Tag Archives: Microsoft

Olulisemad turvanõrkused 2024. aasta 2. nädalal

Ivanti Connecti VPN-tarkvaras avastati kaks kriitilist turvaviga

Laialdaselt kasutatavas VPN-tarkvaras Ivanti Connect Secure on tuvastatud kaks kriitilist nullpäeva turvaauku (CVE-2023-46805, CVE-2024-21887), mida ründajad on aktiivselt ära kasutanud. Turvavead mõjutavad VPNi versioone 9.x ja 22.x ja võivad lubada volitamata isikutel juurdepääsu tundlikule teabele või potentsiaalselt ohustada võrkude turvalisust, mis seda tarkvara kasutavad. Nõrkused teeb lisaks murettekitavaks asjaolu, et nende kuritarvitamiseks ei ole vaja ründajal end autentida. Ettevõte lubas turvaparandused avalikustada esimesel võimalusel. Seni on tarkvara kasutajatel võimalik end kaitsta, järgides ettevõtte soovitusi siin. Kui turvaparandus on saadaval, tuleks see samuti kohe rakendada (Ivanti, SA).

Uue turvanõrkuse abil võivad ründajad GitLabi kontod lihtsalt üle võtta

GitLabi kriitiline haavatavus võimaldab parooli lähtestamise funktsiooni vea tõttu platvormi kasutajakontosid kompromiteerida. Turvanõrkus mõjutab nii GitLab Community Editionit (CE) kui ka Enterprise Editionit (EE). Haavatavus, mida tähistatakse kui CVE-2023-7028, tekkis GitLabi versioonis 16.1.0. See lubab ründajal saata volitamata parooli lähtestamise e-kirju kinnitamata e-posti aadressidele. Viga on parandatud versioonides 16.5.6, 16.6.4 ja 16.7.2, 16.1.6, 16.2.9, 16.3.7 ja 16.4.5. GitLab soovitab täiendava turvameetmena rakendada kahefaktorilist autentimist (2FA). Need, kel on 2FA rakendatud, ei ole haavatavad selle turvanõrkuse vastu, samas on võimalik nende kontode paroole siiski lähtestada. Ettevõte on avalikustanud ka juhised, kuidas logidest võimalikku turvanõrkuse ärakasutamist kontrollida. Infot selle kohta leiate viidatud lingilt. Kasutajatel soovitatakse oma GitLabi lahendused viivitamatult värskendada, et kaitsta end võimalike küberrünnakute eest (SCM).

Juniperi võrguseadmetel paigati kriitiline turvanõrkus

Juniper Networks on parandanud oma tulemüürides ja switch’ides kriitilise koodi kaugkäivitamise (RCE) haavatavuse (CVE-2024-21591). Autentimata ründaja võib turvavea abil saada mõjutatud seadmes juurõigused või teostada seadme vastu teenusetõkestusründe. Turvanõrkus mõjutab paljusid Juniperi võrgutooteid (täpsem nimekiri viidatud linkidelt), ohustades seega mitmete organisatsioonide võrgutaristut. Ettevõte ei ole siiski teadlik, et antud nõrkust oleks suudetud ära kasutada. Juniper Networksi tulemüüride ja switch’ide kasutajatel soovitatakse värskendada seadmete püsivara uusimale versioonile, et haavatavus parandada ja kaitsta oma võrke võimaliku turvanõrkuse ärakasutamise eest (SA). Kui uuendamine ei ole võimalik, on ettevõte avalikustanud ka mõned alternatiivsed kaitsemeetmed, mille kohta saab lugeda täpsemalt siit.

Microsoft parandas jaanuari uuendustega 49 turvaviga

Microsofti parandas igakuiste uuenduste programmi raames 49 turvaauku, sealhulgas 12 koodi kaugkäivitamise (RCE) viga. Kaks neist kaheteistkümnest haavatavustest klassifitseeriti kriitiliseks ja mõjutavad Windows Kerberose turvafunktsioone ning Hyper-V virtualiseerimistarkvara. Lisaks parandati märkimisväärne Office’i tarkvara mõjutav koodi kaugkäivitamise haavatavus (CVE-2024-20677). Turvavärskendused on Windowsi süsteemide turvalisuse ja terviklikkuse säilitamiseks üliolulised ning need tuleks kiiresti rakendada (BC).

Cisco Unity Connectioni viga võimaldab ründajal saada juurkasutaja õigused

Cisco paikas Unity Connectioni tarkvaral kriitilise turvavea, mis võimaldab autentimata ründajal saada juurkasutaja õigused. Unity Connection lahendust kasutavad veebilehitsejad, e-postkastid ning mitmed Cisco seadmed. Eduka ründe korral on võimalik salvestada ohvri seadmesse pahaloomulisi faile ja käivitada operatsioonisüsteemis erinevaid käske. Cisco soovitab kõigil oma toodete kasutajatel teha tarkvarauuendus (BC).

Olulisemad turvanõrkused 2023. aasta 52. nädalal

Ründajad üritavad aktiivselt ära kasutada Apache OFBiz kriitilist turvanõrkust

Shadowserver Foundation on täheldanud katseid kasutada ära avatud lähtekoodiga Apache OFBiz tarkvaras leiduvat kriitilist haavatavust. See haavatavus, mida tähistatakse kui CVE-2023-49070, võimaldab ründajatel autentimisest mööda minna ja võltsida serveripoolset päringut (SSRF), mis võib viia suvalise koodi käivitamiseni ja andmete varguseni. Turvanõrkuse parandamiseks tuleb Apache OFBiz uuendada vähemalt versioonini 18.12.11 (SW).

Nuhkvarad kasutavad ära võimalikku turvanõrkust Google’i OAuthi lahenduses

Mitu pahavara kuritarvitavad väidetavalt Google OAuthi lõpp-punkti nimega MultiLogin, et taastada aegunud autentimisküpsised, mille abil võimaldatakse pahavarade kasutajatele volitamata juurdepääsu Google’i kontodele. Konkreetne turvanõrkus võimaldab pahalastel säilitada juurdepääsu kompromiteeritud kontodele ka pärast seda, kui mõjutatud kasutajad enda konto parooli lähtestavad. Meediaväljaannete info kohaselt ei ole Google konkreetset haavatavust ega selle ärakasutamist kinnitanud. Küll aga on mitmed pahavarade loojad väidetavalt sellest teadlikud ja vastavad lahendused selle ärakasutamiseks ka enda programmidele lisanud (BP).

Lihtne konfiguratsiooniviga seadis ohtu ligi miljoni Jaapani mänguarendajaga seotud inimese andmed

Jaapani mänguarendaja Ateami küberintsident paljastas, kuidas lihtne konfiguratsiooniviga pilveteenuse kasutamisel võib osutuda tõsiseks turberiskiks. Nimelt oli alates 2017. aasta märtsist määratud ettevõtte ühele Google Drive’i keskkonnale konfiguratsioonisäte selliselt, et kõik, kel oli vastav link, said keskkonnale juurdepääsu. Antud juhtum võis potentsiaalselt paljastada peaaegu miljoni inimese tundlikud andmed (BP).

Avalikult kättesaadavad andmed paiknesid kokku 1369 failis ja hõlmasid Ateami klientide, äripartnerite, töötajate, praktikantide ja tööotsijate isikuandmeid. Ohustatud andmete hulgas olid täisnimed, e-posti aadressid, telefoninumbrid, kliendihaldusnumbrid ja seadme identifitseerimisnumbrid (BP).

Kuigi hetkel puuduvad konkreetsed tõendid, et paljastatud teave on varastatud, pöörab see juhtum siiski tähelepanu pilveteenuste turvalise kasutamise olulisusele. Lisaks illustreerib see intsident, kuidas lihtsa konfiguratsioonvea tõttu võivad pahalased pääseda kergesti ligi tundlikele andmetele, mis võib viia potentsiaalse väljapressimiseni või andmete müügini teistele häkkeritele (BP)​.

Mõned soovitused antud juhtumi taustal:

  • Vaadake regulaarselt üle ja värskendage vajadusel pilvekeskondade konfiguratsioonisätteid.
  • Harige töötajaid turvalise andmetöötluse ja jagamise tavade kohta.
  • Rakendage tundlike andmete jaoks rangeid juurdepääsu kontrolle ja krüptimist.

Google Cloudi Kubernetese teenuses parandati haavatavus

Google Cloud parandas enda Kubernetese teenuses keskmise tõsidusega turvavea. Fluent Biti logimiskonteinerist ja Anthos Service Meshist leitud haavatavust saab ära kasutada õiguste suurendamiseks Kubernetese klastris. Lisaks võib antud haavatavus võimaldada andmete vargust ja põhjustada klastril tööhäireid. Haavatavuse ärakasutamise edukus sõltub sellest, kas ründaja on juba mõne meetodi abil, näiteks koodi kaugkäivitamise vea kaudu, FluentBiti konteinerile ligipääsu saanud. Haavatavus parandati turvauuendustega mitmes Google Kubernetes Engine’i (GKE) ja Anthos Service Meshi (ASM) versioonis (THN).

Nimekiri nendest versioonidest, milles on turvanõrkus parandatud:

  • 1.25.16-gke.1020000
  • 1.26.10-gke.1235000
  • 1.27.7-gke.1293000
  • 1.28.4-gke.1083000
  • 1.17.8-asm.8
  • 1.18.6-asm.2
  • 1.19.5-asm.4

Microsoft keelas pahavararünnakutes kuritarvitatud MSIX-i protokolli käsitlusrakenduse

Microsoft keelas MSIX ms-appinstalleri protokolli käsitlusrakenduse, mida erinevad grupeeringud kasutasid pahavara levitamiseks. Ründajad kuritarvitasid turvameetmetest mööda hiilimiseks ära Windows AppX Installeri haavatavust CVE-2021-43890. Konkreetset pahavara, mis antud ründevektoreid ära kasutas, jagati pahatahtlikke reklaamide ja andmepüügisõnumite abil. Microsoft soovitab installida App Installeri paigatud versiooni (1.21.34.210.0 või uuem). Kui see ei ole võimalik, soovitatakse administraatoritel ms-appistaller protokoll võimalusel süsteemides keelata (BP, MS).

Olulisemad turvanõrkused 2023. aasta 51. nädalal

Avastati uus SMTP smugeldamise ründetehnika, mida kasutatakse autentimisprotokollidest mööda pääsemiseks

Teadlased avastasid, et SMTP protokolli (simple mail transfer protocol) võib ära kasutada meili saatja aadressi võltsimiseks nii, et autentimisprotokollid – nagu SPF, DKIM ja DMARC – seda ei tuvasta.

Nimelt saavad ründajad ära kasutada erinevusi selles, kuidas sissetulevad ja väljaminevad SMTP serverid tõlgendavad seda, kus täpsemalt meilis olevate andmete jada lõppeb. Teadlased selgitasid, et kui SMTP serveritel on erinev arusaam sellest, kus sõnumi andmed lõppevad, võivad ründajad nendest piiridest välja murda (SC).

Antud ründetehnika abil võib matkida miljoneid populaarseid domeene, sealhulgas Microsofti, Amazoni, PayPali, eBayd ja teisi. Osad tarnijad, nagu Microsoft ja GMX, on juba vajalikud parandused teinud, et SMTP smugeldamist ennetada. Seevastu Cisco pidas turvanõrkust hoopis featuuriks ning soovitas SMTP smugeldamise vältimiseks Cisco Secure Email Cloud Gateway ja Cisco Secure Email Gateway vaikimisi seadistused ära muuta (CT).

OpenAI väljastas vigase turvapaiga ChatGPT-le

OpenAI väljastas turvapaiga ChatGPTs olevale veale, mille abil oli võimalik lekitada vestlusi ja kasutajaandmeid.

Turvaviga tulenes sellest, et OpenAI väljastas ChatGPTs uue featuuri, mis laseb kasutajatel luua oma versioone ChatGPT-st, mis on mõeldud mingite kindlate eesmärkide täitmiseks (OA). Neid GPT-sid saab jagada ka teiste kasutajatega, andes niimoodi ründajatele võimaluse teha selliseid GPT-sid, mis saadaksid kõik kasutaja poolt sisestatud päringud kolmanda osapoole serverile. Lisaks eelmainitud päringutele saab nii kätte ka kasutaja metaandmeid (ajatemplid, kasutaja ID-d, sessiooni ID-d) ning tehnilisi detaile (IP-aadressid ja UserAgentid).

Teadur, kes selle turvavea avastas ning OpenAI-le edastas, teatas, et turvaviga saab kindlates tingimustes ikka veel ära kasutada (ET) (BC) ning praegu olemasolevatest OpenAI poolt rakendatud lisaturvameetmetest ei piisa, et kliendiandmed ohus ei oleks.

Teadurid avastasid kaks Microsoft Outlooki turvanõrkust, mida saab kombineerida koodi kaugkäituseks

Möödunud nädalal avastati Microsoft Outlookis kaks turvanõrkust, mille kombineerimise korral võib teostada koodi kaugkäitust, ilma et kasutaja peaks ise midagi tegema (DR).  Mõlemat turvanõrkust saab käivitada helifailide abil.

Esimene turvanõrkus CVE-2023-35384 oli avastatud juba märtsis ning selle abil oli ründajatel võimalik Outlookis kasutajaõigusi eskaleerida. Teine haavatavus CVE-2023-36710, mis avastati alles möödunud nädalal, on koodi kaugkäitust võimaldav turvanõrkus, mis tuleneb Windows Media Foundationi featuurist (mis on seotud sellega, kuidas Windows helisid parsib).

Selleks, et neid turvanõrkusi koos ära kasutada, tuleb CVE-2023-35384 suhtes haavatavale Outlooki kliendile saata n-ö meeldetuletus meilile, mis teeb teadete puhul kindlat heli. Ründaja võib teha nii, et meili saanud Outlooki klient päriks eelmainitud teate helina helifaili mingist suvalisest SMB serverist ja mitte turvalistest või usaldatud kohtadest. Ründaja kasutab seda ära, et tema kirja saanud meiliklient päriks pahaloomulist helifaili tema enda serverit, mis viibki koodi kaugkäituseni, CVE-2023-36710 ära kasutades (TT).

Akamai sõnul on mõlemat turvanõrkust võimalik kasutada ka eraldi, küll aga saab nõnda nende abil palju vähem kahju tekitada (DR).

Barracuda paikas uue nullpäeva turvanõrkuse, mida olid ära kasutanud Hiina häkkerid

Barracuda Networksi ESG-des (Email Security Gateway) avastati uus nullpäeva turvanõrkus CVE-2023-7102, mida oli ära kasutanud Hiina rühmitus UNC4841.  Barracuda teavitas, et nad paikasid kõik haavatavad seadmed 21. detsembril, kaasarvatud need, kus turvanõrkust on juba kuritarvitatud SeaSpy ja SaltWateri pahavara juurutamiseks (BC).

Turvanõrkus tulenes Spreadsheet:ParseEcxeli poolt kasutatavast Amavis viiruseskännerist, mis on Barracuda ESG seadmetel rakendatud. Ründajad said seda ära kasutada parameetrite süsti teostamiseks, et haavatavatel seadmetel omavoliliselt koodi käitada.

Barracuda väitis, et nende kliendid midagi tegema ei pea – intsidendi uurimine veel käib ning Barracuda paikab kõik seadmed ise (BA). Sama Hiina häkkerite rühmitus on ka eelnevalt Barracuda ESG seadmeid rünnanud – mais kasutasid nad ära CVE-2023-2868 turvanõrkust küberspionaaži eesmärkidel.