Tag Archives: Microsoft

Olulisemad turvanõrkused 2023. aasta 50. nädalal

  • Apple avaldas uue iOSi ja iPadOSi versiooni 17.2

Apple avaldas eelmise nädala alguses uued tarkvara versioonid iOS 17.2 ja iPadOS 17.2, kus on paigatud vähemalt 11 turvaviga. Kõige tõsisema mõjuga on mälupesa sisu muutmise viga ImageIO komponendis, mis võib kaasa tuua pahaloomulise koodi käivitamise. Täpsema loetelu paigatud vigadest leiab Apple’i veebilehelt (Apple).

Ühtlasi tuli välja ka turvauuendus vanematele Apple’i seadmetele. Versioonides iOS 16.7.3 ja iPadOS 16.7.3 on paigatud muuhulgas ka WebKiti veebibrauserimootorit mõjutavad nullpäeva turvanõrkused.

Soovitame Apple’i nutiseadmeid uuendada esimesel võimalusel (SW).

  • Microsoft andis välja oma igakuised turvauuendused

Microsoft parandas kokku 34 haavatavust, nende hulgas oli ka üks nullpäeva turvanõrkus. Parandatud vigadest võimaldavad koodi kaugkäivitada kaheksa haavatavust ja kolm neist on hinnatud kriitilise mõjuga veaks.

Paigatud nullpäeva turvanõrkus tähisega CVE-2023-20588 mõjutab teatud AMD protsessoreid, mis võivad eduka ründe korral tagastada tundlikku infot. Viga tuli avalikuks juba augustis, kuid siis ei avaldatud veale parandust.

Lisaks paigati ka kaheksa turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

  • Adobe paikas oma toodetes 207 turvanõrkust

Adobe hoiatas nii Windowsi kui ka macOSi Adobe toodete kasutajaid pahatahtliku koodi käivitamise, mälulekete ja teenuse tõkestamise rünnete eest. Kokku paigati vähemalt 207 turvaviga, mis mõjutavad erinevaid Adobe tarkvarasid.

Kriitilise mõjuga vead paigati tarkvarades Adobe Illustrator, Substance 3D Sampler ja After Effects. Vead paigati ka tarkvarades Adobe Prelude, Adobe InDesign, Adobe Dimension ja Adobe Animate.

Soovitame kõigil Adobe toodete kasutajatel tarkvara uuendada (SW).

  • Google Chrome’i uues versioonis on parandatud 9 turvanõrkust

Google avaldas Chrome’i versiooni 120.0.6099.109 Windowsi, Maci ja Linuxi seadmetele. Parandatud turvanõrkuste seas on viis kõrge mõjuga ja üks keskmise mõjuga haavatavus. Kõige suurema mõjuga neist on V8 JavaScripti mootorit mõjutav haavatavus.

Ettevõtte ei avaldanud täpsemat infot turvanõrkuste kohta, et enamus kasutajaid jõuaks enne tarkvara uuendada. Hetkel teadaolevalt ei ole turvavigasid õnnestunud kuritarvitada. Google on 2023. aasta jooksul paiganud juba seitse nullpäeva turvanõrkust Chrome’i veebilehitsejas (SW).

  • Ligi 40% Log4J rakendustest kasutab haavatavat tarkvara

Umbes 38% rakendustest, mis kasutavad Apache Log4j teeki, on haavatavuste tõttu ohus. Nende hulgas on ka endiselt rakendusi, mis on haavatavad kaks aastat tagasi paigatud kriitilisele turvanõrkusele Log4Shell. Kuna Log4Shell haavatavus mõjutab väga paljusid tarkvarasid ning seda oli lihtne kuritarvitada, siis muutus see kiirelt ründajate sihtmärgiks.

Rakenduste turvalisusega tegeleva ettevõte Veracode’i raporti alusel on endiselt paljud organisatsioonid jätnud tarkvara uuendamata ja on seetõttu ohus erinevatele Log4j turvanõrkuste rünnetele. Ettevõte kogus 90 päeva jooksul andmeid 3866 organisatsioonist ja enam kui 38 000 erinevast rakendusest. Selle tulemusel selgus, et suur hulk rakendusi kasutab endiselt haavatavaid versioone tarkvarast (BC).

Olulisemad turvanõrkused 2023. aasta 46. nädalal

  • Microsoft paikas oma toodetes 58 viga

Microsoft parandas 58 haavatavust. Nende hulgas oli viis nullpäeva turvanõrkust, millest kolme on rünnetes ära kasutatud.

Ettevõtte sõnul on rünnete läbiviimisel kuritarvitatud haavatavusi tähistega CVE-2023-36036, CVE-2023-36033 ja CVE-2023-36025.

Parandatud vigadest võimaldavad koodi kaugkäivitada 14 ja üks neist on hinnatud kriitilise mõjuga nõrkuseks. Lisaks paigati ka 20 turvaviga Microsoft Edge’i veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

Soovitame uuendused rakendada esimesel võimalusel.

  • WordPressi pistikprogrammi haavatavuse tõttu on ohus enam kui 600 000 veebilehte

Turvanõrkus (CVE-2023-6063) mõjutab pistikprogrammi WP Fastest Cache ja selle kaudu on autentimata ründajal võimalik lugeda veebilehe andmebaasi sisu. Viga on hinnatud CVSS skooriga 8.6/10.

WP Fastest Cache on WordPressi plugin, mida kasutatakse lehtede laadimise kiirendamiseks, külastajakogemuse parandamiseks ja lehekülje esiletõstmiseks Google’i otsingus. Pistikprogrammi kasutab enam kui miljon veebilehte, kuid neist 600 000 kasutavad haavatavusega versiooni.

WPScan on öelnud, et nad avaldavad turvavea kontseptsiooni tõenduse 27. novembril ja kasutajatel on soovitatav enne seda tarkvara uuendada. WordPressi leheküljed ja seal olevad turvanõrkused on tihti ründajate sihtmärkideks.

Turvanõrkus mõjutab pistikprogrammi kõiki versioone kuni 1.2.2. Kõik kasutajad peaks uuendama tarkvara versioonile 1.2.2, kus viga on parandatud (BC).

  • Adobe paikas kriitilised turvavead oma tarkvarades

Adobe paikas kokku 72 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat, Reader, ColdFusion, inDesign, inCopy ja Audition. Parandatud turvanõrkuste hulgas oli 17 Adobe Acrobat ja Reader viga, mille kaudu saab paikamata süsteemides käivitada pahatahtlikku koodi.

Kuna tegemist on väga laialdaselt kasutusel olevate PDF-i lugeritega, siis soovitab tootja uuendada tarkvara nii pea kui võimalik. Adobe’i sõnul ei ole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Täpsem nimekiri parandatud turvavigadest ja mõjutatud tarkvaradest on lisatud linkidel (SW, Adobe).

  • Kiibitootjad paikasid haavatavusi

Kiibitootjad Intel ja AMD avaldasid eelmisel nädalal turvauuendused, milles teavitati oma kliente enam kui 130 haavatavuse parandamisest.

Intel paikas kokku 105 haavatavust. Nende hulgas oli Google’i teadurite avastatud haavatavus tähisega CVE-2023-23583, mille kaudu on võimalik ohvri seade ja teised samas võrgus olevad seadmed kokku jooksutada.  Haavatavus võib kaasa tuua ka teabe avalikustamise või õigustega manipuleerimise. Lisaks teavitati kliente ka Data Center Manager (DCM) tarkvaras olevast turvaveast, mida tähistatakse CVE-2023-31273 ja mis on hinnatud kõrgeima CVSS skooriga 10/10.

AMD parandas oma toodetes 27 turvaviga. Nende hulgas oli turvaviga tähisega CVE-2023-20592, mis ohustab virtuaalmasinaid ja võimaldab ründajal krüpteeritud masinasse sisse murda ning saada kõrgemad õigused. Lisaks paigati haavatavusi komponentides Secure Processor (ASP) ja System Management Unit (SMU) (SW).

Olulisemad turvanõrkused 2023. aasta 44. nädalal

  • Confluence’i tarkvaras avastati kriitiline turvanõrkus

Atlassian teavitas eelmise nädala alguses, et nende Confluence’i tarkvaras on kriitiline turvanõrkus, mida tähistatakse kui CVE-2023-22518. Haavatavus võib potentsiaalselt lubada autentimata ründajatel, kes saavad saata mõjutatud Confluence’ile spetsiaalsete parameetritega päringuid, taastada konkreetse Confluence’i andmebaas ja lõpuks käivitada suvalisi süsteemikäske (PD). Atlassiani sõnul võib autentimata ründaja haavatavuse abil põhjustada kliendi Confluence’i keskkonnas andmekadu (Atlassian). Ettevõte andis 3. novembril ka teada, et nõrkust on üritatud aktiivselt kuritarvitada (Atlassian). RIA avaldas turvanõrkuse kohta käiva ülevaate 31. oktoobril enda blogis (RIA).

Atlassiani sõnul on turvavea vastu haavatavad kõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id.

Põhiliseks vastumeetmeks on uuendada Confluence ühele järgnevatest versioonidest:

7.19.16 või hilisem;
8.3.4 või hilisem;
8.4.4 või hilisem;
8.5.3 või hilisem;
8.6.1 või hilisem.

Ettevõtte ametlikus ohuteates on kirjeldatud ka alternatiivsed võimalused enda haavatavat Confluence’i kaitsta, kui uuendamine ei ole mingil põhjusel võimalik (Atlassian). Siiski tuleks prioritiseerida kaitsemeetmena uuendamist.

  • Microsoft Exchange’il avastati neli nullpäeva turvanõrkust

Microsoft Exchange Serveril avastati neli nullpäeva turvaauku, mida autentitud ründaja saab eemalt ära kasutada suvalise koodi käivitamiseks või haavatavatest süsteemidest tundliku teabe varastamiseks. Turvanõrkusi tähistatakse nelja erineva tähisega: ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 ja ZDI-23-1581. Microsofti sõnul on ZDI-23-1578 turvanõrkuse vastu kaitstud kõik kliendid, kes on rakendanud Exchange’ile augustikuu turvauuendused.  Teiste turvanõrkuste puhul on ründajal vaja kätte saada Exchange’i kasutava meilikonto kasutajatunnused, et turvavigu oleks võimalik kuritarvitada (BP).

  • Kriitilist Apache ActiveMQ turvaviga üritatakse lunavararünnakutes ära kasutada

Küberturbeekspertide sõnul on hiljutiste lunavararünnakute jaoks kasutatud Apache ActiveMQ kriitilist turvaauku, millest teatati 25. oktoobril ja mida tähistatakse kui CVE-2023-46604. Turvanõrkus võimaldab haavatavas süsteemis käivitada pahaloomulist koodi ja see üle võtta (TR).

Hiljuti avaldati ka üks analüüs, kus uuriti kaht rünnakut, mille käigus konkreetset turvanõrkust üritati kuritarvitada. Analüüsis leiti, et rünnakute käigus üritati süsteemid krüpteerida HelloKitty lunavaraga. Ekspertide hinnangu kohaselt olid aga krüpteerimiskatsed “kohmakad”, mis tähendas, et ründajatel ei õnnestunud isegi mitme katse käigus faile krüpteerida (Rapid7).

Turvaveast mõjutatud Apache ActiveMQ versioonid on järgnevad (Apache):

Kõik 5.18.x versioonid enne 5.18.3

Kõik 5.17.x versioonid enne 5.17.6

Kõik 5.16.x versioonid enne 5.16.7

Kõik versioonid, mis on vanemad kui 5.15.16

OpenWire Module 5.18.x versioonid enne 5.18.3

OpenWire Module 5.17.x versioonid enne 5.17.6

OpenWire Module 5.16.x versioonid enne 5.16.7

OpenWire Module 5.8.x versioonid enne 5.15.16

Kasutajatel soovitatakse uuendada mõjutatud tarkvara ühele järgnevatest versioonidest: 5.15.16, 5.16.7, 5.17.6 või 5.18.3.

  • Teadlased avastasid 34 haavatavat Windowsi draiverit

Teadlased avastasid 34 Windowsi draiverit, mida pahalased saavad kuritarvitada süsteemide kompromiteerimiseks. Mõnda neist haavatavatest draiveritest võivad kurjategijad kasutada näiteks arvuti mälu oluliste osade kustutamiseks (THN).

Haavatavate draiverite hulgas olid muuhulgas AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.M. rtif.sys, rtport.sys, stdcdrv64.sys ja TdkLib64.sys (THN).

34 draiverist kuus võimaldavad juurdepääsu kerneli mälule, mida saab siis kuritarvitada õiguste tõstmiseks või turbelahenduste kaotamiseks. Seitse draiverit, sealhulgas Inteli stdcdrv64.sys, saab kasutada püsivara kustutamiseks SPI-välkmälust, muutes süsteemi käivitamatuks (THN).

Eelnevat kirjeldatud ohtude eest kaitsmiseks on oluline hoida oma arvuti tarkvara ajakohasena (THN).

  • Ründajad kuritarvitavad F5 BIG-IP kriitilisi turvanõrkusi

Ründajad kuritarvitavad aktiivselt F5 BIG-IP kriitilist haavatavust, mis võimaldab neil käivitada süsteemikäske. Viga, mida jälgitakse kui CVE-2023-46747, võimaldab autentimata ründajal, kellel on BIG-IP-süsteemile võrgujuurdepääs halduspordi kaudu, käivitada pahaloomulist koodi (SW).

Turvanõrkusele on avalikustatud ka kontseptsiooni tõendus (PoC), mis suurendab kuritarvitamise tõenäosust.  Ründajad on antud kriitilist turvanõrkust kasutanud koos teise uue turvaveaga BIG-IP konfiguratsioonis, mida tähistatakse kui CVE-2023-46748 (SW).

26. oktoobril avalikustas F5 turvanõrkuste vastu parandused BIG-IP versioonide 13.x kuni 17.x jaoks ja kutsus kliente üles neid võimalikult kiiresti rakendama (SW).

Ettevõte on mõlema vea jaoks välja andnud ka vastavad indikaatorid (IoC), et aidata organisatsioonidel võimalikku kompromiteerimist tuvastada. F5 hoiatab siiski aga, et kõik kompromiteeritud süsteemid ei pruugi olla tuvastatavad avaldatud indikaatoritega ning osav ründaja võib enda tegevuse jäljed ka eemaldada.

Ründajad kasutavad turvaauke kombineeritult, seega võib enamiku rünnakute peatamiseks piisata samas ainult CVE-2023-46747 vastu avalikustatud turvaparanduse rakendamisest (SW). Siiski on soovituslik rakendada kõik avalikustatud turvaparandused.

  • Kubernetese jaoks mõeldud NGINX Ingress kontrolleri turvavead võivad lubada häkkeritel mandaate varastada

Kubernetese NGINX Ingressi kontrolleril on kolm turvaviga, mis võivad lubada häkkeril klastrist mandaate varastada. Need haavatavused võivad samuti võimaldada ründajal sisestada kontrolleri protsessi kahjulikku koodi ja saada volitamata juurdepääsu tundlikele andmetele. Üks haavatavustest, CVE-2022-4886, võimaldab ründajal varastada kontrollerist Kubernetese API mandaate.

Tarkvara arendajad on avalikustanud mõned viisid nende haavatavuste leevendamiseks, näiteks teatud valikute rakendamine või NGINX-i uuemale versioonile värskendamine (THN).