Tag Archives: lunavara

Olulisemad turvanõrkused 2024. aasta 8. nädalal

Enam kui 28 500 Microsoft Exchange’i serverit on turvanõrkuse tõttu ohus

Turvanõrkust tähisega CVE-2024-21410 on juba ka aktiivselt rünnetes ära kasutatud. Haavatavus võimaldab autentimata ründajatel saada ohvri süsteemis kõrgemad õigused.  Shadowserveri monitooringu alusel on ohustatud servereid kokku pea 100 000, kuid nimetatud Exchange’i turvanõrkusele on neist haavatavad 28 500. Hetkel ei ole veel turvaveale avaldatud kontseptsiooni tõendust, mistõttu võib eeldada, et rünnete arv võib edaspidi kasvada.

Kõigil Microsoft Exchange’i kasutajatel tuleks uuendada tarkvara esimesel võimalusel, veebruarikuu uuendustega paigati ka nimetatud haavatavus. Turvaviga on paigatud Exchange Server 2019 uuendusega 14 (CU14) (BC).

WordPressi veebilehti ohustab koodi kaugkäivitamist võimaldav turvanõrkus

Ründajad on võtnud sihikule turvanõrkuse WordPressi “Brick Builderi” nimelises teemas, mille eduka kuritarvitamise korral on võimalik haavataval veebilehel pahaloomulist PHP-koodi käivitada. Teemat kasutab umbes 25 000 WordPressi veebilehte. Viga on paigatud 13. veebruaril avaldatud tarkvara versioonis 1.9.6.1.

Patchstacki info kohaselt on haavatavust juba ära kasutatud. Nad on avaldanud postituse, kus kirjeldavad turvaviga tähisega CVE-2024-25600 täpsemalt.

Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (BC, HN, PS).

Chrome’i ja Firefoxi veebilehitsejates paigati kõrge mõjuga turvavead

Nii Google kui ka Mozilla andsid sel nädalal välja Chrome’i ja Firefoxi tarkvaravärskendused, et paigata mõlema veebilehitseja haavatavused. Mõlemas brauseris parandati kõrge mõjuga mälu ohutuse vead.

Google avaldas Chrome’i versiooni 122.0.6261.57 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 12 haavatavust. Mozilla avaldas Firefoxi versiooni 123, kus on samuti paigatud tosin turvaviga, nende hulgas ka neli kõrge mõjuga haavatavust.

Lisaks avaldati ka uued turvapaikadega versioonid veebilehitsejale Mozilla Firefox ESR 115.8 ja meiliprogrammile Thunderbird.

Kumbki ettevõte ei ole maininud turvavigade ärakasutamist. Soovitame nii Google Chrome kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Apple’i turvaviga võimaldab andmete vargust

Haavatavus tähisega CVE-2024-23204 mõjutab Apple’i populaarset rakendust Shortcuts ja selle kaudu võivad ründajad saada juurdepääsu ohvri seadmetes olevatele tundlikele andmetele, ilma et kasutaja selleks ise loa annaks. Näiteks on võimalik kurjategijal saada ligipääs fotodele, kontaktidele ja failidele. Bitdefenderi analüüsi kohaselt võimaldab haavatavus luua pahatahtliku Shortcutsi faili, mis suudab mööda minna Apple’i turvaraamistikust. Apple’i Transparency, Consent, and Control (TCC) turberaamistik peaks tagama, et rakendused küsiksid kasutajalt selgesõnaliselt luba enne teatud andmetele või funktsioonidele juurdepääsu andmist.

Viga mõjutab macOSi ja iOSi tooteid, mis kasutavad tarkvara versioone macOS Sonoma 14.3, iOS 17.3 ja iPadOS 17.3. Apple on vea paiganud ja soovitab kõigil uuendada tarkvara (DR, SW, BD).

Lunavararühmitustele meeldib kuritarvitada levinud kaughaldus- ja seiretarkvarasid

Erinevad kaughaldustarkvarad, nagu näiteks AnyDesk, TeamViewer, Atera ja Splashtop, on paljude IT-administraatorite töövahendiks ja kasutusel laialdaselt üle maailma. Kuna seadmed ja töötajad võivad olla eri asukohtades, siis on seadmete kaughaldamine saanud tänapäeval on möödapääsmatuks.

Kahjuks on erinevad lunavararühmitused leidnud selles soodsa variandi rünnete läbiviimiseks. Peamiselt kasutatakse järgnevaid strateegiad:

  • Saadakse ligipääs olemasolevale kaughaldustarkvarale. Kuna kaughaldustööriistad nõuavad süsteemile juurdepääsuks mandaate, siis on üheks enamlevinud ründevektoriks nõrgad või vaikimisi määratud paroolid ning paikamata tarkvara.
  • Teiseks variandiks on saada esmalt ligipääs ohvri süsteemile ja seejärel paigaldada sinna endale sobilik kaughaldustarkvara, mille kaudu saab edaspidi ründeid läbi viia.
  • Kolmandaks variandiks on sotsiaalne manipulatsioon, mille käigus saadetakse ettevõtte töötajale link pahatahtliku tarkvaraga ning suunatakse kasutaja seda paigaldama.

Malwarebytes’i analüüsi kohaselt on pea kõik suuremad lunavararühmitused kasutanud oma rünnete läbiviimisel just neid meetodeid ja kaughaldustarkvarasid.

Taoliste rünnete vältimiseks tuleks üle vaadata, kas kasutusel olevas kaughaldustarkvaras on kõik mittevajalikud funktsioonid keelatud. Lisaks tuleks kaughaldustarkvara tegevusi logida ja logisid regulaarselt monitoorida (MB).

Olulisemad turvanõrkused 2023. aasta 48. nädalal

  • Apple paikas kaks nullpäeva turvanõrkust

Apple on avalikustanud erakorralised turvavärskendused, et kõrvaldada kaks nullpäeva turvaauku, mida on ettevõtte sõnul rünnetes aktiivselt ära kasutatud (SA).

Mõlemad haavatavused on seotud WebKitiga ja mõjutavad iPhone’i, iPadi ja Maci seadmeid. Haavatavusi saab ära kasutada tundliku teabe varastamiseks või suvalise pahaloomulise koodi käivitamiseks mõjutatud seadmes (SA).

Apple on kõrvaldanud nullpäeva turvanõrkused iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 ja Safari 17.1.2 versioonides. Soovitatav on nimetatud tarkvarad uuendada esimesel võimalusel (SA).

Sel aastal on ettevõte paiganud juba 20 nullpäeva haavatavust (BC).

  • CACTUS-nimeline lunavarakampaania kasutab hiljuti avastatud turvavigu

CACTUS-nimeline lunavarakampaania kasutab hiljuti avalikustatud turvavigu pilvanalüütika ja äriteabe platvormis Qlik Sense, et saada esmane juurdepääs sihtmärgiks valitud keskkondadele. Analüütikute hinnangul kuritarvitatakse viimase kolme kuu jooksul avalikustatud platvormi turvanõrkuseid, sealhulgas haavatavusi CVE-2023-41265 ja CVE-2023-41266 (THN).

Pärast mõjutatud süsteemidesse sisse tungimist, kasutavad ründajad Qlik Sense Scheduler teenust, et täiendavaid pahaloomulisi tööriistu sinna alla laadida. Rünnete käigus on muudetud ka süsteemiga seotud administraatorikontode paroole. Rünnete lõpetuseks krüpteeritakse failid CACTUS-nimelise lunavaraga (AW).

Konkreetse tarkvara arendaja on kõikidele turvanõrkustele avalikustanud ka parandused, rohkem infot leiate tootja kodulehelt (Qlik).

  • LogoFAIL turvanõrkused ohustavad miljoneid arvuteid

Hiljuti UEFIs (Unified Extensible Firmware Interface) avastatud LogoFAIL-nimelised haavatavused kujutavad miljonite arvutite jaoks kriitilist turvaohtu. Need haavatavused mõjutavad sadu tarbija- ja ettevõtteklassi x86- ja ARM-mudeleid erinevatelt tarnijatelt, sealhulgas Intelilt, Acerilt ja Lenovolt. LogoFAIL turvanõrkuste mõju on märkimisväärne, kuna see võib potentsiaalselt lubada mõjutatud süsteemid üle võtta, hoolimata arvutitele paigaldatud kaitsemeetmetest. Nende haavatavuste laialdane levik on tekitanud ekspertides muret laiemalt, mitte ainult üksikute tarnijate kontekstis. Turvauuendused avaldatakse eeldatavasti 6. detsembril (DR).

  • VMware parandas üle kahe nädala paikamata olnud kriitilise turvanõrkuse Cloud Director tarkvaras

VMware parandas hiljuti Cloud Directori tarkvaral kriitilise autentimisest möödapääsemist võimaldava haavatavuse, mis oli olnud turvapaigata üle kahe nädala pärast selle avalikustamist 14. novembril (BP).

Cloud Director on platvorm, mis võimaldab administraatoritel hallata mitmes kohas asuvaid andmekeskusi virtuaalsete andmekeskustena (VDC). Autentimisest möödaviimise turvaviga, mis on identifitseeritud kui CVE-2023-34060, mõjutab ainult neid seadmeid, mis töötavad versiooniga VCD Appliance 10.5 ning mis uuendati sellele versioonile vanemalt versioonilt (BP).

Kellel ei ole võimalik kohe turvaparandust rakendada, pakub VMware ka ajutisi kaitsemeetmeid. Täpsemalt saab nende kohta lugeda tootja kodulehelt (VMware).

  • Zyxel parandas enda seadmete kolm kriitilist haavatavust

Zyxel avalikustas hiljuti turvapaigad, et parandada 15 haavatavust, mis mõjutavad võrguga ühendatud salvestusseadmeid (network-attached storage), tulemüüre ning  pääsupunkte (acces point) (THN).

15 turvanõrkuse seas parandati kolm kriitilist viga, mille abil on võimalik autentimisest mööda pääseda. Lisaks 15 haavatavusele parandas Zyxel hiljuti veel üheksa turvaviga, mida sai kasutada süsteemifailidele ja administraatori logidele juurdepääsuks ning teenusetõkestusrünnete tekitamiseks (THN).

Arvestades, et Zyxeli seadmed on sageli ründajate sihikul, on mõjutatud seadmete kasutajatel tungivalt soovitatav turvariskide leevendamiseks rakendada uusimaid värskendusi (THN).

  • Google parandas Chrome’il nullpäeva turvanõrkuse

Google andis hiljuti välja turvavärskenduse, et parandada Google Chrome’i kriitiline nullpäeva haavatavus, mida on rünnakutes juba ka ära kasutatud (BP).

Haavatavuse CVE-2023-6345 edukas kuritarvitamine võimaldab ründajal häirida ohvri brauseri tööd või käivitada seal suvalist koodi. Turvanõrkus on parandatud Windowsi kasutajatele mõeldud brauseri versioonis 119.0.6045.199/.200 ning Maci ja Linuxi kasutajatele mõeldud versioonis 119.0.6045.199. Kasutajatel on soovitatav rakendada uusimad värskendused, et leevendada võimalikke turvariske ja tagada nende tarkvara kiire värskendamine (BP).

  • Teadlased avastasid kuus Bluetoothi mõjutavat haavatavust koondnimetusega BLUFFS

Eurecomi teadlased on välja töötanud kuus uut rünnakut, mille koondnimetus on “BLUFFS”, mis võivad murda Bluetoothi seansside saladust, võimaldades seadmes esineda kellegi teisena ja Man-in-the-middle (MitM) tüüpi rünnakuid (BP).

Rünnakud kasutavad ära kaht varem tundmatut Bluetoothi standardi viga, mis on seotud sellega, kuidas seansivõtmed tuletatakse andmete dekrüpteerimiseks. Need vead ei ole spetsiifilised riist- või tarkvarakonfiguratsioonidele, vaid on hoopis arhitektuursed, mis tähendab, et need mõjutavad Bluetoothi põhitasandil (BP).

Rünnaku õnnestumiseks peab ründav seade olema kahe haavatava Bluetooth-seadme traadita levialas, mis käivitavad krüpteerimisprotseduuri (BP).

Turvanõrkuseid jälgitakse identifikaatori CVE-2023-24023 järgi ja need mõjutavad Bluetoothi põhispetsifikatsiooni 4.2–5.4. BLUFFS mõjutab 2014. aasta detsembris välja antud Bluetooth 4.2 ja kõiki versioone kuni uusima, 2023. aasta veebruaris välja antud Bluetooth 5.4 (BP).

Olulisemad turvanõrkused 2023. aasta 45. nädalal

  • Androidi operatsioonisüsteemil parandati 37 turvanõrkust

Google avalikustas Androidi operatsioonisüsteemile 2023. aasta novembri turvavärskendused, mis parandavad kokku 37 haavatavust (SW).

Turvavärskenduste esimene osa, mida pakuti alates 1. novembrist, parandab 15 turvaauku Androidi raamistiku ja süsteemi komponentides (SW).

Kõige tõsisem neist viieteistkümnest turvanõrkusest on süsteemikomponendi kriitiline turvaviga (CVE-2023-40113), mille abil on ründajal võimalik potentsiaalselt kätte saada tundlikku teavet ilma kõrgendatud õigusteta. Ülejäänud 14 turvanõrkuse abil on võimalik põhjustada mõjutatud seadme töös häireid või suurendada süsteemis õiguseid (SW).

Teine osa turvavärskendustest on saadaval alates 5. novembrist ja parandab kokku 22 Armi, MediaTeki ja Qualcommi komponentide turvanõrkust (SW).

Seadmetel, millel on 5. novembri turvavärskendused rakendatud, on olemas parandused kõigi novembris avaldatud turvanõrkuste jaoks (SW).

RIA soovitab uuendused rakendada esimesel võimalusel.

  • QNAP parandas kaks kriitilist turvanõrkust

QNAP Systems on välja andnud turvavärskendused, et kõrvaldada kaks kriitilist haavatavust, mis mõjutavad ettevõtte toodetud salvestusseadmeid (QNAP).

Esimene viga, mida tähistatakse kui CVE-2023-23368, mõjutab QTS-i, QuTS-i herot ja QuTScloudi ning võib luua ründajatele võimaluse mõjutatud süsteemides pahaloomulisi käske sisestada (QNAP).

Teine viga, mida tähistatakse kui CVE-2023-23369, mõjutab QTS-i, multimeediakonsooli ja meedia voogesituse lisandmoodulit ning võib ründajatel samuti võimaldada pahaloomulisi käske sisestada (QNAP).

Mõjutatud tooteversioonid ja versioonid, kus turvavead on parandatud, on loetletud QNAPi ametlikus ülevaates (QNAP). Mõjutatud seadmetel tuleks turvavärskendused kohe rakendada, eriti seetõttu, et QNAPi seadmeid on ajalooliselt lunavararünnakute käigus sihitud.

  • Nullpäeva turvanõrkust kasutati Clopi lunavara paigaldamiseks

Pahalased kasutasid ära SysAidi IT-tugitarkvara nullpäeva haavatavust, et saada ettevõtte serveritele juurdepääs ja krüpteerida need Clopi lunavaraga. SysAid on IT-teenuste halduse (ITSM) lahendus, mis pakub tööriistakomplekti erinevate IT-teenuste haldamiseks organisatsiooni sees.

Haavatavus, mida tähistatakse kui CVE-2023-47246, võimaldab pahaloomulist koodi vabalt käivitada. Haavatavus avastati 2. novembril pärast seda, kui häkkerid kasutasid seda SysAidi serveritesse sissemurdmiseks. Clopi lunavara puhul on sageli kasutatud tarkvarade nullpäeva haavatavusi, et serveritesse tungida ja antud lunavaraga süsteemid krüpteerida.

SysAid on kutsunud enda tarkvara kasutajaid uuendama tarkva vähemalt versioonile 23.3.36 ning süsteemilogid üle vaatama (SysAid). Täpsemad juhised selleks leiate siit.

  • Looney Tunables nimelist turvanõrkust kasutatakse pilvekeskkondades majutatud süsteemide ründamiseks

Haavatavust Looney Tunables kuritarvitatakse, et rünnata pilvekeskkondades majutatud süsteeme. Turvanõrkus, mida tähistatakse ka kui CVE-2023-4911, mõjutab suuremaid Linuxi distributsioone, sealhulgas Debian, Gentoo, Red Hat ja Ubuntu. See võimaldab ründajal käivitada kõrgendatud õigustega suvalist koodi (SW).

Ründeid on seostatud Kinsingi rühmitusega, mis on tuntud oma Linuxi pahavara juurutamise poolest konteinerkeskkondades. Rühmituse lõppeesmärk on olnud krüptovaluuta kaevandamistarkvara kohaletoimetamine kompromiteeritud süsteemidesse. Nüüd on täheldatud, et rühmitus üritab ära kasutada Looney Tunablesi osana “uuest eksperimentaalsest kampaaniast”, mille eesmärk on üle võtta pilvekeskkondades majutatud süsteeme (Aquasec).

Täpsemalt saab rünnakukampaania kohta lugeda siit.

  • Isiklikule Google’i kontole salvestatud töökonto kasutajatunnused põhjustasid Okta küberintsidendi

Identiteedi- ja autentimishalduse pakkuja Okta on avalikustanud, et ettevõtte tugisüsteemi hiljutine kompromiteerimine mõjutas 134 tema 18 400 kliendist. Rikkumine viidi läbi kompromiteeritud teenusekonto kaudu, millel oli õigus vaadata ja värskendada klienditoega seotud juhtumeid (Okta).

Teenusekonto kasutajanimi ja parool olid salvestatud töötaja isiklikule Google’i kontole. Ründaja sai tänu üle võetud teenusekontole volitamata juurdepääsu 134 Okta kliendiga seotud failidele. Ettevõte on võtnud kasutusele mitmeid meetmeid, et tulevikus sarnaseid intsidente ära hoida, sealhulgas eemaldanud kompromiteeritud teenusekonto, blokeerinud isiklike Google’i kontode kasutamise Okta hallatavates seadmetes ning juurutanud oma klienditoe süsteemis täiendavad tuvastamisreegleid (HNS).