Tag Archives: Linux

Olulised turvanõrkused 2022. aasta 52. nädalal


Tuhanded Citrixi serverid on haavatavad kriitiliste turvanõrkuste vastu

Tuhanded Citrixi ADC ja Gateway lahendused on endiselt haavatavad kahe kriitilise turvanõrkuse vastu. Esimene turvanõrkus CVE-2022-27510 (9.8/10.0) parandati 2022. aasta 8. novembril ja teine haavatavus CVE-2022-27518 (9.8/10.0) 13. detsembril. Esimest on ründajal võimalik ära kasutada selleks, et saada volitamata ligipääs haavatavale seadmele ning see üle võtta. Teise abil saab süsteemis käivitada pahaloomulist koodi, mille kaudu on võimalik samuti haavatav seade kompromiteerida. Samuti märgitakse, et ründajad on aktiivselt otsinud seadmeid, mis on haavatavad CVE-2022-27518 vastu (BP, SA).

Kes ja mida peaks tegema?

CVE-2022-27510 turvanõrkuse kohta leiate lisainformatsiooni siit.
CVE-2022-27518 turvanõrkuse kohta leiate lisainformatsiooni siit.

Citrixi ADC ja/või Gateway lahenduste kasutamise korral tutvuge ülal viidatud tootjapoolse informatsiooniga, et tuvastada, kas teie süsteemid on haavatavad. Vajadusel uuendage tarkvara kõige uuemale versioonile.

Netgear paikas WiFi ruuteritel kõrge mõjuga haavatavuse

Netgear paikas turvanõrkuse, mis mõjutab mitmeid Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) ja Wireless AC ruuterite mudeleid. Turvaviga võimaldab nii seadme töö häirimist kui ka pahatahtliku koodi käivitamist ning on hinnatud skooriga 7.4/10. Tootja ei ole jaganud täpsemaid detaile turvanõrkuse olemuse ega toimimisviisi kohta (BP, SA).

Kes ja mida peaks tegema?

Tabeli, mis sisaldab haavatavaid ruuterite mudeleid, leiate siit. Kui te haavatavaid seadmeid kasutate, soovitame uuendada tarkvara tabelis viidatud versioonile. Sellisel kujul haavatavus seadmetele ohtu ei kujuta.

Kriitiline haavatavus Linuxi kernelis võimaldab teatud SMB- serverites koodi kaugkäitust

Linuxi kernelis peitub kriitiline turvanõrkus (10.0/10.0), mille kaudu saavad autentimata ründajad käivitada teatud SMB-serverites pahatahtliku koodi. Haavatavad on serverid, mis kasutavad ksmbd moodulit. Turvanõrkus avastati tänavu juulis, kuid avalikustati 22. detsembril (ZDI, SA).

Kes ja mida peaks tegema?

Kõikidel, kes kasutavad SMB-servereid koos ksmbd mooduliga, tuleks uuendada Linuxi kernel versioonile 5.15.61 või uuemale versioonile. Sellisel juhul haavatavus ohtu ei kujuta.

Uus Linuxi pahavara ründab aegunud WordPressi pluginaid kasutavaid veebilehti

Uus pahavara kuritarvitab turvanõrkuseid aegunud WordPressi pluginates ja teemades, et paigaldada pahaloomuline JavaScript neid kasutavatele veebilehtedele. Pahavara sihib nii 32-bitiseid kui ka 64-bitiseid Linuxi süsteeme ja see võimaldab käivitada erinevaid käsklusi kompromiteeritud Linuxi süsteemides. Pahavara kasutamise eesmärgiks on aga aegunud WordPressi pluginaid ja teemasid kasutavate veebilehtede ründamine (BP).

Nimekiri WordPressi pluginatest ja teemadest, mida pahavara üritab rünnata:

o WP Live Chat Support Plugin
o WordPress – Yuzo Related Posts
o Yellow Pencil Visual Theme Customizer Plugin
o Easysmtp
o WP GDPR Compliance Plugin
o Newspaper Theme on WordPress Access Control (CVE-2016-10972)
o Thim Core
o Google Code Inserter
o Total Donations Plugin
o Post Custom Templates Lite
o WP Quick Booking Manager
o Facebook Live Chat by Zotabox
o Blog Designer WordPress Plugin
o WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
o WP-Matomo Integration (WP-Piwik)
o WordPress ND Shortcodes For Visual Composer
o WP Live Chat
o Coming Soon Page and Maintenance Mode
o Hybrid
o Brizy WordPress Plugin
o FV Flowplayer Video Player
o WooCommerce
o WordPress Coming Soon Page
o WordPress theme OneTone
o Simple Fields WordPress Plugin
o WordPress Delucks SEO plugin
o Poll, Survey, Form & Quiz Maker by OpinionStage
o Social Metrics Tracker
o WPeMatico RSS Feed Fetcher
o Rich Reviews plugin

Kui pahavaral õnnestub edukalt ülal viidatud aegunud pluginate ja/või teemade haavatavusi ära kasutada, laaditakse juhtserverist alla vajalik pahaloomuline JavaScript ja paigaldatakse see sihtmärgiks valitud veebilehele. Nakatunud lehti võib ründaja siis näiteks kasutada andmepüügiks, pahavara levitamiseks või reklaamitulu saamiseks.

Kes ja mida peaks tegema?

Kui te kasutate enda veebilehel ülal viidatud pluginaid või teemasid, veenduge, et need oleksid uuendatud. Tarkvara regulaarne uuendamine on oluline, kuna uuendused paikavad tihti turvanõrkuseid, mida ründajatel on võimalik ära kasutada.

Riiklike sidemetega rühmitused kasutavad küberrünnakutes üha aktiivsemalt XLL-faile

Hiljutisest Cisco Talose analüüsist selgus, et APT-d (advanced persistent threat) kasutavad süsteemide kompromiteerimiseks VBA makrode asemel üha rohkem pahaloomulisi XLL-faile. XLL-faile kasutatakse tavaliselt Exceli lisandmoodulite ja teatud funktsionaalsuste puhul. Muudatuse lähenemisviisis tingis analüüsi hinnangul asjaolu, et Microsoft blokeeris eelmisel aastal vaikimisi VBA makrode kasutamise Office’i failides, mis on internetist alla laaditud (HN).

Analüüsi põhjal on hiljuti XLL-faile kasutatud AveMaria ja Ducktaili pahavara jagamiseks. AveMaria on troojan-tüüpi pahavara, mis lisatakse manusena tihti ka Eesti inimestele saadetud pahaloomulistele kirjadele. Ducktail on aga nuhkvara, mida kasutatakse veebilehitsejasse salvestatud sessiooniküpsiste ja kasutajatunnuste varastamiseks.

Pikemalt saab analüüsiga tutvuda siin.

Kes ja mida peaks tegema?

Soovitame alati tähelepanelikult jälgida, milliseid faile teile e-kirjadega saadetakse ja kahtluse korral neid mitte avada. RIA kirjutas eelmisel ka aastal ülevaatliku blogipostituse, mida pahaloomuliste e-kirjade puhul tähele panna. Soovitame sellega samuti tutvuda.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 48. nädalal

Lahtine tabalukk

Java raamistikus Quarkus avastati kriitiline turvaviga

Quarkus on avatud lähtekoodiga Java raamistik, mis on mõeldud Java virtuaalmasinate jaoks. Haavatavust CVE-2022-4116 on hinnatud kriitilisuse skooriga 9.8/10.0 ja selle abil on ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi masinas, milles jookseb Quarkuse Dev UI. Selleks peab ohver külastama veebilehte, mis sisaldab pahaloomulist JavaScripti koodi. Sellest tulenevalt võivad ründajad ühe ründevektorina saata Quarkust kasutavatele arendajatele veebilingi, millel klikkides suunatakse ohver pahaloomulist Javascripti sisaldavale veebilehele. Ründe tagajärjel on ründajal potentsiaalselt võimalik masinasse paigaldada muuhulgas näiteks nuhkvara, mis kasutaja(te) klahvivajutusi salvestab (SW, Quarkus).

Kes ja mida peaks tegema?

Selleks, et turvanõrkust ei oleks võimalik ära kasutada, tuleb arendajatel ja/või teenuseomanikel, kelle rakendused/teenused kasutavad Quarkuse raamistiku, veenduda, et kasutatakse Quarkuse versiooni 2.14.2 Final või 2.13.5 Final. Sellisel juhul haavatavus ohtu ei kujuta. Kui uuendamine ei ole võimalik, siis on Quarkus kirjutanud siin ka täpsemalt ühest alternatiivsest vastumeetmest, mida saab sellisel juhul kasutada.

Google paikas ühe Chrome’i nullpäeva turvanõrkuse

Google paikas Chrome’il selle aasta üheksanda nullpäeva turvanõrkuse, mille abil oli ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi ohvri masinas. CVE-2022-4262 jaoks on Google’i hinnangul olemas ka eksploit. Ettevõte ei ole turvavea kohta jaganud täpsemaid detaile, et vähendada selle kuritarvitamist (Google).

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat, uuendage see esimesel võimalusel. Chrome peaks uuendused rakendama automaatselt. Kui automaatne uuendamine ei ole lubatud, saate parandusega tarkvaraversiooni rakendada ka manuaalselt. Juhised, kuidas seda  teha, leiate siit.

NVIDIA paikas turvanõrkused videokaartide draiverites

Ettevõte paikas 29 turvanõrkust, mis olid seotud Windowsi ja Linuxi GPU draiveritega (BP, NVIDIA). Seitse turvanõrkust hinnati kõrge kriitilisuse tasemega. Kaks kõige kriitilisemat nõrkust on järgnevad:

CVE-2022-34669 (8.8/10.0) – Haavatavus võimaldab koodi kaugkäitust, õiguste suurendamist, informatsioonile ligipääsemist ja teenusekatkestusi. Turvanõrkust on võimalik lokaalselt kuritarvitada. CVE-2022-34669 võib pakkuda ründajatele viise, kuidas pahavara kõrgema taseme õigustes käivitada, sest üldjuhul kasutavad videokaardi draiverid operatsioonisüsteemis kõrgendatud õiguseid. Seetõttu võib see potentsiaalselt kujutada suurt ohtu mõjutatud süsteemidele.

CVE-2022-34671 (8.5/10.0) – Haavatavus võimaldab sooritada koodi kaugkäitust, üritada süsteemis õigusi suurendada õiguste, ligi pääseda informatsioonile, millele ei peaks ligi pääsema või viia süsteem olukorrani, kus see ei tööta. Turvanõrkust on võimalik ründajal kaugelt kuritarvitada. Haavatavuse kriitilisuse skoor on võrreldes CVE-2022-34669 turvaveaga hinnatud madalamaks, kuna seda on keerulisem edukalt ära kasutada.

Kes ja mida peaks tegema?

Kui te kasutate NVIDIA graafikakaarte, soovitame tutvuda ettevõtte veebilehega siin ja veenduda, et te ei ole turvanõrkuste vastu haavatav. Samalt veebilehelt leiate ka juhised, kuidas mõjutatud draiverid uuendada.

Turvanõrkus võimaldas avada mitmete autode uksi ja neid käivitada

Kübereksperdid avastasid SiriusXM-nimelisest tarkvarast turvanõrkuse, mille abil oli neil võimalik häkkida erinevate autotootjate mudeleid, mis vastavat tarkvara kasutasid. Täpsemalt leidsid nad, et turvanõrkuse abil oli neil võimalik erinevate autode puhul, mis olid toodetud peale 2015. aastat ja mis haavatavat tarkvara kasutasid, muuhulgas lukustada/avada uksi või käivitada auto, teades ainult auto VIN-koodi. Leid illustreerib seda, kuidas autode sõltuvus erinevatest tarkvaralahendustest võib muuta need üha ihaldusväärsemateks sihtmärkideks ründajatele. Turvanõrkus parandati tarkvaratootja sõnul kiiresti ja ühtegi reaalset intsidenti nende sõnul ei toimunud (BP).

RIA analüüsi- ja ennetusosakond

Mis on Stack Clash?

Autor: CERT-EE

Stack Clash on mitmete operatsioonisüsteemide mäluhalduse haavatavus, mis mõjutab Linuxi, OpenBSD, NetBSD, FreeBSD ja Solarise i386 ja amd64 operatsioonisüsteeme. Konkreetset haavatavust on võimalik ära kasutada mälu rikkumiseks ning omavoliliseks koodi käivitamiseks. Pärast haavatuse ilmsikstulekut arendas Qualys seitse erinevat eksploiti ning seitse kontseptsiooni tõestust. Seejärel arendati koos tarnijatega vastavad turvapaigad. Turvapaigad on kättesaadavad alates 19. juunist ning tuletame meelde, et väljatöötatud turvapaikade kohene paigaldamine on rangelt soovituslik.

Suuremõõtmeline kollisioon. Allikas: http://cdn.desktopwallpaper4.me/

Pinu kollisioon

Iga arvutil jooksev programm kasutab spetsiaalselt mäluregiooni, mida nimetatakse pinuks (stack). Mäluregioon on eriline, kuna see kasvab automaatselt, kui programmil ilmneb vajadus rohkema pinu-mälu järele. Kuid kui mäluregioon kasvab liiga kiiresti ning jõuab teisele mäluregioonile liiga lähedale, võib programm pinu teise mäluregiooniga segamini ajada, mis omakorda lubab kurjategijal seda segadust ära kasutada ning pinu teiste mäluregiooniga üle kirjutada (või siis risti vastupidi toimida). Just selle järgi on haavatavus ka oma nime saanud. Esimene samm selle haavatavuse ärakasutamisel on pinu kollisioon teise mäluregiooniga, millest tulenevalt ka nimi.

Uus haavatavus?

Ühene vastus on – Ei! Esimest korda kasutati pinu kollisiooni ära 2005. aastal ning järgmine kord alles 2010. aastal. Pärast 2010. aasta haavatavust arendas Linux sarnaste ärakasutamiste vastu kaitsemeetodi – niinimetatud pinu kaitseleht. Praeguseks teame aga, et pinu kollisioonid on laiaulatuslikud ning hoolimata pinu kaitselehest siiski ärakasutatavad.

Üks või mitu haavatavust?

Peamine Stack Clashi haavatavus on CVE-2017-1000364 ning see demonstreerib, et mõne kilobaidi suurune pinu kaitseleht on ebapiisav. Teemat lähemalt uurides tuvastati rohkem haavatavusi. Mõned neist on sekundaarsed ning avalduvad vaid pärast Stack Clashi haavatavuse ärakasutamist, näiteks CVE-2017-1000365, kuid on ka eraldi ärakasutatavaid haavatavusi nagu näiteks CVE-2017-1000367.

Kas Stack Clash mõjutab ka mind?

Juhul, kui Sa oled i386 või amd64 arhitektuuriga Linuxi, OpenBSD, NetBSD, FreeBSD või Solarise kasutaja, on vastus – Jah! Teised operatsioonisüsteemid võivad samuti haavatavad olla, kuid neid ei ole konkreetse haavatavuse osas hetkel lähemalt uuritud.

Stack Clashi ohud?

Konkreetse uurimise käigus tuvastati ainult lokaalne privileegide eskaleerimine – ründaja, kellel on mõjutatud süsteemile ükskõik milline ligipääs, saab Stack Clash haavatavust kasutades omandada root-kasutaja õiguse. Praeguseks ei ole tuvastatud, et haavatavus lubaks kaugligipääsu. Siiski ei saa selle olemasolu välistada.

Mida mina teha saan?

Uuendada, uuendada, uuendada! 19. juunil väljastati turvapaigad, mille iga kasutaja omale ise paigaldada saab. Juhul kui kasutaja ei saa või ei taha oma süsteemi taaskäivitada, saab ta oma lokaalsele kasutajale teha RLIMIT_STACK ja RLIMIT_AS välistele teenustele mõistlikult väikese väärtusega. Selle tegevuse käigus tuleb siiski meeldes pidada, et etteantud väärtused ei pruugi olla piisavalt madalad kõikidele rünnetele vastupidamiseks. Näiteks osadel juhtudel kasutab Sudo pinu kollisiooni haavatavus vaid 137 MB kuhimälu (heap-memory) ning peaagu mitte üldsegi pinumälu. Samuti võib juhtuda, et seatud väärtused on liiga madalad ning tegelikud rakendused lakkavad töötamast.

Lisainfot leiab linkidelt: