Lõppenud nädalal paikasid mitmed ettevõtted ridamisi nullpäeva turvanõrkusi.
Microsoft parandas mitukümmend turvanõrkust, samuti tulid turvauuendused Firefoxi ja Chrome’i veebibrauseritele.
Sellest kõigest kirjutame lähemalt järgnevas ülevaates.
Microsoft paikas 59 turvaviga
Microsoft avalikustas enda toodetele septembrikuu turvauuendused, mis parandavad kokku 59 turvanõrkust (sh kaks nullpäeva turvanõrkust). Ettevõtte hindab viit haavatavust 59-st kriitiliseks, nende viie seas on neli koodi kaugkäivitamist võimaldavat turvanõrkust ja üks õiguste suurendamist võimaldav turvanõrkus (seotud Azure’i Kubernetese teenusega). Nullpäeva turvanõrkuseid (tähistusetega vastavalt CVE-2023-36802 ja CVE-2023-36761) on ettevõtte hinnangul juba küberrünnakutes ära kasutatud. Nende abil on ründajal võimalik saada kõrgendatud õigused või varastada NTLM räsisid, mis võimaldavad ründajal potentsiaalselt mõjutatud kasutajakontod üle võtta. Kui kasutate turvauuenduse/uuendused saanud tarkvara (nimekiri siit), uuendage see esimesel võimalusel (BC).
Mozilla ja Google parandasid nullpäeva turvanõrkuse
Google andis plaaniväliselt välja turvavärskenduse, et parandada Chrome’i nullpäeva turvanõrkus. Kriitilise nullpäeva haavatavuse (CVE-2023-4863) põhjustab ühe kooditeegi puhvri üle täitumise (buffer overflow) nõrkus, mille mõju võib ulatuda tõrgetest veebibrauseri töös kuni võimaluseni käivitada pahaloomulist koodi ohvri süsteemis (BC, Google).
Chrome’i kasutajatel soovitatakse võimalikult kiiresti uuendada oma veebibrauser versioonile 116.0.5845.187 (Mac ja Linux) ja 116.0.5845.187/.188 (Windows). Värskenduse leiate, kui valite Chrome’i menüü > Abi > Teave Google Chrome’i kohta. Chrome kontrollib ka uute värskenduste olemasolu ja installib need pärast taaskäivitamist automaatselt, ilma et oleks vaja kasutaja sekkumist (BC, Google).
Sarnaselt Google’ile parandas antud turvanõrkuse ka Mozilla. Nimelt avalikustati turvauuendus nii Firefoxi veebibrauserile kui ka Thunderbirdi meilirakendusele. Turvanõrkus on parandatud Firefoxi versioonides Firefox 117.0.1, Firefox ESR 115.2.1 ja Firefox ESR 102.15.1 ning Thunderbirdi versioonides 102.15.1 ja 115.2.2 (BC, Mozilla).
Avalikustati kriitiline Kubernetese turvanõrkus
Hiljuti avastati Kubernetese tarkvaras tõsised haavatavused, mida tähistatakse kui CVE-2023-3676, CVE-2023-3893 ja CVE-2023-3955. Kubernetes on haldustarkvara, mida kasutatakse kasutuses olevate rakenduste organiseerimiseks, parandamiseks, uuendamiseks jne. CVE-2023-3676 pakub ründajale võimaluse potentsiaalelt kompromiteerida kõik haavatava Kubernetesega seotud Windowsi süsteemid. Seetõttu on väga oluline, et mõjutatud isikud turvauuenduse kiiresti rakendaksid. Haavatavus mõjutab Kubernetese vaikeinstallatsioone. Täpsemalt saab haavatavuse ja vastumeetmete kohta lugeda siit (SA, Akamai).
Küberrünnakud ohustavad avatud Microsoft SQL Serveri andmebaase
Hiljuti avalikustati raport, mis käsitleb küberrünnakuid avatud Microsoft SQL Serveri (MSSQL) andmebaaside vastu. Küberrünnakutele on antud koodnimetus DB#JAMMER. Raporti põhjal alustavad ründajad jõuründega internetist kättesaadavate MSSQL andmebaaside suunas. Kui sellega õnnestub ründajatel andmebaasidele ligipääs saada, üritavad nad kompromiteeritud süsteemis seda ka kindlustada. Lisaks paigaldatakse kompromiteeritud süsteemi erinevat tüüpi pahavara, luuakse ühendusi ründajate kontrollitud infrastruktuuriga, et vajalikke tööriistu andmete varastamiseks alla laadida ning krüpteeritakse võimalusel kogu ülevõetud süsteem. Raporti autorite hinnangul on tegu kõrgetasemeliste rünnetega, arvestades kasutatud pahavara, infrastruktuuri ja rünnete ülesehitust laiemalt.
Kuna rünnakud sihivad eelkõige avatud MSSQL servereid, tuleks avalik ligipääs neile võimalusel piirata. Samuti soovitatakse veenduda, et kasutajakontod kasutaksid piisavalt tugevaid paroole, sest nõrgad kasutajatunnused teevad ründajate elu palju lihtsamaks. Lisaks soovitatakse raportis organisatsioonidel monitoorida levinumaid pahavara paigaldamisega seotud katalooge („C:\Windows\Temp“) ja juurutada täiendavat protsessitasemel logimist (Sysmoni ja PowerShelli logimine), et logimise katvust laiendada (Securonix, DR).
WordPressi pistikprogrammi turvaviga võib kaasa tuua andmete lekkimise
Pistikprogrammil nimetusega All-In-One WP Migration avastati turvaviga, mis võib lubada ründajatel ligi pääseda haavatava veebilehe tundlikele andmetele. Antud pistikprogrammi kasutab umbes viis miljonit WordPressi veebilehte. Viga, mida tähistatakse tähisega CVE-2023-40004, võimaldab autentimata kasutajatel suunata potentsiaalselt haavatava veebilehega seotud andmed kolmanda osapoole pilveteenustega seotud kontodele või kasutada pahaloomulisi varukoopiaid. Turvaprobleemi leevendab mõnevõrra asjaolu, et pistikprogrammi kasutatakse üldjuhul ainult veebilehe migratsiooniprojektide ajal ja see ei tohiks tavaliselt olla muul ajal aktiivselt kasutuses (BP).
Mõjutatud tasuliste kolmanda osapoole laienduste kasutajatel soovitatakse minna üle järgmistele fikseeritud versioonidele:
Box-nimeline laiendus: v1.54
Google Drive’i laiendus: v2.80
OneDrive’i laiendus: v1.67
Dropboxi laiendus: v3.76
Samuti soovitatakse kasutajatel kasutada pistikprogrammi All-in-One WP Migration uusimat versiooni v7.78.
Unarusse jäetud DNS-kirjeid on võimalik kasutada alamdomeenide kaaperdamiseks
IT-turbe konsultatsioonifirma töötajad viisid läbi uurimuse, et kaardistada unarusse jäetud DNS-kirjetega seonduvaid ohte. Täpsemalt keskenduti olukorrale, kui DNSi CNAME kirje osutab alamdomeenile, mida enam ei eksisteeri. Uurimistöö autorite sõnul õnnestus neil selliste DNS-kirjete abil üle võtta enam kui tosina suurorganisatsiooni alamdomeenid. Uurimistöö keskendus USA, Kanada, Ühendkuningriigi ja Austraalia valitsusorganisatsioonide alamdomeenidele, samuti uuriti erasektori ettevõtete kasutatavaid DNS-kirjeid. Tõenäoliselt on haavatavaid organisatsioone üle tuhande, selgub uurimusest (Certitude).
Pärast konfiguratsioonivea leidmist konfigureerisid autorid kaaperdatud alamdomeenid nii, et need suunaksid külastajad turvateadlikkuse teatise lehele, kus selgitatakse, kes nad on, mida nad on teinud ja kuidas nad seda tegid. Samuti andis leht juhised alamdomeeni kaaperdamise ärahoidmiseks ja alamdomeeni taastamiseks. Pahatahtlik osapool oleks võinud seda DNS-i konfiguratsiooniviga ära kasutada aga pahavara levitamiseks, valeinformatsiooni levitamiseks ja andmepüügirünnakuteks (Certitude).
Uurimuses kajastatud DNS-kirjetega seotud probleem tekib tihti pilveteenustega. Organisatsioonid seostavad kolmandate osapoolte pakutavaid pilvepõhiseid teenuseid DNS-kirjetega oma DNS-serveris. Kui aga pilveteenusest mingil hetkel loobutakse, võivad DNS-kirjed jätkuvalt jääda osutama sidusdomeenile (Certitude).
Alates 2023. aasta märtsist on Akira ja LockBiti küberrühmitused rünnanud organisatsioone haavatavate Cisco ASA SSL VPN kaudu. Rünnakute õnnestumine on olnud tingitud nõrkadest või vaikeparoolidest, kuid samuti asjaolust, et tihti ei ole VPNide puhul rakendatud mitmefaktorilist autentimist (MFA) (Rapid7).
Analüüsist selgub, et kompromiteeritud Cisco VPNid on olnud erinevate versioonidega, rünnakud on olnud automatiseeritud ning sisse on üritatud saada erinevaid laialt levinud kasutajanimesid proovides. Analüüsi autorite sõnul ei olnud 40% kompromiteeritud VPNidest MFA-d rakendatud (Rapid7).
Selliste intsidentide vältimiseks ärgitatakse organisatsioone kasutama unikaalseid ja tugevaid paroole, uuendama tarkvara esimesel võimalusel ja analüüsima logisid, et tuvastada jõurünnete teostamist. Samuti tuleks alati võimalusel rakendada MFA-d (Rapid7).
VMware’i virtualiseerimiskeskkondade haldustarkvara SSH-autentimisest on võimalik mööda pääseda
VMware Aria Operations for Networks (endine vRealize Network Insight) on haavatav kriitilise turvavea suhtes (tähisega CVE-2023-34039, kriitilisuse hinnang 9.8/10.0), mis võib võimaldada ründajatel haavatava süsteemi SSH-autentimisest mööda minna ja ligi pääseda privaatsetele lõpp-punktidele (private end-points).
CVE-2023-34039 kasutamine võib viia andmelekkeni või andmete muutmiseni mõjutatud süsteemis. Olenevalt konfiguratsioonist võib ründajal olla võimalik tekitada võrguhäireid, muuta süsteemi konfiguratsiooni, paigaldada pahavara või liikuda teistesse seotud süsteemidesse edasi.
Turvaviga mõjutab kõiki Aria tarkvara 6.x versioone. Hetkel on ainus viis kriitilise vea parandamiseks minna üle versioonile 6.11 või rakendada varasematele versioonidele turvapaika tähisega KB94152. Täpsemat infot saab viidatud linkidelt (VMware, BP).
Microsoft paikas kaks aktiivselt kuritarvitatud nullpäeva turvanõrkust
Microsoft parandas augustikuu turvauuendustega 87 turvaviga, millest kuus on hinnatud kriitiliseks. Parandatud turvanõrkuste seas oli ka kaks nullpäeva haavatavust. Microsoft liigitab haavatavuse nullpäevaks, kui see on avalikustatud või seda on aktiivselt ära kasutatud ilma ametliku paranduseta. Esimest nullpäeva haavatavust CVE-2023-36884 saavad ründajad kuritarvitada selleks, et käivitada ohvri seadmes pahaloomulist koodi. See on võimalik, kuna antud turvanõrkus võimaldab ühest Microsoft Office’i turvameetmest (MoTW) mööda pääseda. Teise nullpäeva turvavea abil (tähistusega CVE-2023-38180) saab ründaja teostada teenusetõkestusründe .NET ja Visual Studio rakenduste vastu. Kui mõni Microsofti tarkvara uuendust pakub, soovitame selle esimesel võimalusel rakendada. Nimekirja kõikidest paigatud turvanõrkustest näete viidatud allikates (BP, SW, SA).
Microsoft avastas Codesysi tarkvaras üle 12 turvaaugu, mida saab ära kasutada tööstusseadmete töö segamiseks või tundliku teabe varastamiseks. Codesys toodab juhtimissüsteemide automatiseerimistarkvara ja ettevõtte tooteid kasutavad mõned maailma suurimad tööstuslike juhtimissüsteemide (ICS) tootjad. Kokku leiti Codesys Control V3 versioonides, mis on vanemad kui 3.5.19.0, 16 turvaauku. Kõigile haavatavustele on määratud suhteliselt kõrge raskusastme tase (maksimaalselt CVSSv3 8.8/10.0).
Ründajad võivad neid haavatavusi ära kasutada programmeeritavate loogikakontrollerite (PLC) ja muude ICS-seadmete sihtimiseks. Microsofti keskendus enda uurimuses Schneider Electricu ja Wago valmistatud PLC-dele. Siiski nõuab avastatud haavatavuste ärakasutamine kasutajapoolset autentimist, samuti põhjalikke teadmisi Codesys v3 protokolli ja seda kasutavate erinevate teenuste struktuuri kohta.
Microsoft on avalikustanud põhjaliku blogipostituse, millega saab tutvuda siin. Blogipostituses soovitatakse muuhulgas mõjutatud seadmed esimesel võimalusel uuendada, samuti tuleb veenduda, et kõik kriitilised seadmed (nagu näiteks PLC-d) ei oleks avalikult kättesaadavad, hoolimata sellest, kas need kasutavad Codesysi tarkvara või mitte. Samuti pakutakse avatud lähtekoodiga tööriista, mille abil on võimalik kasutajatel mõjutatud seadmed tuvastada. Täpsemalt saab selle kohta lugeda viidatud linkidelt (MS, SW).
Adobe paikas enda toodetel mitukümmend turvanõrkust
Adobe paikas kokku 30 haavatavust, mis mõjutavad tarkvarasid Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Eduka ründe korral on võimalik turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada. Soovitame kõigil kasutajatel Adobe tarkvara uuendada (SW, Adobe).
Uued protsessorite vastu suunatud ründemeetodid võivad paljastada tundlikku teavet
Esimese uue ründemeetodi avastas Google ja seda tuntakse nimetuse all Downfall. Konkreetse ründe käigus kasutatakse ära turvanõrkust CVE-2022-40982. Sarnaselt muudele protsessori vastu suunatud ründemeetoditele võib Downfalli ära kasutada süsteemile ligipääsu saanud ründaja või pahavara, et hankida seadme kasutajaga seotud tundlikku teavet, näiteks paroole. Antud ründemeetod töötab avastajate sõnul ka pilvekeskkondade vastu. Inteli sõnul kasutati ründemeetodi tõestamiseks spetsiifilisi tingimusi ja seda meetodit on väga keeruline ilma nende tingimusteta kasutada. Siiski pakub ettevõte mõjuatud platvormidele uuenduse. Ründemeetodi vastu on kaitstud hiljutised Inteli protsessorid nagu Alder Lake, Raptor lake ja Sapphire Rapids (SW).
Hiljuti avalikustas Google ka Zenbleedi-nimelise haavatavuse, mis mõjutab AMD Zen 2 protsessoreid ja lubab ründajal tundlikule teabele ligi pääseda. Samuti teavitasid ETH Zürichi ülikooli teadlased avalikkust veel ühest protsessorite vastu suunatud ründemeetodist, mille abil on võimalik tundlikule informatsioonile ligi pääseda ja mis mõjutab AMD Zeni protsessoreid (SW).
