Tag Archives: MacOs

Olulisemad turvanõrkused 2024. aasta 34. nädalal

Mitmed macOS-ile mõeldud Microsofti rakendused on haavatavad rünnakutele

Cisco Talose teadlased avastasid, et ründajad saavad kuritarvitada macOS-i jaoks mõeldud populaarsete Microsofti rakenduste haavatavusi video- ja heliklippide salvestamiseks, pildistamiseks, andmetele juurdepääsuks ning e-kirjade saatmiseks. Turvavead leiti tarkvarade Microsoft Teams, OneNote, Outlook, Word, Excel ja Powerpoint macOSi jaoks loodud versioonidest. Turvavead võimaldavad ründajatel sisestada rakenduse tööprotsessidesse pahatahtlikku teeki. Hetkel on paigatud Teamsi ja OneNote’i turvavead, kuid Microsofti sõnul ei ole tegemist tõsiste turvavigadega ja nad ei plaani teistes tarkvarades olevaid vigu parandada (HNS, DR).

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 100 000 WordPressi veebilehe on mõjutatud GiveWP pistikprogrammis olevast kriitilisest haavatavusest tähisega CVE-2024-5932, mille kaudu võib ründaja käivitada suvalist koodi ja kustutada veebilehel olevaid faile. Samuti on võimalik veebileht täielikult üle võtta ja kogu seal olev info kustutada. Haavatavus on hinnatud maksimaalse CVSS skooriga 10/10.

GiveWP puhul on tegemist populaarse annetamise ja raha kogumise pistikprogrammiga, millel on üle 100 000 aktiivse kasutaja.

Viga mõjutab kõiki plugina versioone kuni 3.14.1 ja on parandatud versioonis 3.14.2. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (SW).

Google paikas Chrome’i veebilehitsejas selle aasta üheksanda nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-7971 juba rünnetes ära kasutatud. Lisaks nullpäeva turvanõrkusele paigati veel 37 haavatavust. Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 esimesel võimalusel. Tegemist on üheksanda Chrome’i nullpäeva turvanõrkusega sel aastal (BC, Chrome).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-6800 on hinnatud kriitilise CVSS skooriga 9.5/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.14 ja on paigatud versioonides 3.13.3, 3.12.8, 3.11.14 ja 3.10.16. Lisaks nimetatud veale paigati veel kaks keskmise mõjuga haavatavust (CVE-2024-7711 ja CVE-2024-6337). Kõigist kolmest turvaprobleemist teatati GitHubi Bug Bounty programmi kaudu HackerOne’i platvormil.

FOFA otsingumootori andmetel on hetkel internetile avatud üle 36 500 GitHubi Enterprise Serveri rakenduse, aga ei ole teada, kui paljud neist kasutavad turvanõrkusega versiooni.

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada (BC, SW).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on üle viie miljoni veebilehe ohus

Turvanõrkus (CVE-2024-28000) mõjutab pistikprogrammiLitespeed Cacheja selle kaudu on võimalik autentimata ründajal saada administraatoriõigused ning võtta veebileht enda kontrolli alla.  Pistikprogrammi on alla laetud enam kui 5 miljonit korda ehk tegemist on väga laialdaselt kasutusel oleva tarkvaraga.

Haavatavus mõjutab kõiki pistikprogrammi versioone kuni 6.3.0.1. Turvanõrkus on paigatud tarkvara versioonis 6.4 ja kõigil kasutajatel tuleks uuendada pistikprogramm kõige uuemale versioonile.

Häkkerid alustasid juba päev pärast tehniliste üksikasjade avalikustamist haavatavuse ärakasutamist rünnete läbiviimisel. Reedese info põhjal oli vaid 30% protsenti kasutajatest pistikprogrammi uuendanud ja kasutas turvapaigatud versiooni. Wordfence’i sõnul tehti vaid ühe ööpäeva jooksul 48 500 ründekatset. See on tänavu teine ​​kord, kui häkkerid on sihikule võtnud LiteSpeed Cache’i plugina. Mais kasutasid ründajad haavatavust CVE-2023-40000, et luua administraatorikontosid ja võtta üle haavatavad veebisaidid (BC, BC).

Atlassian paikas turvavigu tarkvarades Bamboo, Confluence, Crowd ja Jira

Atlassian väljastas turvapaigad üheksa suure mõjuga haavatavuse jaoks enda toodetes Bamboo, Confluence, Crowd ja Jira.

Bamboo Data Center and Serveri tarkvaras paigati kaks suure mõjuga viga, millest üks võimaldab koodi kaugkäivitada. Confluence Data Center and Serveri tootes paigati samuti kaks suure mõjuga haavatavust. Täpsem nimekiri parandatud turvavigadest on Atlassiani kodulehel.

Kasutajatel soovitatakse tarkvara esimesel võimalusel uuendada, kuigi ettevõte ei maini, et neid vigu oleks õnnestunud ära kasutada (SW, Atlassian).

Häkkerid saavad üle võtta Ecovacsi robotseadmeid

Hiljuti tuli avalikuks turvanõrkus, mille kaudu saavad häkkerid luurata Ecovacsi robottolmuimejate ja -muruniidukite omanikke.

Teadlased analüüsisid järgmisi seadmeid: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat Z1, Air Ecova, Ecovacs Airbot AVA ja Ecovacs Airbot ANDY.

Eksperdid avastasid mitmeid haavatavusi, mis võimaldavad ründajatel Bluetoothi ​​kaudu seadmete kaameraid ja mikrofone üle võtta. Selgus, et seadmetel ei ole valgustust, mis näitaks, et nende kaamerad ja mikrofonid on sisse lülitatud. Ecovacs on lubanud turvavead paigata (SA, TC).

Olulisemad turvanõrkused 2023. aasta 50. nädalal

  • Apple avaldas uue iOSi ja iPadOSi versiooni 17.2

Apple avaldas eelmise nädala alguses uued tarkvara versioonid iOS 17.2 ja iPadOS 17.2, kus on paigatud vähemalt 11 turvaviga. Kõige tõsisema mõjuga on mälupesa sisu muutmise viga ImageIO komponendis, mis võib kaasa tuua pahaloomulise koodi käivitamise. Täpsema loetelu paigatud vigadest leiab Apple’i veebilehelt (Apple).

Ühtlasi tuli välja ka turvauuendus vanematele Apple’i seadmetele. Versioonides iOS 16.7.3 ja iPadOS 16.7.3 on paigatud muuhulgas ka WebKiti veebibrauserimootorit mõjutavad nullpäeva turvanõrkused.

Soovitame Apple’i nutiseadmeid uuendada esimesel võimalusel (SW).

  • Microsoft andis välja oma igakuised turvauuendused

Microsoft parandas kokku 34 haavatavust, nende hulgas oli ka üks nullpäeva turvanõrkus. Parandatud vigadest võimaldavad koodi kaugkäivitada kaheksa haavatavust ja kolm neist on hinnatud kriitilise mõjuga veaks.

Paigatud nullpäeva turvanõrkus tähisega CVE-2023-20588 mõjutab teatud AMD protsessoreid, mis võivad eduka ründe korral tagastada tundlikku infot. Viga tuli avalikuks juba augustis, kuid siis ei avaldatud veale parandust.

Lisaks paigati ka kaheksa turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Adobe paikas oma toodetes 207 turvanõrkust

Adobe hoiatas nii Windowsi kui ka macOSi Adobe toodete kasutajaid pahatahtliku koodi käivitamise, mälulekete ja teenuse tõkestamise rünnete eest. Kokku paigati vähemalt 207 turvaviga, mis mõjutavad erinevaid Adobe tarkvarasid.

Kriitilise mõjuga vead paigati tarkvarades Adobe Illustrator, Substance 3D Sampler ja After Effects. Vead paigati ka tarkvarades Adobe Prelude, Adobe InDesign, Adobe Dimension ja Adobe Animate.

Soovitame kõigil Adobe toodete kasutajatel tarkvara uuendada (SW).

  • Google Chrome’i uues versioonis on parandatud 9 turvanõrkust

Google avaldas Chrome’i versiooni 120.0.6099.109 Windowsi, Maci ja Linuxi seadmetele. Parandatud turvanõrkuste seas on viis kõrge mõjuga ja üks keskmise mõjuga haavatavus. Kõige suurema mõjuga neist on V8 JavaScripti mootorit mõjutav haavatavus.

Ettevõtte ei avaldanud täpsemat infot turvanõrkuste kohta, et enamus kasutajaid jõuaks enne tarkvara uuendada. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada. Google on 2023. aasta jooksul paiganud juba seitse nullpäeva turvanõrkust Chrome’i veebilehitsejas (SW).

  • Ligi 40% Log4J rakendustest kasutab haavatavat tarkvara

Umbes 38% rakendustest, mis kasutavad Apache Log4j teeki, on haavatavuste tõttu ohus. Nende hulgas on ka endiselt rakendusi, mis on haavatavad kaks aastat tagasi paigatud kriitilisele turvanõrkusele Log4Shell. Kuna Log4Shell haavatavus mõjutab väga paljusid tarkvarasid ning seda oli lihtne kuritarvitada, siis muutus see kiirelt ründajate sihtmärgiks.

Rakenduste turvalisusega tegeleva ettevõte Veracode’i raporti alusel on endiselt paljud organisatsioonid jätnud tarkvara uuendamata ja on seetõttu ohus erinevatele Log4j turvanõrkuste rünnetele. Ettevõte kogus 90 päeva jooksul andmeid 3866 organisatsioonist ja enam kui 38 000 erinevast rakendusest. Selle tulemusel selgus, et suur hulk rakendusi kasutab endiselt haavatavaid versioone tarkvarast (BC).

Olulisemad turvanõrkused 2023. aasta 49. nädalal

Androidi turvauuendused parandavad kriitilise turvavea

Androidi nutiseadmetes paigati 85 turvaviga. Nende hulgas on ka kriitiline koodi kaugkäivitamist võimaldav turvaviga (CVE-2023-40088), mis ei vaja kasutajapoolset tegevust haavatavuse edukaks kuritarvitamiseks. Samuti ei ole haavatavuse kuritarvitamiseks vaja kõrgendatud õiguseid. Teadaolevalt ei ole viga rünnete läbiviimisel veel ära kasutatud, kuid RIA soovitab Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (BC, SA, Android).

Atlassian parandas enda toodetes neli kriitilist turvaviga

Atlassian avaldas parandused nelja kriitilise koodi kaugkäitamise haavatavuse kohta, mis mõjutavad Confluence’i, Jira ja Bitbucketi tarkvaru. Kõik haavatavused said kriitilisuse skooriks vähemalt 9.0/10.0-st ja neid tähistatakse kui CVE-2023-22522, CVE-2023-22523, CVE-2023-22524 ja CVE-2022-1471. RIA soovitab esimesel võimalusel tarkvarad uuendada (HNAtlassian).

WordPressi administraatoritele saadetakse võltsitud turvauuenduste kirju

WordPressi haldajatele saadetakse võltsitud WordPressi turvateatisi fiktiivse haavatavuse kohta, et nakatada veebilehti pahatahtliku pistikprogrammiga. Kirja sisus on väidetud, et platvormil leiti kriitiline koodi kaugkäivitamist võimaldav viga ja selle parandamiseks tuleks alla laadida turvapaik. Kui lingile vajutada, siis suunatakse kasutaja kurjategijate loodud lehele, mis näeb välja identne õige WordPressi veebilehega (BC).

Lisaks paigati WordPressi uues versioonis 6.4.2 viga, mida on võimalik koos mõne teise haavatavusega ära kasutada pahatahtliku koodi kaugkäivitamiseks. Kõigil WordPressi kasutajatel on soovitatud tarkvara uuendada esimesel võimalusel, kuna haavatavuse tõttu on võimalik saada täielik kontroll veebilehe üle (SA, WordPress).

Tõsine Bluetoothi haavatavus võib lubada seadmetesse alla laadida pahaloomulisi rakendusi

Hiljutine turvahaavatavus CVE-2023-45866 mõjutab Androidi, Linuxi ja Apple’i seadmeid, võimaldades ründajatel sisestada klahvivajutused Bluetoothi turvavea kaudu. See viga võimaldab Bluetoothi levialas asuvatel ründajatel luua ühenduse tuvastatavate seadmetega ilma kasutaja kinnitust vajamata, võimaldades neil teha selliseid toiminguid nagu rakenduste installimine või käskude käivitamine. Haavatavus tuvastati esmalt macOS-is ja iOS-is, mõjutades isegi lukustusrežiimis (Lockdown Mode) olevaid seadmeid. Hiljem tuvastati see ka Androidis ja Linuxis (SW).

Mõjutatud on kõik Androidi versioonid alates versioonist 4.2.2. Google’i sõnul parandavad turvavea 2023. aasta detsembri turvauuendused (SW).

Kuigi Linuxi erinevatele distributsioonidele on parandus olemas juba 2020. aastast, on see tihti vaikimisi seades keelatud. Mõjutatud on Linuxi operatsioonisüsteemi kasutavad seadmed, mis on seatud olekusse avastatav/ühendatav (SW).

Lisaks on macOS ja iOS haavatavad, kui Bluetooth on lubatud ja Magic Keyboard on seadmes rakendatud. Sellisel juhul ei kaitse potentsiaalse ründe eest ka lukustusrežiim (Lockdown Mode) (SW).

USA valitsusasutuste vastu on üritatud ära kasutada Adobe ColdFusioni kriitilist turvanõrkust

Häkkerid on aktiivselt kasutanud Adobe ColdFusioni kriitilist turvaauku, mille tähistus on CVE-2023-26360, et tungida USA valitsusasutuste serveritesse. See haavatavus võimaldab ründajatel käivitada mis tahes koodi sihtmärgiks valitud serverites, mis kasutavad veebirakenduste arendusplatvormi Adobe ColdFusioni aegunud versioone. Turvaviga kasutati algselt nullpäeva haavatavusena, enne kui Adobe paranduse välja andis.

USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) on liigitanud antud häkkimiskatsed luuretegevuseks, mis tavaliselt hõlmavad teabe kogumist sihitud võrkude ja süsteemide kohta. CISA avalikustas föderaalasutustele ja osariikide teenistustele hoiatuse ja soovitused, et nad rakendaksid oma Adobe ColdFusioni tarkvaradele kohe saadaolevad turvavärskendused (CISA).

Riski maandamiseks ja võimalike ärakasutamiste eest kaitsmiseks soovitatakse ColdFusion uuendada uusimale saadaolevale versioonile. Lisaks soovitatakse rakendada võrgu segmenteerimist, kasutada tulemüüri ja/või veebirakenduste tulemüüri (WAF) ning kasutada nii palju kui võimalik mitmefaktorilist autentimist, et veelgi tugevdada kaitset selliste haavatavuste vastu (CISA).

5Ghoul-nimelised turvanõrkused mõjutavad 5G-modemeid

5Ghoul koondnimetusega haavatavused on turvanõrkused, mis leiti Qualcommi ja MediaTeki valmistatud 5G-modemites. Neid kasutatakse paljudes nutitelefonides, ruuterites ja USB-modemites. Teadlased avastasid 14 erinevat turvaprobleemi, millest kümmet on ka avalikkusega jagatud (SA).

Konkreetsed haavatavused võivad põhjustada teenuste töös tõrkeid või sundida mõjutatud seadmeid kasutama vähem turvalist võrku. Neid saab kuritarvitada haavatavatele seadmetele ilma füüsilist juurdepääsu omamata, imiteerides lihtsalt legitiimset 5G võrgusignaali. Mõned kriitilisemad haavatavused on tähistatud kui CVE-2023-33043, CVE-2023-33044 ja CVE-2023-33042 (SA).

Nii Qualcomm kui ka MediaTek on avaldanud turvahoiatused, mis käsitlevad avalikustatud 5Ghouli haavatavusi. Turvavärskendused tehti seadmemüüjatele kättesaadavaks kaks kuud tagasi. Tarkvara levitamise keerukuse tõttu, eriti Android-seadmetes, võib aga kuluda veidi aega, enne kui parandused turvavärskenduste kaudu lõppkasutajatele jõuavad. See tähendab, et kuigi nende haavatavuste jaoks on paigad olemas, sõltub nende juurutamine üksikutele seadmetele erinevatest teguritest, sealhulgas seadmete tootjatest ja konkreetsetest mõjutatud mudelitest (SA).

Sierra Wirelessi ruuterite turvanõrkused võivad mõjutada kriitilist infrastruktuuri

Turvanõrkused mõjutavad Sierra Wireless OT/IoT ruutereid ja võivad seetõttu ohustada kriitilist infrastruktuuri. Turvanõrkuste abil on võimalik autentimisest mööda minna, käivitada pahatahtlikku koodi ja teenuste tööd häirida. Sierra AirLink ruutereid kasutavad maailmas näiteks mitmed tööstusettevõtted ja hädaabiteenuse pakkujad oma kriitilise tähtsusega süsteemides. Kõigil kasutajatel soovitatakse üle minna ALEOS-i (AirLink Embedded Operating System) versioonile 4.17.0, kus vead on paigatud (BC, Forescout).