Tag Archives: küberturvalisus

Olulisemad turvanõrkused 2024. aasta 14. nädalal

WordPressi populaarsest LayerSlideri pistikprogrammist leiti kriitiline turvaviga

WordPressi pistikprogrammist LayerSlider leitud kriitiline haavatavus tähisega CVE-2024-2879 võimaldab ründajal teostada pahatahtlikke SQL-päringuid ning hankida seeläbi tundlikku teavet veebilehe andmebaasidest. Haavatavus on hinnatud kriitilise CVSS-skooriga 9.8/10.

LayerSlideri pistikprogramm võimaldab luua liugureid, pildigaleriisid ja animatsioone WordPressi saitidel ning see on kasutusel enam kui miljonil veebilehel. Haavatavus mõjutab plugin’i versioone 7.9.11 kuni 7.10.0 ning eduka ründe korral on võimalik saada kontroll kogu veebilehe üle. Kasutajatel soovitatakse uuendada pistikprogramm turvapaigatud versioonile 7.10.1. Kuna WordPressi haavatavused on tihti ründajate sihtmärkideks, siis tuleks veebilehtede haldajatel regulaarselt uuendada tarkvara, eemaldada need pistikprogrammid, mida ei ole vaja ja kasutada tugevaid paroole (SWBC).

Ivanti parandas VPN-lüüsi haavatavuse

Ivanti avaldas turvauuenduse, mis paikab neli turvaviga Connect Secure’i ja Policy Secure’i tarkvarades. Kõige suurema mõjuga neist on kriitiline haavatavus tähisega CVE-2024-21894,  mis võimaldab autentimata ründajatel koodi kaugkäitada. Ivanti väitel on koodi kaugkäitamise riskid piiratud teatud tingimustega, ent ettevõte ei esitanud haavatavate konfiguratsioonide üksikasju.

Shodani monitooringu kohaselt on üle 29 000 internetile avatud seadme, mis kasutavad Ivanti Connect Secure’i VPNi. Umbes 16 500 seadet on internetile avatud ja turvanõrkuse tõttu ohus. Kuna Ivanti haavatavusi on riiklikud küberrühmitused sel aastal juba ära kasutanud, siis on eriti oluline tarkvara uuendada niipea kui võimalik. Hetkel teadaolevalt ei ole nimetatud turvanõrkusi õnnestunud ära kasutada (BC, HN, BC)

Google parandas Chrome’i nullpäeva turvanõrkuse

Nullpäeva haavatavust tähisega CVE-2024-3159 kasutati ära eelmisel kuul Pwn2Own häkkimisvõistluse ajal. Turvanõrkus mõjutab Chrome V8 JavaScripti mootorit ning võimaldab kasutada loodud HTML-lehti, et pääseda ligi andmetele väljaspool mälupuhvrit. Nädal tagasi parandas Google veel kaks Chrome’i nullpäeva turvanõrkust (CVE-2024-2887 ja CVE-2024-2886), mida kasutati edukalt ära Pwn2Own võistlusel. Sel aastal on Chrome’i veebilehitsejas paigatud juba neli nullpäeva turvanõrkust (BC).

Kriitilist Magento turvanõrkust kasutatakse ära rünnete läbiviimisel

Magento tarkvaras olev kriitiline turvaviga tähisega CVE-2024-20720 on saanud ründajate sihtmärgiks. Turvanõrkus on hinnatud kriitilise CVSS skooriga 9.1/10 ja võimaldab veebilehtedel käivitada pahatahtlikku koodi. Haavatavus on ohtlik, kuna selle ärakasutamiseks ei pea kasutaja midagi täiendavalt tegema. Adobe paikas turvavea nii Adobe Commerce’i kui ka Magento tarkvarades. Kõigil Magento tarkvara kasutajatel on

soovitatav uuendada tarkvara versioonidele 2.4.6-p4, 2.4.5-p6 või 2.4.4-p7. Magento on vabavaraline platvorm, mida kasutab 170 000 e-poodi üle maailma (SA, SW).

Enam kui 92 000 D-Linki NAS-seadet on turvanõrkuse tõttu ohus

Küberturbe teadur avastas mitmetes D-Linki NAS-seadmetes turvanõrkuse, mille abil saab ohvri seadmes suvalisi käske käivitada. Eduka ründe korral on võimalik hankida ligipääs tundlikule teabele, muuta süsteemi seadeid ja teenuseid tõkestada. Turvanõrkus tähisega CVE-2024-3273 mõjutab järgmisi D-Linki seadmeid:

  • DNS-320L (versioonid 1.11; 1.03.0904.2013 ja 1.01.0702.2013)
  • DNS-325 (1.01)
  • DNS-327L (1.09 ja 1.00.0409.2013)
  • DNS-340L (1.08)

Netsecfishi monitooringu kohaselt on enam kui 92 000 haavatavat D-Linki NAS-seadet, mis on internetile avatud ja turvavigade tõttu ohus. Nimetatud seadmetele enam uuendusi ei pakuta, kuna need on jõudnud tööea lõppu. D-Link soovitab seadmed välja vahetada uuemate vastu, millele on olemas tarkvara värskendused (BC).

Olulisemad turvanõrkused 2024. aasta 13. nädalal

300 000 IP-d on haavatavad uue Loop DoS-i ründetehnika vastu

Ligikaudu 300 000 internetis avalikult kättesaadavat serverit või seadet on haavatavad uue ummistusrünnakute tehnika vastu. See meetod töötab UDP-põhiste rakenduskihi teenuste vastu, kasutades ära kindlaid TFTP, DNSi ja NTP teenuseid ning samuti aegunud protokolle, nagu Echo, Chardgen ja QOTD (TR).

Oma olemuselt on käesolev ründemeetod küllaltki triviaalne – ründajad saadavad vigase päringu näiteks haavatavale serverile A, spoof’ides haavatavat serverit B. Nõnda hakkavad serverid A ja B üksteisele lõputult päringuid saatma, muutes teenused kättesaamatuks.

Loop DoS-i eelis on see, et seda kasutades ei pea ründajad serveri teenuse töö häirimiseks pidevalt suurtes mahtudes päringuid saatma – pärast rünnaku algust DoS-ivad kaks haavatavat serverit üksteist ise ja see kestab niikaua, kuni keegi selle ahela peatab.

Apple paikas koodi kaugkäitust võimaldava turvanõrkuse

Apple väljastas värsked turvapaigad iOS-i ja MacOs-i seadmetele, et parandada CVE-2024-1580 koodi kaugkäitust võimaldav turvanõrkus (SW). Antud turvanõrkus kasutab ära iOS-i CoreMedia ja WebRTC komponente, mis vastutavad multimeedia (nt pildid ja videod) töötlemise eest.

See turvanõrkus ei mõjuta mitte ainult Apple’i, vaid ka kõiki teisi seadmeid, mis kasutavad dav1d tarkvara. Seda tarkvara kasutatakse multimeedia dekodeerimiseks AV1 formaadis, kuid eriti suurte failide puhul võib tekkida täisarvu ületäitumine (integer overflow), mille abil saab panna tarkvara kirjutama andmeid väljapoole ettenähtud mälu. Nõnda saavad ründajad CVE-2024-1580 abil jooksutada koodi kellegi teise seadmes, kasutades selle jaoks pahaloomulisi pilte või videoid.

Häkkerid kasutavad serverite kompromiteerimiseks ära Ray raamistiku turvanõrkust

Uus ShadowRay-nimeline kampaania sihib haavatavaid Ray raamistike (populaarne avatud lähtekoodiga AI-raamistik). Sedalaadi ründeid on esinenud juba 2023. aasta septembri algusest ning ründajate põhilisteks sihtmärkides on olnud hariduse, krüptoraha ja biofarmakoloogia sektorid, aga puudutatud on olnud ka muud eluvaldkonnad (BC).

2023. aasta novembris teavitas Anyscale viiest Ray turvanõrkusest (CVE-2023-6019, CVE-2023-6020, CVE-2023-6021 ja CVE-2023-48023), millest neli said ka paigatud. Samas viies turvanõrkus (CVE-2023-48023), mis võimaldas koodi kaugkäitust, jäi paikamata (BC). Selle põhjuseks on Anyscale’i seisukoht, et autentimisvõimaluse puudumine Rays on osa selle disainist ja turvanõrkust saab ära kasutada vaid juhul, kui Ray kasutajad ignoreerivad projekti dokumentatsioonis rõhutatud soovitusi.

Kuna Anyscale CVE 2023-48023 turvanõrkuseks ei pea, siis on paljude Ray kasutajate ja staatiliste skaneerimistööriistade jaoks jäänud antud turvanõrkus märkamata, mistõttu on ründajatel võimalik haavatavaid teenuseid kompromiteerida.

Linuxi turvaviga laseb ründajatel ohvrite paroole varastada

Linuxi operatsioonisüsteemis kasutatav wall-käsk sisaldab turvanõrkust (CVE-2024-28085), mida saab ära kasutada ohvrite paroolide varastamiseks või lõikelaua (clipboard) sisu muutmiseks.

Wall-käsk kuulub util-linuxi paketti, mis on osa Linuxi operatsioonisüsteemist. Antud käsku kasutatakse Linuxi süsteemides selleks, et saata sõnumeid kõikidesse samasse süsteemi (näiteks serverisse) sisse logitud kasutajate terminalidesse (BC).

Wall-käsu turvaviga seisneb selles, et kui kasutaja saadab teistele kasutajatele laiali mingi teksti, siis sealt ei filtreerita välja paojärjestusi (escape secuence ehk sümbolite kombinatsioon, mille abil saab terminalile käske anda). Nõnda saab administraatori õigusteta kasutaja samas süsteemis olevatelt administraatori õigustega kasutajatelt  paroolid välja petta, saates neile wall-käsu abil spetsiaalseid sümboleid sisaldava sõnumi, mis loob nende terminali võltsitud SUDO-rea.

Olulisemad turvanõrkused 2024. aasta 12. nädalal

Atlassian paikas oma toodetes mitmeid turvavigu

Atlassian parandas kümneid haavatavusi, mis mõjutavad ettevõtte erinevaid tooteid, nagu Bamboo, Bitbucket, Confluence ja Jira.

Kõige tõsisema mõjuga neist on kriitiline turvaviga tähisega CVE-2024-1597, mis võimaldab ründajal käivitada pahaloomulisi SQL-käske Bamboo Data Centeri and Serveri tarkvaras.

Haavatavus on hinnatud maksimaalse CVSS skooriga 10.0/10. See mõjutab Bamboo Data Centeri and Serveri versioone 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 ja 9.5.0. Viga on paigatud sama tarkvara versioonides 9.6.0 (LTS), 9.5.2, 9.4.4 ja 9.2.12 (LTS).

Lisaks paigati veel mitmeid turvavigu teistes tarkvarades. Näiteks parandati 20 kõrge mõjuga haavatavust JIRA tarkvaras, mida kasutavad paljud asutused ja ettevõtted ka Eestis. Täpse nimekirja turvavigadest ja paigatud versioonidest leiab siit. Ettevõte soovitab kõigil kasutajatel Atlassiani tarkvarad uuendada viimasele versioonile (SA, SW).

WordPressi pistikprogrammi kriitiline haavatavus võimaldab veebilehe ülevõtmist

Kriitiline turvanõrkus (CVE-2024-2172) mõjutab miniOrange’i pistikprogramme Malware Scanner ja Web Application Firewall. Haavatavus on hinnatud kriitilise CVSS skooriga 9.8/10 ning WordPressi veebilehtede administraatoritel soovitatakse need plugin’ad ära kustutada. Arendaja on mõlema pistikprogammi allalaadimise peatanud ning neid ei hakata tulevikus enam kasutajatele pakkuma.

Haavatavuste kaudu on võimalik autentimata ründajal hankida administraatoriõigused ja seejärel veebileht üle võtta. Administraatorina on võimalik lisada veebilehele erinevaid pahaloomulisi faile, muuta seal olevaid postitusi ja suunata kasutaja mõnele teisele veebilehele. Neid pistikprogramme kasutab umbes 10 000 WordPressi veebilehte (HN, SA).

Enam kui 133 000 Fortineti seadet on ohus kuu aja eest paigatud turvanõrkuse tõttu

Turvanõrkus tähisega CVE-2024-21762 mõjutab Fortineti FortiOSi ja FortiProxy tarkvarasid ning vea kuritarvitamiseks on avaldatud mitmeid kontseptsiooni tõendusi. Tegemist on haavatavusega, mis võimaldab autentimata ründajal koodi kaugkäivitada ja on hinnatud kriitiliseks skooriga 9.6/10. Turvaviga on parandatud juba kuu aega tagasi, kuid Shadowserveri monitooringu andmeil on endiselt ligi 133 000 paikamata seadet.

Varasemalt on Fortineti seadmete haavatavused olnud mitmete häkkerirühmituste sihtmärgiks, samuti on need jõudnud kõige sagedamini ärakasutatud haavatavuste loenditesse.

Lisaks tuli eelmisel nädalal ka info teisest Fortineti turvaveast, mida on õnnestunud rünnete läbiviimisel kuritarvitada. Turvaviga tähisega CVE-2023-48788 mõjutab Fortineti FortiClient Enterprise Management Serveri (EMS) tarkvara ning kuna selle vea kohta avaldati samuti kontseptsiooni tõendus, siis hakati seda ka üsna pea ära kasutama (TR, SA).

TeamCity turvanõrkused on ründajate sihtmärgiks

Eelmisel nädalal kirjutasime blogis samal teemal, kuid nüüdseks on selgunud, et TeamCity haavatavuste kaudu viiakse läbi veelgi enam erinevaid ründeid. Hiljuti avalikuks tulnud turvavead TeamCity tarkvaras on sattunud küberrühmituste sihtmärgiks – nende kaudu viiakse läbi lunavararündeid (BianLian ja Jasmin), seatakse üles krüptokaevureid (XMRig) ja hangitakse kaugligipääs ohvri seadmetele (Spark RAT).  

Rünnete läbiviimisel kasutatakse haavatavust tähisega CVE-2024-27198, mis on parandatud TeamCity versioonis 2023.11.4. Kuna veale on internetis avaldatud kontseptsiooni tõendus (proof of concept) ja rünnete katsed aina sagenevad, siis on eriti oluline tarkvara uuendada (HN, SA, TM).

Fujitsu avastas oma IT-süsteemidest pahavara

Jaapani tehnikatootja Fujitsu avastas, et mitmed nende IT-süsteemid on pahavaraga nakatunud ja ühtlasi on varastatud klientide andmeid.  Fujitsu on maailmas suuruselt kuues IT-teenuste pakkuja, kus töötab 124 000 inimest ja firma aastakäive on 23,9 miljardit dollarit. Nende toodete hulka kuuluvad nii erinev arvutitehnika kui ka teenused, näiteks: serverid ja salvestussüsteemid, tarkvara, telekommunikatsiooniseadmed, pilvelahendus ja IT-nõustamisteenuseid.

Eelmisel nädalal avalikuks tulnud küberintsident mõjutab nii ettevõtte sisemisi süsteeme kui ka klientide andmeid. Pahavara avastati mitmes arvutis ja samuti on tõendeid selle kohta, et nende klientide tundlikke andmeid on alla laetud. Kohe, kui intsidendist teada saadi, eemaldati nakatunud arvutid võrgust ja hakati uurima, kuidas pahavara süsteemi pääses.

See ei ole paraku esimene kord, kui Fujitsu süsteemidesse häkiti. 2021. aasta mais kasutati Fujitsu ProjectWEB tarkavara ja tungiti selle kaudu mitme Jaapani valitsusasutuse infosüsteemidesse. Ründe käigus saadi ligipääs 76 000 meiliaadressile ja tundlikule infole. Varastatud andmed hõlmasid tundlikku teavet valitsussüsteemide ja Narita rahvusvahelise lennujaama lennujuhtimisandmete kohta (BC).

Pahavarakampaania mõjutab 39 000 WordPressi veebilehte

Pahavarakampaania nimega Sign1 on viimase kuue kuu jooksul nakatanud üle 39 000 WordPressi veebilehe, põhjustades külastajatele soovimatuid ümbersuunamisi ja hüpikaknaid. Kampaania käigus lisati pahavara nii HTMLi elementidesse kui ka pistikprogrammidesse. Ligipääs WordPressi veebilehele saadi kas jõuründe või pistikprogrammide haavatavuste ärakasutamise abil.

Oma veebilehe kaitsmiseks tuleks kasutada tugevat administraatoriparooli ja regulaarselt uuendada pistikprogrammid kõige uuemale versioonile. Samuti võiks eemaldada kõik üleliigsed lisamoodulid (add-ons), mida ei kasutata ja mille kaudu võivad ründed toimuda (BC).