Tag Archives: Magento

Olulisemad turvanõrkused 2024. aasta 25. nädalal

VMware paikas oma toodetes haavatavusi

VMware paikas kaks kriitilist haavatavust, mis mõjutavad vCenter Serveri tarkvara. vCenter Server on haldustarkvara, mida kasutatakse VMware’i virtualiseeritud keskkondade haldamiseks. Mõlemad haavatavused tähistega CVE-2024-37079 ja CVE-2024-37080 on hinnatud kriitilise CVSS skooriga 9.8/10. Eduka ründe korral on võimalik nende abil koodi kaugkäivitada. Haavatavused on paigatud vCenteri versioonides 8.0 ja 7.0, samuti Cloud Foundationi versioonides 5.x ja 4.x.

Lisaks paikas ettevõtte ka kõrge mõjuga turvavea tähisega CVE-2024-37081, mille kaudu on autentimata ründajal võimalik saada juurkasutaja õigused vCenter Serveri tarkvaras.

Kuna erinevad VMware’i tooted on laialdaselt kasutusel, siis on need ka varasemalt osutunud ründajate sihtmärgiks. Nende haavatavuste kaudu on potentsiaalselt võimalik saada ligipääs ettevõtete tundlikule infole, mistõttu on oluline tarkvara värskendada esimesel võimalusel (SCM, SA).

Google avaldas uue Chrome’i versiooni

Google avaldas Chrome’i versiooni 126 Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Parandatud turvanõrkuste seas on neli kõrge mõjuga turvaviga. Üks neist on haavatavus tähisega CVE-2024-6100, mida esitleti TyphoonPWN 2024 häkkimisvõistlusel. Ettevõtte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada.

Soovitame uuendada Chrome’i esimesel võimalusel – Windowsi ja macOSi kasutajad versioonile 126.0.6478.114/115 ning Linuxi kasutajad 126.0.6478.114 (SA, SW).

Atlassian paikas oma toodetes mitmeid kõrge mõjuga haavatavusi

Atlassian parandas mitu kõrge mõjuga haavatavust, mis mõjutavad ettevõtte tarkvarasid Confluence, Crucible ja Jira.

Näiteks Confluence Data Center and Serveri tarkvaras paigati kuus turvaviga, mis on parandatud tarkvara versioonides 8.9.3, 8.5.11 (LTS) ja 7.19.24 (LTS).

Crucible Data Center and Server tuleks uuendada versioonile 4.8.15 või uuemale. Jira Data Center and Serveri vead on paigatud versioonides 9.16.0, 9.16.1, 9.12.8, 9.12.10 (LTS), 9.4.21 ja 9.4.23 (LTS).

Atlassian ei maini, et nimetatud turvanõrkusi oleks õnnestunud kuritarvitada. Soovitame samas kõigil Atlassiani toodete kasutajatel uuendada tarkvara viimasele versioonile, kuna need on olnud varasemalt ründajate sihtmärkideks (SW, SA, Atlassian).

Adobe Commerce’i ja Magento veebilehed on turvanõrkuse tõttu ohus

CosmicStingi-nimeline turvanõrkus mõjutab suurt osa Adobe Commerce’i ja Magento veebilehti – hetkel on arvatavalt ohus miljonid veebilehed. Nimetatud tarkvarasid kasutavad e-poed üle maailma ja kolm neljandikku neist ei ole veel turvauuendusi rakendanud. Haavatavus tähisega CVE-2024-34102 võimaldab koodi käivitada ja on hinnatud kriitilise CVSS skooriga 9.8/10. Sanseci hinnangul on tegemist ühe kriitilisema turvaveaga viimase kahe aasta jooksul, mis mõjutab Magento ja Adobe Commerce’i tarkvarasid.

Viga on paigatud järgmistes tarkvarade versioonides:

  • Adobe Commerce 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce Extended Support 2.4.3-ext-8, 2.4.2-ext-8, 2.4.1-ext-8, 2.4.0-ext-8, 2.3.7-p4-ext-8
  • Magento Open Source 2.4.7-p1, 2.4.6-p6, 2.4.5-p8, 2.4.4-p9
  • Adobe Commerce Webhooks Plugin version 1.5.0

Kõigil Adobe Commerce’i ja Magento Open Source’i tarkvarade kasutajatel tuleks teha turvauuendus (BC, Sansec).

Ligikaudu 150 000 ASUSe ruuterit on turvanõrkuse tõttu ohus

Kriitiline turvanõrkus tähisega CVE-2024-3080 tuli avalikuks juuni keskpaigas ja see võimaldab ründajal autentimisest mööda minna. Kirjutasime turvaveast ka siin blogis. Veale on olemas parandus 14. juunist, kuid paljud ASUSe ruuterite kasutajad ei ole veel oma seadme tarkvara uuendanud. Vähemalt 150 000 ruuterit on uuendamata takrvaraga ja seetõttu kriitilisele turvanõrkusele haavatavad (CSD).

Olulisemad turvanõrkused 2024. aasta 14. nädalal

WordPressi populaarsest LayerSlideri pistikprogrammist leiti kriitiline turvaviga

WordPressi pistikprogrammist LayerSlider leitud kriitiline haavatavus tähisega CVE-2024-2879 võimaldab ründajal teostada pahatahtlikke SQL-päringuid ning hankida seeläbi tundlikku teavet veebilehe andmebaasidest. Haavatavus on hinnatud kriitilise CVSS-skooriga 9.8/10.

LayerSlideri pistikprogramm võimaldab luua liugureid, pildigaleriisid ja animatsioone WordPressi saitidel ning see on kasutusel enam kui miljonil veebilehel. Haavatavus mõjutab plugin’i versioone 7.9.11 kuni 7.10.0 ning eduka ründe korral on võimalik saada kontroll kogu veebilehe üle. Kasutajatel soovitatakse uuendada pistikprogramm turvapaigatud versioonile 7.10.1. Kuna WordPressi haavatavused on tihti ründajate sihtmärkideks, siis tuleks veebilehtede haldajatel regulaarselt uuendada tarkvara, eemaldada need pistikprogrammid, mida ei ole vaja ja kasutada tugevaid paroole (SWBC).

Ivanti parandas VPN-lüüsi haavatavuse

Ivanti avaldas turvauuenduse, mis paikab neli turvaviga Connect Secure’i ja Policy Secure’i tarkvarades. Kõige suurema mõjuga neist on kriitiline haavatavus tähisega CVE-2024-21894,  mis võimaldab autentimata ründajatel koodi kaugkäitada. Ivanti väitel on koodi kaugkäitamise riskid piiratud teatud tingimustega, ent ettevõte ei esitanud haavatavate konfiguratsioonide üksikasju.

Shodani monitooringu kohaselt on üle 29 000 internetile avatud seadme, mis kasutavad Ivanti Connect Secure’i VPNi. Umbes 16 500 seadet on internetile avatud ja turvanõrkuse tõttu ohus. Kuna Ivanti haavatavusi on riiklikud küberrühmitused sel aastal juba ära kasutanud, siis on eriti oluline tarkvara uuendada niipea kui võimalik. Hetkel teadaolevalt ei ole nimetatud turvanõrkusi õnnestunud ära kasutada (BC, HN, BC)

Google parandas Chrome’i nullpäeva turvanõrkuse

Nullpäeva haavatavust tähisega CVE-2024-3159 kasutati ära eelmisel kuul Pwn2Own häkkimisvõistluse ajal. Turvanõrkus mõjutab Chrome V8 JavaScripti mootorit ning võimaldab kasutada loodud HTML-lehti, et pääseda ligi andmetele väljaspool mälupuhvrit. Nädal tagasi parandas Google veel kaks Chrome’i nullpäeva turvanõrkust (CVE-2024-2887 ja CVE-2024-2886), mida kasutati edukalt ära Pwn2Own võistlusel. Sel aastal on Chrome’i veebilehitsejas paigatud juba neli nullpäeva turvanõrkust (BC).

Kriitilist Magento turvanõrkust kasutatakse ära rünnete läbiviimisel

Magento tarkvaras olev kriitiline turvaviga tähisega CVE-2024-20720 on saanud ründajate sihtmärgiks. Turvanõrkus on hinnatud kriitilise CVSS skooriga 9.1/10 ja võimaldab veebilehtedel käivitada pahatahtlikku koodi. Haavatavus on ohtlik, kuna selle ärakasutamiseks ei pea kasutaja midagi täiendavalt tegema. Adobe paikas turvavea nii Adobe Commerce’i kui ka Magento tarkvarades. Kõigil Magento tarkvara kasutajatel on

soovitatav uuendada tarkvara versioonidele 2.4.6-p4, 2.4.5-p6 või 2.4.4-p7. Magento on vabavaraline platvorm, mida kasutab 170 000 e-poodi üle maailma (SA, SW).

Enam kui 92 000 D-Linki NAS-seadet on turvanõrkuse tõttu ohus

Küberturbe teadur avastas mitmetes D-Linki NAS-seadmetes turvanõrkuse, mille abil saab ohvri seadmes suvalisi käske käivitada. Eduka ründe korral on võimalik hankida ligipääs tundlikule teabele, muuta süsteemi seadeid ja teenuseid tõkestada. Turvanõrkus tähisega CVE-2024-3273 mõjutab järgmisi D-Linki seadmeid:

  • DNS-320L (versioonid 1.11; 1.03.0904.2013 ja 1.01.0702.2013)
  • DNS-325 (1.01)
  • DNS-327L (1.09 ja 1.00.0409.2013)
  • DNS-340L (1.08)

Netsecfishi monitooringu kohaselt on enam kui 92 000 haavatavat D-Linki NAS-seadet, mis on internetile avatud ja turvavigade tõttu ohus. Nimetatud seadmetele enam uuendusi ei pakuta, kuna need on jõudnud tööea lõppu. D-Link soovitab seadmed välja vahetada uuemate vastu, millele on olemas tarkvara värskendused (BC).

Olulisemad turvanõrkused 2023. aasta 41. nädalal

  • Uus “HTTP/2 Rapid Reset” nullpäeva turvanõrkus võimaldab läbi viia suuremahulisi DDoS-ründeid

Eelmisel  nädalal avalikustati uus teenusetõkestusrünnete läbiviimise meetod, mida nimetatakse “HTTP/2 Rapid Reset”. Rünnetes kasutatakse ära HTTP/2 protokolli haavatavust, mille kaudu on võimalik teha väga suure mahuga hajusaid teenusetõkestusründeid. Meetodit on juba augustikuust alates kasutatud DDoS-rünnete läbiviimiseks ja Clouflare’il on õnnestunud leevendada juba enam kui tuhandet “HTTP/2 Rapid Reset” DDoS-rünnet.

Cloudflare’i sõnul on uue tehnikaga läbiviidud ründed kolm korda suurema võimsusega kui oli möödunud aasta rekord. Kui varasemalt oli rekordiline rünne 71 miljonit päringut sekundis, siis nüüd viiakse läbi ründeid mahuga 200 miljonit päringut sekundis. Google’i sõnul on nemad tegelenud ka ründega, mille maht oli ligi 400 miljonit päringut sekundis.

Nii Amazon Web Services, Cloudflare kui ka Google on kasutusele võtnud meetodid, mis aitavad ründeid leevendada (BC, Cloudflare, Google).

  • Microsoft paikas oma toodetes 104 viga

Microsoft parandas kokku 104 haavatavust, nende hulgas oli kolm nullpäeva turvanõrkust, mida on rünnetes ära kasutatud. Parandatud vigadest võimaldavad koodi kaugkäivitada 45 haavatavust ja 12 neist on hinnatud kriitilise mõjuga veaks.

Parandatud nullpäeva turvanõrkustest esimene (CVE-2023-41763) mõjutab Skype for Business tarkvara ja selle kaudu on võimalik saada kõrgemad õigused. Teine haavatavus (CVE-2023-36563) on Microsofti Wordpad tarkvaras ja see võimaldab ründajal saada ligipääsu ohvri süsteemile.  Kolmas nullpäeva turvanõrkus (CVE-2023-44487) on seotud eelmises lõigus kirjeldatud „HTTP/2 Rapid Reset“ haavatavusega.

Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Google Chrome’i uues versioonis on parandatud 20 turvanõrkust

Google avaldas Chrome’i versiooni 118.0.5993.70 Windows, Mac ja Linux seadmetele. Parandatud turvanõrkuste seas on üks kriitilise ja kaheksa keskmise mõjuga haavatavust. Hetkel teadaolevalt ei ole haavatavusi rünnete läbiviimisel ära kasutatud. Soovitame uuendada Google Chrome’i esimesel võimalusel (SW, Chrome).

  • Juniper paikas rohkem kui 30 turvaviga operatsioonisüsteemis Junos OS

Juniper Networks paikas üle 30 turvavea, mis mõjutavad Junos OS ja Junos OS Evolved operatsioonisüsteeme. Nende hulgas oli ka üheksa kõrge mõjuga haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-44194, mille kaudu võib autentimata ründaja saada juurkasutaja õigustega ligipääsu. Vead on paigatud Junos OS ja Junos OS Evolved versioonides 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4, 23.1, 23.2 ja 23.3.

Ettevõtte sõnul ei ole teada, et parandatud haavatavusi oleks rünnetes ära kasutatud. Arvestades seda, kui tihti proovitakse võrguseadmete turvanõrkusi rünnete läbiviimisel kuritarvitada, soovitab tootja uuendada tarkvara esimesel võimalusel (SW).

  • Adobe paikas turvavead Adobe Commerce, Magento Open Source ja Photoshop tarkvarades

Adobe paikas kokku 13 haavatavust, mis mõjutavad tarkvarasid Adobe Commerce, Magento Open Source ja Adobe Photoshop. Eduka ründe korral on võimalik õigustega manipuleerida, turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada.

Turvavead mõjutavad Adobe Commerce ja Magento Open Source versioone 2.4.7-beta1 ja vanemaid. Lisaks paigati ka vead Adobe Photoshop 2022 ja Photoshop 2023 tarkvarades. Täpsem nimekiri mõjutatud tarkvarade versioonidest on lisatud linkidel.

Kuna Adobe toodete turvanõrkused on tihti rünnakute sihtmärgiks, siis soovitab tootja kõigil kasutajatel nimetatud tarkvara uuendada (SW, Adobe, Adobe).

  • D-Linki WiFi signaalivõimendi on haavatav koodi kaugkäivitamisele

Populaarne WiFi signaalivõimendi D-Link DAP-X1860 WiFi 6 on haavatav turvanõrkusele CVE-2023-45208, mis võib kaasa tuua teenuse tõkestamise ja pahatahtliku koodi kaugkäivitamise. Hetkel ei ole veale parandust ja D-Link DAP-X1860 seadme kasutajatel soovitatakse piirata käsitsi võrguskaneerimise lubamist ning lülitada seade välja, kui seda parajasti ei kasuta (BC).