Tag Archives: Microsoft

Olulisemad turvanõrkused 2024. aasta 37. nädalal

Kriitilist SonicWalli tulemüüride viga kasutatakse rünnete läbiviimisel

Turvaviga tähisega CVE-2024-40766 (CVSS skoor 9.3/10) mõjutab SonicWalli Gen 5, Gen 6 ja Gen 7 tulemüüre. Haavatavuse kaudu on võimalik saada ligipääs võrgule ja lunavararühmitused on hakanud seda aktiivselt kuritarvitama. Turvanõrkus on parandatud versioonides 5.9.2.14-13o, 6.5.2.8-2n, 6.5.4.15.116n või 7.0.1-5035.

Ettevõttel on üle 500 000 ärikliendi 215 riigis, nende hulgas on näiteks valitsusasutused ja mõned maailma suurimad ettevõtted (BC, SA).

GitLab paikas mitmeid turvavigasid

GitLab avaldas eelmisel nädalal turvauuenduse, millega parandati 17 haavatavust. Nende hulgas oli ka kriitiline turvaviga tähisega CVE-2024-6678 (CVSS skoor 9.9/10), mis võimaldab ründajal käivitada automatiseeritud protsessi (pipeline) suvalise kasutaja õigustes. Vead on parandatud GitLab Community Edition (CE) ja Enterprise Edition (EE) versioonides 17.3.2, 17.2.5 ja 17.1.7. Hetkel teadaolevalt ei ole neid turvavigasid ära kasutatud (HN).

Adobe paikas kriitilisi vigu oma tarkvarades

Adobe paikas 28 haavatavust, mis mõjutavad tarkvarasid Acrobat ja PDF Reader, Adobe ColdFusion, Adobe Photoshop ja Adobe Media Encoder. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ja osade haavatavuste vastu on olemas eksploitid.

Ohustatud on nii Windowsi kui ka Maci kasutajad (SW).

Microsoft paikas oma toodetes 79 haavatavust

Microsoft parandas kokku 79 haavatavust, mille hulgas oli ka neli nullpäeva turvanõrkust. Paigatud vigadest seitse on hinnatud kriitilise mõjuga veaks ja ettevõtte sõnul on nullpäeva turvanõrkusi juba rünnetes ära kasutatud.

Paigatud turvanõrkused jagunevad:

  • 30 õiguste ülesvallutuse turvanõrkust (Elevation of Privilege Vulnerabilities)
  • 4 turbevahenditest möödapääsu turvanõrkust (Security Feature Bypass Vulnerabilities)
  • 23 koodi kaugkäituse turvanõrkust (Remote Code Execution Vulnerabilities)
  • 11 info avalikustamise turvanõrkust (Information Disclosure Vulnerabilities)
  • 8 teenusetõkestuse turvanõrkust (Denial of Service Vulnerabilities)
  • 3 teesklusrünnakuid võimaldavat turvanõrkust (Spoofing Vulnerabilities)

Täpsema nimekirja parandustest leiab lisatud lingilt (BC, HNS).

Ivanti paikas turvanõrkusi erinevates toodetes

Ivanti paikas kriitilise haavatavuse tähisega CVE-2024-29847 (CVSS skoor 10/10), mis võimaldab autentimata ründajal tarkvaras Endpoint Manager (EPM) koodi käivitada. Lisaks nimetatud veale paigati veel mitmeid SQLi käivitamise vigasid EPMis. Ettevõte paikas ka seitse haavatavust tarkvarades Workspace Control (IWC) ja Cloud Service Appliance (CSA).

Cloud Service Appliance (CSA) versioonile 4.6 (eluea lõpus olev tooteversioon) toimuvad aktiivsed rünnakud, kasutades turvanõrkust CVE-2024-8190 (CVSS skoor 7.2/10), mis võimaldab autentimata ründajal käivitada koodi administraatoriõigustes.

Kõigil Ivanti toodete kasutajatel tuleks esimesel võimalusel tarkvara uuendada (BC, HN, CISA).

Palo Alto Networks paikas hulga turvanõrkusi oma toodetes

Palo Alto Networks andis kolmapäeval teada, et nad on paiganud hulga turvanõrkusi järgmistes toodetes: PAN-OS, Cortex XDR, ActiveMQ Content Pack, and Prisma Access Browser. Paigatud turvanõrkustest kõige tõsisem on PAN-OS’is leitud käsusüsti (command injection) turvanõrkus CVE-2024-8686 (CVSS skoor 8.6/10), mis võimaldab autentimata ründajal käivitada käsklusi juurkasutaja õigustes.

Seoses Google’i eelmise nädala Chromiumi turvauuendustega uuendati ka Chromiumil baseeruvat Prisma Access Browser’it.

Soovitame nende toodete tarkvara uuendada viimasele avaldatud versioonile (SW).

Olulisemad turvanõrkused 2024. aasta 34. nädalal

Mitmed macOS-ile mõeldud Microsofti rakendused on haavatavad rünnakutele

Cisco Talose teadlased avastasid, et ründajad saavad kuritarvitada macOS-i jaoks mõeldud populaarsete Microsofti rakenduste haavatavusi video- ja heliklippide salvestamiseks, pildistamiseks, andmetele juurdepääsuks ning e-kirjade saatmiseks. Turvavead leiti tarkvarade Microsoft Teams, OneNote, Outlook, Word, Excel ja Powerpoint macOSi jaoks loodud versioonidest. Turvavead võimaldavad ründajatel sisestada rakenduse tööprotsessidesse pahatahtlikku teeki. Hetkel on paigatud Teamsi ja OneNote’i turvavead, kuid Microsofti sõnul ei ole tegemist tõsiste turvavigadega ja nad ei plaani teistes tarkvarades olevaid vigu parandada (HNS, DR).

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 100 000 WordPressi veebilehe on mõjutatud GiveWP pistikprogrammis olevast kriitilisest haavatavusest tähisega CVE-2024-5932, mille kaudu võib ründaja käivitada suvalist koodi ja kustutada veebilehel olevaid faile. Samuti on võimalik veebileht täielikult üle võtta ja kogu seal olev info kustutada. Haavatavus on hinnatud maksimaalse CVSS skooriga 10/10.

GiveWP puhul on tegemist populaarse annetamise ja raha kogumise pistikprogrammiga, millel on üle 100 000 aktiivse kasutaja.

Viga mõjutab kõiki plugina versioone kuni 3.14.1 ja on parandatud versioonis 3.14.2. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (SW).

Google paikas Chrome’i veebilehitsejas selle aasta üheksanda nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-7971 juba rünnetes ära kasutatud. Lisaks nullpäeva turvanõrkusele paigati veel 37 haavatavust. Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 esimesel võimalusel. Tegemist on üheksanda Chrome’i nullpäeva turvanõrkusega sel aastal (BC, Chrome).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-6800 on hinnatud kriitilise CVSS skooriga 9.5/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.14 ja on paigatud versioonides 3.13.3, 3.12.8, 3.11.14 ja 3.10.16. Lisaks nimetatud veale paigati veel kaks keskmise mõjuga haavatavust (CVE-2024-7711 ja CVE-2024-6337). Kõigist kolmest turvaprobleemist teatati GitHubi Bug Bounty programmi kaudu HackerOne’i platvormil.

FOFA otsingumootori andmetel on hetkel internetile avatud üle 36 500 GitHubi Enterprise Serveri rakenduse, aga ei ole teada, kui paljud neist kasutavad turvanõrkusega versiooni.

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada (BC, SW).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on üle viie miljoni veebilehe ohus

Turvanõrkus (CVE-2024-28000) mõjutab pistikprogrammiLitespeed Cacheja selle kaudu on võimalik autentimata ründajal saada administraatoriõigused ning võtta veebileht enda kontrolli alla.  Pistikprogrammi on alla laetud enam kui 5 miljonit korda ehk tegemist on väga laialdaselt kasutusel oleva tarkvaraga.

Haavatavus mõjutab kõiki pistikprogrammi versioone kuni 6.3.0.1. Turvanõrkus on paigatud tarkvara versioonis 6.4 ja kõigil kasutajatel tuleks uuendada pistikprogramm kõige uuemale versioonile.

Häkkerid alustasid juba päev pärast tehniliste üksikasjade avalikustamist haavatavuse ärakasutamist rünnete läbiviimisel. Reedese info põhjal oli vaid 30% protsenti kasutajatest pistikprogrammi uuendanud ja kasutas turvapaigatud versiooni. Wordfence’i sõnul tehti vaid ühe ööpäeva jooksul 48 500 ründekatset. See on tänavu teine ​​kord, kui häkkerid on sihikule võtnud LiteSpeed Cache’i plugina. Mais kasutasid ründajad haavatavust CVE-2023-40000, et luua administraatorikontosid ja võtta üle haavatavad veebisaidid (BC, BC).

Atlassian paikas turvavigu tarkvarades Bamboo, Confluence, Crowd ja Jira

Atlassian väljastas turvapaigad üheksa suure mõjuga haavatavuse jaoks enda toodetes Bamboo, Confluence, Crowd ja Jira.

Bamboo Data Center and Serveri tarkvaras paigati kaks suure mõjuga viga, millest üks võimaldab koodi kaugkäivitada. Confluence Data Center and Serveri tootes paigati samuti kaks suure mõjuga haavatavust. Täpsem nimekiri parandatud turvavigadest on Atlassiani kodulehel.

Kasutajatel soovitatakse tarkvara esimesel võimalusel uuendada, kuigi ettevõte ei maini, et neid vigu oleks õnnestunud ära kasutada (SW, Atlassian).

Häkkerid saavad üle võtta Ecovacsi robotseadmeid

Hiljuti tuli avalikuks turvanõrkus, mille kaudu saavad häkkerid luurata Ecovacsi robottolmuimejate ja -muruniidukite omanikke.

Teadlased analüüsisid järgmisi seadmeid: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat Z1, Air Ecova, Ecovacs Airbot AVA ja Ecovacs Airbot ANDY.

Eksperdid avastasid mitmeid haavatavusi, mis võimaldavad ründajatel Bluetoothi ​​kaudu seadmete kaameraid ja mikrofone üle võtta. Selgus, et seadmetel ei ole valgustust, mis näitaks, et nende kaamerad ja mikrofonid on sisse lülitatud. Ecovacs on lubanud turvavead paigata (SA, TC).

Olulisemad turvanõrkused 2024. aasta 33. nädalal

Microsoft hoiatab OpenVPNi haavatavuste eest

Microsoft hoiatas Black Hati turvalisuse konverentsil kasutajaid nelja turvavea eest (CVE-2024-27459, CVE-2024-24974, CVE-2024-27903, CVE-2024-1305), mis võimaldavad läbi viia koodi kaugkäivitamise ründeid. Ehkki vigu tutvustati kui nullpäeva turvanõrkusi, siis teadaolevalt ei ole õnnestunud neid kuritarvitada. Microsofti sõnul nõuab nende vigade ärakasutamine nii autentimist kui ka väga head arusaamist OpenVPN-i sisemisest tööst.

Vead on parandatud OpenVPN versioonis 2.6.10 ja ettevõte kutsub kõiki kasutajaid tarkvara uuendama esimesel võimalusel (SW).

Microsoft paikas oma toodetes 89 haavatavust

Microsoft parandas oma toodetes kokku 89 haavatavust, mille hulgas oli ka üheksa nullpäeva turvanõrkust. Paigatud vigadest kaheksa mõju on hinnatud kriitiliseks ja ettevõtte sõnul on kuut nullpäeva turvanõrkust rünnetes ära kasutatud. Täpsema nimekirja parandustest leiab lisatud lingilt (BC, SW).

Kriitiline turvanõrkus Ivanti Virtual Traffic Manageri tarkvaras

Ivanti paikas Virtual Traffic Manageri (vTM) kriitilise turvavea tähisega CVE-2024-7593 (CVSS skoor 9.8/10), mis võimaldab autentimisest mööda minna ja saada administraatori õigused.

Viga mõjutab järgnevaid vTMi versioone:

  • 22.2 (turvapaigatud versioon on 22.2R1)
  • 22.3 (turvapaigatud versioon on 22.3R3)
  • 22.3R2 (turvapaigatud versioon on 22.3R3)
  • 22.5R1 (turvapaigatud versioon on 22.5R2)
  • 22.6R1 (turvapaigatud versioon on 22.6R2)
  • 22.7R1 (turvapaigatud versioon on 22.7R2)

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada. Kui see ei ole mingil põhjusel võimalik, siis ajutise lahendusena võib ka piirata klientide ligipääsu haldusliidesele või anda ligipääsu ainult usaldusväärsetele IP-aadressidele.

Hetkel teadaoleva info alusel ei ole viga veel õnnestunud ära kasutada, kuid sellele on juba avaldatud kontseptsiooni tõendus. Eelmise aasta detsembrist alates rünnati paljusid organisatsioone Ivanti VPNi seadmete ja nendes olevate turvaaukude kaudu (HN, BC).

Adobe paikas suure hulga turvanõrkusi

Adobe paikas oma toodetes kokku 72 turvaviga ja hoiatab, et turvanõrkuste ära kasutamine võib kaasa tuua koodi käivitamise, mälulekked ja teenuste tõkestamise nii Windowsi kui ka macOSi platvormidel. Näiteks paigati 12 haavatavust populaarses PDFi lugeris Adobe Acrobat and Reader.

Mitmeid vigu paigati ka teistes Adobe’i tarkvarades nagu Adobe Illustrator, Adobe Photoshop, Adobe InDesign, Adobe Commerce ja Dimension. Adobe hoiatab, et kõige tõsisem turvaviga võimaldab ründajatel saada täieliku kontrolli ohvri seadme üle.

Adobe’i sõnul pole haavatavusi rünnete läbiviimiseks veel kuritarvitatud (SW).

SAP paikas oma toodetes kaks kriitilist turvanõrkust

SAP paikas 17 uut turvaviga ning uuendas kaheksat vana turvauuendust. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk CVSS skooriga 9.0/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid BusinessObjects, Business Intelligence ja Build Apps. Esimene neist on tähistatud CVE-2024-41730 (CVSS skoor 9.8/10) ning selle kaudu võib ründaja saada sisselogimiseks vajalikud õigused ja seeläbi kompromiteerida kogu süsteemi. Teine kriitiline turvaviga tähisega CVE-2024-29415 (CVSS skoor 9.1/10) mõjutab Node.js teeki ja Build Apps tarkvara.

SAP on üks maailma suuremaid ERP (Enterprise resource planning) tarkvarade tootjaid ja nende tooteid kasutab oluline osa ettevõtetest ning asutustest. Seetõttu on SAPi tarkvarade haavatavused ka pidevalt küberkurjategijate vaatluse all ja varasemalt on nende toodete kaudu saadud ligipääs paljude organisatsioonide süsteemidele. Soovitame kõigil SAPi tarkvarade kasutajatel tarkvara uuendada (SW, BC, SAP).