (9to5mac, Apple, BC).

Google paikas kolmanda Chrome’i nullpäeva turvanõrkuse nädala jooksul

Möödunud nädalal tuli Google Chrome’i veebilehitsejas avalikuks lausa kolm nullpäeva turvanõrkust. Ettevõtte teatel on turvavigasid tähistega CVE-2024-4947, CVE-2024-4671 ja CVE-2024-4761 õnnestunud rünnete läbiviimisel ära kasutada. Sel aastal on Chrome’is avastatud kokku juba seitse nullpäeva turvanõrkust. Kõigil kasutajatel tuleks uuendada Chrome uusimale versioonile 125.0.6422.60 (SA, BC).

Adobe paikas oma tarkvarades kriitilisi vigu

Adobe paikas kokku 35 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat ja Reader, Adobe Illustrator, Adobe Substance 3D Painter ning Adobe Aero. Mitmed parandatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada. Adobe’i sõnul pole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Kuna kriitilised turvavead mõjutavad ka laialdaselt kasutusel olevaid Adobe Acrobat ja Reader tarkvarasid, siis on oluline tarkvara värskendada. Lisatud lingil on nimekiri kõigist Adobe tarkvarade turvauuendustest (SW).

VMware paikab Pwn2Owni häkkimisvõistlusel leitud haavatavused

VMware paikas neli turvanõrkust (CVE-2024-22267, CVE-2024-22268, CVE-2024-22269 ja CVE-2024-22270), mis võimaldavad ründajal pahatahtlikku koodi käivitada, teenuseid tõkestada ja saada ligipääsu tundlikule infole. Turvavead mõjutavad VMware’i tooteid Workstation (versioonid 17.x) ja Fusion (versioonid 13.x). Haavatavused on paigatud  nimetatud tarkvarade versioonides 17.5.2 ja 13.5.2. Nendel, kel ei ole võimalik tarkvara uuendada, soovitab tootja virtuaalmasinas Bluetoothi toe välja lülitada ja 3D-funktsioon keelata (SW, HN).

Microsoft paikas Windowsi nullpäeva turvanõrkuse

​Microsoft on parandanud nullpäeva haavatavuse, mida kasutati QakBoti ja muude pahavarade levitamiseks Windowsi süsteemidesse. QakBoti on seostatud vähemalt 40 lunavararündega, mis on suunatud ettevõtete, tervishoiuteenuste osutajate ja riigiasutuste vastu üle kogu maailma.

Turvanõrkuse CVE-2024-30051 eduka ära kasutamise korral sai ründaja süsteemitaseme õigused. Kokku paigati 61 turvaviga, mille hulgas oli kolm nullpäeva turvanõrkust ja 27 koodi kaugkäivitamist võimaldavat viga. Ainult üks paigatud viga on hinnatud kriitiliseks ning see mõjutab Microsoft Office SharePointi tarkvara (BC, BC).

Intel paikas oma toodetes 90 turvaviga

Kõige tõsisema mõjuga on kriitiline turvaviga tähisega CVE-2024-22476, mida on hinnatud maksimaalse CVSS skooriga 10/10 ja mille kaudu on võimalik saada kaugteel kõrgemad õigused. Suuremale osale haavatavustest on olemas turvapaigad, aga mõnele on pakutud ka leevendavaid meetmeid. Enamik turvavigadest võib kaasa tuua privileegide suurenemise, teenuste tõkestamise või tundliku teabe avalikustamise (SW).

D-Linki ruuterid on haavatavad seadme ülevõtmise veale

HNAP-i protokolli turvaviga mõjutab D-Linki ruutereid ja annab autentimata ründajale võimaluse juurõigustes pahaloomulisi käske käivitada. Teadurid avaldasid nullpäeva turvanõrkusele kontseptsiooni tõenduse, mis näitab, kuidas nimetatud haavatavust on võimalik ära kasutada. Turvaviga mõjutab D-Linki DIR-X4860 ruutereid ja selle kaudu on võimalik seade üle võtta. Hetkel ei ole veel haavatavusele olemas parandust, samuti ei ole ruuteri tootja vastanud midagi turvavea avastajale. Mõjutatud seadmete kasutajatel on võimalik kaugjuurdepääsu haldusliides ära keelata, et turvanõrkuse mõju vältida.

D-Linki seadmetes olevad vead võivad olla suureks turvariskiks. Varasemalt on teada, et neid on kasutatud nii robotvõrgustike loomiseks kui ka tundlike andmete varastamiseks. Lisaks on ettevõte ise sattunud küberründe ohvriks, mille käigus paljastati nende lähtekood ja klientide andmed (DR, SSD, BC).