Tag Archives: Magento

Olulisemad turvanõrkused 2024. aasta 14. nädalal

WordPressi populaarsest LayerSlideri pistikprogrammist leiti kriitiline turvaviga

WordPressi pistikprogrammist LayerSlider leitud kriitiline haavatavus tähisega CVE-2024-2879 võimaldab ründajal teostada pahatahtlikke SQL-päringuid ning hankida seeläbi tundlikku teavet veebilehe andmebaasidest. Haavatavus on hinnatud kriitilise CVSS-skooriga 9.8/10.

LayerSlideri pistikprogramm võimaldab luua liugureid, pildigaleriisid ja animatsioone WordPressi saitidel ning see on kasutusel enam kui miljonil veebilehel. Haavatavus mõjutab plugin’i versioone 7.9.11 kuni 7.10.0 ning eduka ründe korral on võimalik saada kontroll kogu veebilehe üle. Kasutajatel soovitatakse uuendada pistikprogramm turvapaigatud versioonile 7.10.1. Kuna WordPressi haavatavused on tihti ründajate sihtmärkideks, siis tuleks veebilehtede haldajatel regulaarselt uuendada tarkvara, eemaldada need pistikprogrammid, mida ei ole vaja ja kasutada tugevaid paroole (SWBC).

Ivanti parandas VPN-lüüsi haavatavuse

Ivanti avaldas turvauuenduse, mis paikab neli turvaviga Connect Secure’i ja Policy Secure’i tarkvarades. Kõige suurema mõjuga neist on kriitiline haavatavus tähisega CVE-2024-21894,  mis võimaldab autentimata ründajatel koodi kaugkäitada. Ivanti väitel on koodi kaugkäitamise riskid piiratud teatud tingimustega, ent ettevõte ei esitanud haavatavate konfiguratsioonide üksikasju.

Shodani monitooringu kohaselt on üle 29 000 internetile avatud seadme, mis kasutavad Ivanti Connect Secure’i VPNi. Umbes 16 500 seadet on internetile avatud ja turvanõrkuse tõttu ohus. Kuna Ivanti haavatavusi on riiklikud küberrühmitused sel aastal juba ära kasutanud, siis on eriti oluline tarkvara uuendada niipea kui võimalik. Hetkel teadaolevalt ei ole nimetatud turvanõrkusi õnnestunud ära kasutada (BC, HN, BC)

Google parandas Chrome’i nullpäeva turvanõrkuse

Nullpäeva haavatavust tähisega CVE-2024-3159 kasutati ära eelmisel kuul Pwn2Own häkkimisvõistluse ajal. Turvanõrkus mõjutab Chrome V8 JavaScripti mootorit ning võimaldab kasutada loodud HTML-lehti, et pääseda ligi andmetele väljaspool mälupuhvrit. Nädal tagasi parandas Google veel kaks Chrome’i nullpäeva turvanõrkust (CVE-2024-2887 ja CVE-2024-2886), mida kasutati edukalt ära Pwn2Own võistlusel. Sel aastal on Chrome’i veebilehitsejas paigatud juba neli nullpäeva turvanõrkust (BC).

Kriitilist Magento turvanõrkust kasutatakse ära rünnete läbiviimisel

Magento tarkvaras olev kriitiline turvaviga tähisega CVE-2024-20720 on saanud ründajate sihtmärgiks. Turvanõrkus on hinnatud kriitilise CVSS skooriga 9.1/10 ja võimaldab veebilehtedel käivitada pahatahtlikku koodi. Haavatavus on ohtlik, kuna selle ärakasutamiseks ei pea kasutaja midagi täiendavalt tegema. Adobe paikas turvavea nii Adobe Commerce’i kui ka Magento tarkvarades. Kõigil Magento tarkvara kasutajatel on

soovitatav uuendada tarkvara versioonidele 2.4.6-p4, 2.4.5-p6 või 2.4.4-p7. Magento on vabavaraline platvorm, mida kasutab 170 000 e-poodi üle maailma (SA, SW).

Enam kui 92 000 D-Linki NAS-seadet on turvanõrkuse tõttu ohus

Küberturbe teadur avastas mitmetes D-Linki NAS-seadmetes turvanõrkuse, mille abil saab ohvri seadmes suvalisi käske käivitada. Eduka ründe korral on võimalik hankida ligipääs tundlikule teabele, muuta süsteemi seadeid ja teenuseid tõkestada. Turvanõrkus tähisega CVE-2024-3273 mõjutab järgmisi D-Linki seadmeid:

  • DNS-320L (versioonid 1.11; 1.03.0904.2013 ja 1.01.0702.2013)
  • DNS-325 (1.01)
  • DNS-327L (1.09 ja 1.00.0409.2013)
  • DNS-340L (1.08)

Netsecfishi monitooringu kohaselt on enam kui 92 000 haavatavat D-Linki NAS-seadet, mis on internetile avatud ja turvavigade tõttu ohus. Nimetatud seadmetele enam uuendusi ei pakuta, kuna need on jõudnud tööea lõppu. D-Link soovitab seadmed välja vahetada uuemate vastu, millele on olemas tarkvara värskendused (BC).

Olulisemad turvanõrkused 2023. aasta 41. nädalal

  • Uus “HTTP/2 Rapid Reset” nullpäeva turvanõrkus võimaldab läbi viia suuremahulisi DDoS-ründeid

Eelmisel  nädalal avalikustati uus teenusetõkestusrünnete läbiviimise meetod, mida nimetatakse “HTTP/2 Rapid Reset”. Rünnetes kasutatakse ära HTTP/2 protokolli haavatavust, mille kaudu on võimalik teha väga suure mahuga hajusaid teenusetõkestusründeid. Meetodit on juba augustikuust alates kasutatud DDoS-rünnete läbiviimiseks ja Clouflare’il on õnnestunud leevendada juba enam kui tuhandet “HTTP/2 Rapid Reset” DDoS-rünnet.

Cloudflare’i sõnul on uue tehnikaga läbiviidud ründed kolm korda suurema võimsusega kui oli möödunud aasta rekord. Kui varasemalt oli rekordiline rünne 71 miljonit päringut sekundis, siis nüüd viiakse läbi ründeid mahuga 200 miljonit päringut sekundis. Google’i sõnul on nemad tegelenud ka ründega, mille maht oli ligi 400 miljonit päringut sekundis.

Nii Amazon Web Services, Cloudflare kui ka Google on kasutusele võtnud meetodid, mis aitavad ründeid leevendada (BC, Cloudflare, Google).

  • Microsoft paikas oma toodetes 104 viga

Microsoft parandas kokku 104 haavatavust, nende hulgas oli kolm nullpäeva turvanõrkust, mida on rünnetes ära kasutatud. Parandatud vigadest võimaldavad koodi kaugkäivitada 45 haavatavust ja 12 neist on hinnatud kriitilise mõjuga veaks.

Parandatud nullpäeva turvanõrkustest esimene (CVE-2023-41763) mõjutab Skype for Business tarkvara ja selle kaudu on võimalik saada kõrgemad õigused. Teine haavatavus (CVE-2023-36563) on Microsofti Wordpad tarkvaras ja see võimaldab ründajal saada ligipääsu ohvri süsteemile.  Kolmas nullpäeva turvanõrkus (CVE-2023-44487) on seotud eelmises lõigus kirjeldatud „HTTP/2 Rapid Reset“ haavatavusega.

Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Google Chrome’i uues versioonis on parandatud 20 turvanõrkust

Google avaldas Chrome’i versiooni 118.0.5993.70 Windows, Mac ja Linux seadmetele. Parandatud turvanõrkuste seas on üks kriitilise ja kaheksa keskmise mõjuga haavatavust. Hetkel teadaolevalt ei ole haavatavusi rünnete läbiviimisel ära kasutatud. Soovitame uuendada Google Chrome’i esimesel võimalusel (SW, Chrome).

  • Juniper paikas rohkem kui 30 turvaviga operatsioonisüsteemis Junos OS

Juniper Networks paikas üle 30 turvavea, mis mõjutavad Junos OS ja Junos OS Evolved operatsioonisüsteeme. Nende hulgas oli ka üheksa kõrge mõjuga haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-44194, mille kaudu võib autentimata ründaja saada juurkasutaja õigustega ligipääsu. Vead on paigatud Junos OS ja Junos OS Evolved versioonides 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4, 23.1, 23.2 ja 23.3.

Ettevõtte sõnul ei ole teada, et parandatud haavatavusi oleks rünnetes ära kasutatud. Arvestades seda, kui tihti proovitakse võrguseadmete turvanõrkusi rünnete läbiviimisel kuritarvitada, soovitab tootja uuendada tarkvara esimesel võimalusel (SW).

  • Adobe paikas turvavead Adobe Commerce, Magento Open Source ja Photoshop tarkvarades

Adobe paikas kokku 13 haavatavust, mis mõjutavad tarkvarasid Adobe Commerce, Magento Open Source ja Adobe Photoshop. Eduka ründe korral on võimalik õigustega manipuleerida, turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada.

Turvavead mõjutavad Adobe Commerce ja Magento Open Source versioone 2.4.7-beta1 ja vanemaid. Lisaks paigati ka vead Adobe Photoshop 2022 ja Photoshop 2023 tarkvarades. Täpsem nimekiri mõjutatud tarkvarade versioonidest on lisatud linkidel.

Kuna Adobe toodete turvanõrkused on tihti rünnakute sihtmärgiks, siis soovitab tootja kõigil kasutajatel nimetatud tarkvara uuendada (SW, Adobe, Adobe).

  • D-Linki WiFi signaalivõimendi on haavatav koodi kaugkäivitamisele

Populaarne WiFi signaalivõimendi D-Link DAP-X1860 WiFi 6 on haavatav turvanõrkusele CVE-2023-45208, mis võib kaasa tuua teenuse tõkestamise ja pahatahtliku koodi kaugkäivitamise. Hetkel ei ole veale parandust ja D-Link DAP-X1860 seadme kasutajatel soovitatakse piirata käsitsi võrguskaneerimise lubamist ning lülitada seade välja, kui seda parajasti ei kasuta (BC).

Pildil on kolme tarkvaraettevõte logod: Adobe Magento, Microsoft ja JavaScript

Olulised turvanõrkused 2022. aasta 41. nädalal

Eelmise nädala ülevaates kirjutasime, et Fortineti teenuseid FortiGate, FortiProxy ja FortiSwitchManager mõjutab CVE-2022-40684 kriitiline haavatavus.

Viimase abil saab ründaja autentimisest kõrvale hiilida ja seeläbi teostada erinevaid tegevusi teenuste administreerimisliideste kaudu. Kuna turvanõrkusest on avaldatud avalik kontseptsioonitõendus (POC) ja tootja kinnitas haavatavuse ärakasutamist, siis peavad toodete kasutajad uuendama mõjutatud esimesel võimalusel, et vältida võimalikku küberintsidenti!

Eelmise nädala ülevaade kirjeldas täpsemalt turvanõrkuse olemust koos mõjutatud toodete versioonidega, samuti on tutvustatud seda tootja enda kodulehel.

Magento tarkvaral tuvastati kriitiline turvanõrkus

Magento ja Adobe Commerce’i tarkvaral, mida kasutavad paljud kaubandusplatvormid, tuvastati kriitiline turvanõrkus CVE-2022-35698 (10.0/10.0), mis võimaldab teostada skriptisüsti (XSS) ning haavatava kaubandusplatvormi kompromiteerida.

Haavatavus mõjutab neid Adobe toodete versioone:

Toode Versioon
Adobe Commerce 2.4.4-p1 ja varasemad; 2.4.5 ja varasemad
Magento 2.4.4-p1 ja varasemad; 2.4.5 ja varasemad

Haavatavus parandati järgnevates Adobe toodete versioonides:

Toode Versioon
Adobe Commerce 2.4.5-p1 ja 2.4.4-p2
Magento 2.4.5-p1 ja 2.4.4-p2

Kes ja mida peaks tegema?

Kui kasutatakse turvanõrkusest mõjutatud tarkvara, tuleb see uuendada esimesel võimalusel. Tootja on avalikustanud juhised, kuidas rakendada versioon 2.4.4-p2 või 2.4.5-p1.

Kriitiline turvaviga vm2 JavaScripti teegis

Haavatavus (CVE-2022-36067) võimaldab koodi kaugkäivitamist ja on hinnatud kõige kõrgema kriitilisuse tasemega (10.0/10.0). Vm2 on JavaScripti liivakasti (sandbox) teek, mida laaditakse iga kuu alla üle 16 miljoni korra. Turvaviga võimaldab suletud virtuaalsest keskkonnast (sandbox) välja pääseda ja käivitada ohvri seadmes pahaloomulisi käske. Turvanõrkus asub vm2 teegi Node.js funktsioonis, mis vastutab veaolukordade korrektse töötlemise eest. Viga paigati versioonis 3.9.11 (BP, SW).

Kes ja mida peaks tegema?

Tarkvaraarendajatel, kes kasutavad vm2 teeki enda arendusprojektides, tuleb kindlasti see uuendada kõige värskemale versioonile ja asendada vanade vm2 teekide kasutus esimesel võimalusel.

Erinevate virtualiseerimistarkvarade puhul, mis kasutavad vm2 teeki, tuleb jälgida, kas nendele tarkvaradele on uuendusi ja neid rakendada. Uuenduste avalikustamine võib võtta aega ja samuti on oht, et arendajad või toodete omanikud ei pruugi kohe taibata, et nende tarkvarad just vm2 teegist sõltuvad (sarnaselt Log4j turvanõrkusele eelmisel aastal). Seetõttu tuleb tooted ja/või teenused üle vaadata ja hinnata, kas antud kriitiline turvanõrkus teid puudutab.

Microsoft parandas igakuise uuenduste teisipäeva raames 84 turvaviga

Microsoft parandas oma toodetes 84 viga, millest 13 olid kriitilised. Muuhulgas parandati kaks nullpäeva turvanõrkust, millest ühte (CVE-2022-41033) juba aktiivselt ära kasutati (BP):

  • 39 turvanõrkust on seotud õiguste suurendamise võimalikkusega.
  • kaks turvanõrkust võimaldavad kaitsemeetmetest mööda pääseda.
  • 20 võimaldavad koodi kaugkäivitamist.
  • 11 võivad põhjustada andmeleket.
  • kaheksa on seotud teenuste katkestusega (denial of service).
  • nelja turvanõrkuse abil on võimalik kellegi või millegi teisena esineda (spoofing).

Parandati kaks nullpäeva turvanõrkust (CVE-2022-41033 ja CVE-2022-41043), millest kriitilisema käsitlus allpool.

CVE-2022-41033  turvanõrkus on seotud Windows COM+ Event System Service teenusega ja lubab eduka ärakasutamise korral omandada ründajal kõrgendatud tasemel (SYSTEM) õigused. Mõjutatud on väga paljud erinevad Microsofti pakutud operatsioonisüsteemid. Windows COM+ Event System Service käivitub vaikimisi koos operatsioonisüsteemiga.

Antud turvanõrkuse paikamine on oluline, sest võimaldab ründajal, kes on süsteemi sisse loginud külaliskontoga või tavalise kasutaja kontoga, omandada suuremad õigused. Seeläbi saab ta enda pahatahtlikku tegevust paremini ja mõjusamalt jätkata. Turvanõrkus on hinnatud skooriga 7.8/10.0.

Kes ja mida peaks tegema?

Microsofti toodete kasutajad peaksid uuenduste olemasolul need rakendama ja tutvuma ka uuenduste teisipäeva raames paigatud turvanõrkuste nimekirjaga siin.

Google avaldas turvauuendused Chrome’i veebilehitsejale

Google avaldas Chrome’i uue versiooni 106.0.5249.119 Windowsi, Linuxi ja Maci seadmetele, milles on parandatud kuus kõrge mõjuga turvanõrkust (SW, CR). Turvanõrkused on seotud Chrome’i erinevate tehniliste lahendustega. Soovitus on veebilehitseja kasutamise korral versioon uuendada. Juhised leiate siit.

RIA analüüsi- ja ennetusosakond