Tag Archives: MacOs

Olulised turvanõrkused 2023. aasta 38. nädalal

Eelmisel nädalal kajastati, kuidas Apple paikas kolm nullpäeva turvanõrkust. Turvanõrkused mõjutavad mitmeid Apple’i tooteid, turvauuendused on tootja väljastanud. Lisaks Apple’ile avalikustasid turvapaigad veel mitmed ettevõtted, sh Fortinet, GitLab, Atlassian jpt. Kõik olulisemad uudised on lühidalt välja toodud järgnevas kokkuvõttes.

  • Apple paikas kolm uut nullpäeva turvanõrkust

Apple avalikustas turvauuendused, et parandada kolm uut nullpäeva turvaviga. Turvavigu on tootja sõnul rünnakutes juba ära kasutatud. Haavatavused lubavad ründajatel käivitada pahaloomulist koodi ohvri seadmes, kui ohver külastab selleks otstarbeks loodud veebilehte, samuti on võimalik ühe nullpäeva turvanõrkuse abil haavatavas süsteemis õigusi suurendada. Konkreetsed nõrkused on parandatud operatsioonisüsteemides macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ja watchOS 9.6.3/10.0.1. Soovitame uuendused rakendada esimesel võimalusel (BP, Apple, Apple).

  • GitLab paikas kriitilise turvanõrkuse

GitLab paikas kriitilise turvavea (CVE-2023-4998), mis mõjutab tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versioone 13.12 kuni 16.2.7 ja 16.3 kuni 16.3.4. Turvaviga on hinnatud CVSS skooriga 9.6/10. Haavatavus on parandatud GitLab Community Edition ja Enterprise Edition versioonides 16.3.4 ning 16.2.7. Ettevõtte soovitab viivitamatult uuendada GitLabi tarkvara uuele versioonile (BC, Gitlab).

  • Fortinet paikas kõrge mõjuga turvavead oma toodetes

Turvanõrkus (CVE-2023-29183) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahaloomulist JavaScripti koodi käivitada. Turvaviga mõjutab FortiOSi versioone 6.2.x, 6.4.x, 7.0.x ja 7.2.x ning FortiProxy versioone 7.2.x ja 7.0.x. Teine kõrge mõjuga haavatavus (CVE-2023-34984) mõjutab FortiWebi versioone 6.3, 6.4, 7.0.x ja 7.2.x. Tarkvarade kasutajad peaksid esimesel võimalusel veenduma, et vastavad turvauuendused on rakendatud (SW, Fortinet, Fortinet).

  • Atlassian paikas neli turvanõrkust

Atlassian avalikustas turvauuendused neljale haavatavusele, mis mõjutavad kas Jira, Confluence’i, Bitbucketi või Bamboo tarkvara. Kõige tõsisemat haavatavust märgitakse tähisega CVE-2023-22513 (CVSS skoor 8.5/10.0) ja selle abil on autentitud ründajal võimalik käivitada haavatavas Bitbucketi süsteemis pahaloomulist koodi. Turvanõrkus on parandatud Bitbucketi versioonides 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 ja 8.14.0 (SW, Atlassian).

  • Tuhandeid Juniperi võrguseadmeid ohustab kriitiline turvanõrkus

Hinnanguliselt 12 000 Juniperi SRX-tulemüüri ja EX switchi on haavatavad koodi kaugkäivitamise vea suhtes, mida autentimata ründajad saavad ära kasutada. Vead tähistega CVE-2023-36845 ja CVE-2023-36846 avaldati juba augustis, kuid siis polnud teada, et nende koosmõjul tekib kriitiline haavatavus. Tootja soovitab kõigil mõjutatud Juniperi seadmete kasutajal uuendada tarkvara esimesel võimalusel, kuna haavatavuse kaudu võib saada ründaja ligipääsu ohvri võrgule. Täpsem loetelu mõjutatud seadmetest on lisatud linkidel (BC, Juniper).

Olulised turvanõrkused 2023. aasta 22. nädalal

Kriitilist MOVEit tarkvara turvanõrkust kasutatakse andmete varastamiseks

31. mail avalikustati, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning paigaldada haavatavasse süsteemi ka tagauks. Sõltuvalt kasutatavast andmebaasist võib ründajal olla võimalik saada teavet andmebaasi struktuuri ja sisu kohta ning muuta või kustutada andmebaasi elemente. Paikamata süsteemidele pääsetakse ligi portide 80 (HTTP) või 443 (HTTPS) kaudu (MOVEit).

Kontekst: Avalike andmete põhjal on maailmas avalikult kättesaadavad üle kahe tuhande MOVEit süsteemi, millest enamik on seotud USA IP-aadressidega, lisaks leidub MOVEit süsteeme ka Ühendkuningriigi, Saksamaa, Hollandi ja Kanada jpm riikidega seotud IP-aadressidelt (MB). 


Kes ja mida peaks tegema?

Konkreetne haavatavus mõjutab kõiki MOVEit Transfer tarkvara versioone. Soovitame tutvuda tootja kodulehega siin, kus on kogu vajalik info uuenduste ja kaitsemeetmete kohta välja toodud.

Microsoft tuvastas macOSi operatsioonisüsteemis turvanõrkuse

Microsoft tuvastas macOSi operatsioonisüsteemis turvanõrkuse, mida on juurõigustega ründajatel võimalik kasutada, et mööda pääseda SIP-nimelisest kaitsemeetmest. SIP ehk System Integrity Protection on lahendus, mis piirab juurkasutaja tegevusvõimalusi lahendusega kaitstud failide ja kaustadega. Microsoft tõdes, et SIPist möödapääsemise korral saaksid ründajad luua faile, mis on SIPi poolt kaitstud ehk neid ei oleks võimalik tavaolukorras kustutada (HN, Microsoft).

Kes ja mida peaks tegema?

Turvanõrkus on eemaldatud macOS Ventura 13.4, macOS Monterey 12.6.6 ja macOS Big Sur 11.7.7 versioonides. Kui te neid macOSi versiooni juba kasutate, siis konkreetne turvanõrkus teile ohtu ei kujuta.

Pistikprogrammi turvanõrkus mõjutas viit miljonit WordPressi veebilehte

WordPress uuendas automaatselt viis miljonit veebilehte, mis kasutasid haavatavat JetPack-nimelist pistikprogrammi. Turvanõrkus oli seotud APIga (rakendusliides), mida pistikprogramm on kasutanud aastast 2012. Haavatavust oleks ründajatel olnud võimalik ära kasutada, et teostada toiminguid mistahes failidega veebilehega seotud süsteemis. Hetkel ei ole tõendeid, et turvanõrkust oleks kuritarvitatud.

Kontekst: WordPress on sisuhaldustarkvara, mida kasutatakse maailmas üsna laialdaselt. Tarkvarale pakutakse hulga laiendusi ning seetõttu ei ole ebatavaline, et mõnel neist leitakse ka turvanõrkuseid. Näiteks parandati eelmisel nädalal haavatavus ka Gravity Forms nimelisel pistikprogrammil, mille abil on autentimata ründajal võimalik veebilehele lisada pahaloomulist koodi (BC).

Kes ja mida peaks tegema?

Pistikprogrammi arendajad on koostööd teinud WordPressiga, et haavatavad veebilehed automaatselt uuendada. Kui te antud pluginat kasutate, veenduge, et selle versioon oleks vähemalt üks neist, mis on ametlikul pistikprogrammi veebilehel välja toodud. Täpsemalt saab selle kohta lugeda siit.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 14. nädalal

Androidile avalikustatud turvauuendused paikavad 16 kriitilist turvaviga

Google avalikustas Androidi operatsioonisüsteemile turvauuendused, mis paikavad kokku 65 haavatavust, millest 16 on hinnatud kriitiliseks. Enamik turvanõrkusi võimaldavad haavatavas süsteemis õigusi suurendada või teabele ligi pääseda. Kõige murettekitavamad nõrkused on CVE-2023-21085 ja CVE-2023-21096. Haavatavused lubavad ründajal kõrgendatud õigusteta potentsiaalselt koodi kaugkäitada. Sealjuures ei ole ründajal vaja selleks kasutajapoolset sekkumist (SW).

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga seadet, kontrollige, kas süsteem pakub teile uuendusi. Kui jah, rakendage need esimesel võimalusel. Uuenduste kättesaadavus võib sõltuda tootjate lõikes.

Apple paikas kaks kriitilist nullpäeva turvanõrkust

Apple avalikustas 7. aprillil iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad kaks nullpäeva turvanõrkust tähistega CVE-2023-28205 ja CVE-2023-28206. Esimest haavatavust on ründajal võimalik ära kasutada pahaloomuliste rakenduste kaudu, teist haavatavust aga siis, kui ohver külastab selleks spetsiaalselt loodud veebilehte. Mõlema nõrkuse abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkuseid aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.4.1, iPadOS 16.4.1 ja macOS Ventura 13.3.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid hetkel ainult ühe nullpäeva turvanõrkuse eest kaitsta (CVE-2023-28205). Selleks on vaja uuendada Safari veebilehitseja versioonile 16.4.1 (Apple).

iOS 16.4.1 või iPadOS 16.4.1 on rakendatavad järgmistele mudelitele:

•             iPhone 8 ja uuemad mudelid;

•             iPad Pro (kõik mudelid);

•             iPad Air 3 ja uuemad mudelid;

•             iPadi viies generatsioon ja uuemad mudelid;

•             iPad mini 5 ja uuemad mudelid.

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Kõikide Apple’i turvahoiatustega saate tutvuda veebileheküljel https://support.apple.com/en-us/HT201222.

Avalikustati kriitilise VM2 teegi turvavea kontseptsiooni tõendus

Hiljuti avalikustatud VM2 teegi kriitilisele turvaveale on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). VM2 on sandbox, mida kasutatakse koodi testimiseks turvalises keskkonnas. Selle abil on võimalik koodi osaliselt käivitada ja samuti takistab VM2 vajadusel käivitatud koodil volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused. Turvanõrkuse abil on võimalik VM2-e keskkonnast välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi (BP).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki VM2 tarkvara versioone, mis on versiooninumbriga 3.9.14 või vanem. Haavatavus on parandatud versioonis 3.9.15. Soovitame kõikidel teenuse- ja/või süsteemihalduritel kontrollida, kas haavatavat VM2 tarkvara kasutatakse. Kui jah, tuleks tarkvara uuendada esimesel võimalusel versioonini 3.9.15.

Autode varastamiseks kasutati uudset lähenemisviisi

Autode küberturvalisuse uurimisega seotud eksperdid avastasid uudse meetodi, kuidas saab autodesse sisse murda ja need potentsiaalselt varastada. Haavatavus on seotud ühe siini standardiga (Controller Area Network ehk CAN). CAN võimaldab sõidukis olevatel mikrokontrolleritel ja seadmetel omavahel juhtarvuti abita andmeid vahetada. Põhimõtteliselt on autos nii-öelda kohalik võrk, kuhu küberründajad saavad sisse tungida, et peatada ja käivitada auto, avada selle uksi ja aknaid, käivitada raadio jpm. 3. aprillil avaldatud blogipostitus kirjeldabki, kuidas ründajatel õnnestus ühe auto elektrooniline juhtseade (ECU) kompromiteerida, kasutades selleks just CANi siini. Siinile pääseti ligi esitulede kaudu. Sellist lähenemisviisi ei olnud eksperdid varem näinud. Täpsemalt saab avastuste kohta lugeda siit.

Internetiga on ühendatud 15 miljonit uuendamata ja haavatavat sihtmärki

Küberekspertide uurimuse kohaselt on internetiga ühendatud kokku rohkem kui 15 miljonit haavatavat arvutit, teenust kui ka muid seadmeid (nii virtuaalseid kui füüsilisi). Näiteks 2014. aastal avalikustatud Heartbleedi nime kandva turvanõrkuse vastu on haavatavad endiselt ligi 190 000 süsteemi. Eksperdid toonitasid taas üldlevinud tõde, et regulaarne uuendamine on äärmiselt oluline, sest haavatavaid süsteeme üritatakse pidevalt leida ning kompromiteerida. Täpsema ülevaate saate viidatud artiklist (DR).


RIA analüüsi- ja ennetusosakond