Tag Archives: Magento

Pildil on kolme tarkvaraettevõte logod: Adobe Magento, Microsoft ja JavaScript

Olulised turvanõrkused 2022. aasta 41. nädalal

Eelmise nädala ülevaates kirjutasime, et Fortineti teenuseid FortiGate, FortiProxy ja FortiSwitchManager mõjutab CVE-2022-40684 kriitiline haavatavus.

Viimase abil saab ründaja autentimisest kõrvale hiilida ja seeläbi teostada erinevaid tegevusi teenuste administreerimisliideste kaudu. Kuna turvanõrkusest on avaldatud avalik kontseptsioonitõendus (POC) ja tootja kinnitas haavatavuse ärakasutamist, siis peavad toodete kasutajad uuendama mõjutatud esimesel võimalusel, et vältida võimalikku küberintsidenti!

Eelmise nädala ülevaade kirjeldas täpsemalt turvanõrkuse olemust koos mõjutatud toodete versioonidega, samuti on tutvustatud seda tootja enda kodulehel.

Magento tarkvaral tuvastati kriitiline turvanõrkus

Magento ja Adobe Commerce’i tarkvaral, mida kasutavad paljud kaubandusplatvormid, tuvastati kriitiline turvanõrkus CVE-2022-35698 (10.0/10.0), mis võimaldab teostada skriptisüsti (XSS) ning haavatava kaubandusplatvormi kompromiteerida.

Haavatavus mõjutab neid Adobe toodete versioone:

ToodeVersioon
Adobe Commerce2.4.4-p1 ja varasemad; 2.4.5 ja varasemad
Magento2.4.4-p1 ja varasemad; 2.4.5 ja varasemad

Haavatavus parandati järgnevates Adobe toodete versioonides:

ToodeVersioon
Adobe Commerce2.4.5-p1 ja 2.4.4-p2
Magento2.4.5-p1 ja 2.4.4-p2

Kes ja mida peaks tegema?

Kui kasutatakse turvanõrkusest mõjutatud tarkvara, tuleb see uuendada esimesel võimalusel. Tootja on avalikustanud juhised, kuidas rakendada versioon 2.4.4-p2 või 2.4.5-p1.

Kriitiline turvaviga vm2 JavaScripti teegis

Haavatavus (CVE-2022-36067) võimaldab koodi kaugkäivitamist ja on hinnatud kõige kõrgema kriitilisuse tasemega (10.0/10.0). Vm2 on JavaScripti liivakasti (sandbox) teek, mida laaditakse iga kuu alla üle 16 miljoni korra. Turvaviga võimaldab suletud virtuaalsest keskkonnast (sandbox) välja pääseda ja käivitada ohvri seadmes pahaloomulisi käske. Turvanõrkus asub vm2 teegi Node.js funktsioonis, mis vastutab veaolukordade korrektse töötlemise eest. Viga paigati versioonis 3.9.11 (BP, SW, Oxeye).

Kes ja mida peaks tegema?

Tarkvaraarendajatel, kes kasutavad vm2 teeki enda arendusprojektides, tuleb kindlasti see uuendada kõige värskemale versioonile ja asendada vanade vm2 teekide kasutus esimesel võimalusel.

Erinevate virtualiseerimistarkvarade puhul, mis kasutavad vm2 teeki, tuleb jälgida, kas nendele tarkvaradele on uuendusi ja neid rakendada. Uuenduste avalikustamine võib võtta aega ja samuti on oht, et arendajad või toodete omanikud ei pruugi kohe taibata, et nende tarkvarad just vm2 teegist sõltuvad (sarnaselt Log4j turvanõrkusele eelmisel aastal). Seetõttu tuleb tooted ja/või teenused üle vaadata ja hinnata, kas antud kriitiline turvanõrkus teid puudutab.

Microsoft parandas igakuise uuenduste teisipäeva raames 84 turvaviga

Microsoft parandas oma toodetes 84 viga, millest 13 olid kriitilised. Muuhulgas parandati kaks nullpäeva turvanõrkust, millest ühte (CVE-2022-41033) juba aktiivselt ära kasutati (BP):

  • 39 turvanõrkust on seotud õiguste suurendamise võimalikkusega.
  • kaks turvanõrkust võimaldavad kaitsemeetmetest mööda pääseda.
  • 20 võimaldavad koodi kaugkäivitamist.
  • 11 võivad põhjustada andmeleket.
  • kaheksa on seotud teenuste katkestusega (denial of service).
  • nelja turvanõrkuse abil on võimalik kellegi või millegi teisena esineda (spoofing).

Parandati kaks nullpäeva turvanõrkust (CVE-2022-41033 ja CVE-2022-41043), millest kriitilisema käsitlus allpool.

CVE-2022-41033  turvanõrkus on seotud Windows COM+ Event System Service teenusega ja lubab eduka ärakasutamise korral omandada ründajal kõrgendatud tasemel (SYSTEM) õigused. Mõjutatud on väga paljud erinevad Microsofti pakutud operatsioonisüsteemid. Windows COM+ Event System Service käivitub vaikimisi koos operatsioonisüsteemiga.

Antud turvanõrkuse paikamine on oluline, sest võimaldab ründajal, kes on süsteemi sisse loginud külaliskontoga või tavalise kasutaja kontoga, omandada suuremad õigused. Seeläbi saab ta enda pahatahtlikku tegevust paremini ja mõjusamalt jätkata. Turvanõrkus on hinnatud skooriga 7.8/10.0.

Kes ja mida peaks tegema?

Microsofti toodete kasutajad peaksid uuenduste olemasolul need rakendama ja tutvuma ka uuenduste teisipäeva raames paigatud turvanõrkuste nimekirjaga siin.

Google avaldas turvauuendused Chrome’i veebilehitsejale

Google avaldas Chrome’i uue versiooni 106.0.5249.119 Windowsi, Linuxi ja Maci seadmetele, milles on parandatud kuus kõrge mõjuga turvanõrkust (SW, CR). Turvanõrkused on seotud Chrome’i erinevate tehniliste lahendustega. Soovitus on veebilehitseja kasutamise korral versioon uuendada. Juhised leiate siit.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 38. nädalal

Veebruaris avaldatud kriitilist Magento turvanõrkust kasutatakse aktiivselt ära

Veebruaris paigatud Magento 2 tarkvara kriitilist turvanõrkust tähisega CVE-2022-24086 (9.8/10.0) on hakatud taas rünnakutes aktiivselt ära kasutama. Magento on vabavaraline platvorm, mida kasutatakse e-poodide osana Eestis ja kõikjal maailmas. Turvanõrkus võimaldab autentimata kasutajal käivitada pahatahtlikku koodi paikamata veebilehtedel. Turvanõrkuse eemaldamiseks tuleb Magento tarkvara uuendada (BP).

Veebruaris avaldamise ajal levis info, et seda turvanõrkust on juba aktiivselt ära kasutatud. Mõni päev hiljem avaldati turvanõrkuse kohta avalik ründe tõendus (PoC), mille tagajärjel ennustati suuremat turvanõrkuse ära kasutamist.

CVE-2022-24086-nimelise turvanõrkuse abil saab autentimata ründaja veebilehe kompromiteerida ja kasutada seda edasiseks pahatahtlikuks tegevuseks – näiteks on võimalik veebilehele lisada pahaloomulist koodi, mis suunab külastaja edasi petulehtedele. Samuti on oht andmelekkeks.

Hiljuti, 22. septembril avaldati raport, mis tõi välja, et turvanõrkus kogub küberkurjategijate seas aina populaarsust. Ülevaade kirjeldab kolme ründeviisi, mida on hiljuti kasutatud. Ründeviiside puhul ei ole tuvastatud automatiseeritud tegevust, kuna Magento tarkvara ülesehituse loogika muudab kirjutajate hinnangul sellised ründed pigem keeruliseks. Täpsemalt saab raportiga tutvuda siin.

Kes ja mida peaks tegema?

Kuna turvanõrkus on kriitiline, potentsiaalne mõju suur ja seda üritatakse aktiivselt ära kasutada, tuleb mõjutatud veebilehtede halduritel uuendada haavatavad lehed esimesel võimalusel!

Tootja informatsiooni kohaselt on haavatavad järgmised versioonid:

Adobe Commerce ja Magento Open Source 2.3.3-p1 kuni 2.3.7-p2 ning 2.4.0 kuni 2.4.3-p1

Selleks, et haavatavus paigata, tuleb veebihalduril rakendada kaks turvapaika – esmalt turvapaik nimega MDVA-43395 ning siis MDVA-43443. Paikamiseks mõeldud juhised leiab tootja veebilehelt.

Sophose tulemüüri tarkvaras avastati kriitiline turvaviga

Sophose tulemüüri tarkvarast leiti nullpäeva turvanõrkus (9.8/10.0), mida tähistatakse koodiga CVE-2022-3236. Turvaviga mõjutab Sophose tulemüüri v19.0 MR1 (19.0.1) ja vanemaid versioone ning võimaldab ründajal pahaloomulist koodi kaugkäivitada. Veale on olemas parandus ning soovitame mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel (HN, Sophos).

Tootja sõnul on selle turvanõrkusega seni rünnatud peamiselt Lõuna-Aasias paiknevaid organisatsioone.

Kes ja mida peaks tegema?

Turvanõrkus on parandatud järgnevates Sophose tulemüüri versioonides:

v19.5 GA
v19.0 MR2 (19.0.2)
v19.0 GA, MR1 ja MR1-1
v18.5 MR5 (18.5.5)
v18.5 GA, MR1, MR1-1, MR2, MR3 ja MR4
v18.0 MR3, MR4, MR5 ja MR6
v17.5 MR12, MR13, MR14, MR15, MR16 ja MR17
v17.0 MR10

Kui uuendusi ei ole mingil põhjusel võimalik teha, soovitab tootja alternatiivse lahendusena veenduda, et tulemüüri kasutus- ja administeerimisliides ei oleks laivõrgust (WAN) kättesaadav. Juhend, kuidas seda teha, on siin. RIA soovitab alati turvapaiku sisaldavad uuendused paigaldada.

Parandati kuus kõrge tasemega turvanõrkust BIND DNSi tarkvaras

ICS (Internet Systems Consortium) avalikustas turvauuendused kuuele haavatavusele BIND DNSi tarkvaras. Neist neli võimaldavad ründajatel teoreetiliselt teenusetõkestusründeid sooritada. ICS ei ole teadlik, et neid puudusi oleks jõutud ära kasutada. Haavatavustele on väljastatud turvapaigad, mis soovitame vajadusel rakendada (SA).

Natuke lähemalt kõrge tasemega turvanõrkustest:

CVE-2022-2906 (7.5/10.0) – Diffie-Hellmani meetodil baseeruva võtmekehtestusprotsessi käigus põhjustatakse mäluleke, kui kasutatakse TKEY-kirjeid OpenSSL 3.0.0 või hilisema versiooniga.

Ründaja saab seda viga kasutada, et järk-järgult kasutusel olev mälu üle koormata kuni mälu puudumise tõttu peatub BINDi “named” daemoni töö. Selle taaskäivitamisel peaks ründaja rünnet kordama, kuid sellegipoolest on oht teenusetõkestusründele taas olemas, kui turvapaika ei ole rakendatud.  

Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit. Tootja on turvapaigad väljastanud.

CVE-2022-38177 (7.5/10.0) – ECDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud ECDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

CVE-2022-3080  (7.5/10.0) – BIND 9 resolveri töö võib peatuda, kui stale cache ja stale answers on lubatud, stale-answer-client-timeout on väärtus 0 ja vahemälus on vananenud CNAME-kirje sissetuleva päringu jaoks. Kui ründajal õnnestub saata spetsiifiline päring, võib “named” daemoni töö peatuda.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

CVE-2022-38178 (7.5/10.0) – EdDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud EdDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

Kes ja mida peaks tegema?

BINDi DNSi tarkvara kasutajad peaksid järgima tootja avaldatud juhiseid ja paikama vajadusel haavatava BINDi tarkvara versiooni või kasutama tootja soovitatud alternatiivseid lahendusi turvanõrkuste eemaldamiseks.

Mitmed Ubuntu LibTIFF teegi turvanõrkused on saanud parandused

Haavatavused võimaldavad ründajal teostada nii teenusekatkestusi kui ka saada ligipääs tundlikule infole. Erinevad LibTIFFi teegi turvanõrkused mõjutavad Ubuntu 14.04, 16.04, 18.04, 20.04 kui ka 22.04 versioone. Soovitame tutvuda tootjapoolse informatsiooniga ja uuendada vajadusel mõjutatud tarkvara (Ubuntu).

Ubuntu avaldas koondülevaate seitsmest LibTIFF teegiga seotud turvanõrkusest. LibTIFF teek võimaldab töödelda TIFF formaadis pildifaile. Erinevad turvanõrkused mõjutavad nii 14.04, 16.04, 18.04, 20.04 kui ka 22.04 Ubuntu versioone.

CVE-2020-19131 (7.5/10.0) – Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.

CVE-2020-19144 (6.5/10.0) –  Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.

CVE-2022-1354 (5.5/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF-faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne. Turvanõrkus mõjutab ainult Ubuntu 20.04 LTSi ja 22.04 LTSi.

CVE-2022-1355 (6.1/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne.

CVE-2022-2056 (6.5/10.0), CVE-2022-2057 (6.5/10.0), CVE-2022-2058 (6.5/10.0) – Ründajal on teoreetiliselt võimalik kasutada turvanõrkust teenusetõkestusründe sooritamiseks.

Kes ja mida peaks tegema?

Soovitame tutvuda ametlike juhistega tootja kodulehel ja rakendada vajadusel vastavad uuendused, kui te ei ole seda juba teinud.  

RIA analüüsi- ja ennetusosakond