Microsoft parandas 58 haavatavust. Nende hulgas oli viis nullpäeva turvanõrkust, millest kolme on rünnetes ära kasutatud.
Ettevõtte sõnul on rünnete läbiviimisel kuritarvitatud haavatavusi tähistega CVE-2023-36036, CVE-2023-36033 ja CVE-2023-36025.
Parandatud vigadest võimaldavad koodi kaugkäivitada 14 ja üks neist on hinnatud kriitilise mõjuga nõrkuseks. Lisaks paigati ka 20 turvaviga Microsoft Edge’i veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).
Soovitame uuendused rakendada esimesel võimalusel.
WordPressi pistikprogrammi haavatavuse tõttu on ohus enam kui 600 000 veebilehte
Turvanõrkus (CVE-2023-6063) mõjutab pistikprogrammi WP Fastest Cache ja selle kaudu on autentimata ründajal võimalik lugeda veebilehe andmebaasi sisu. Viga on hinnatud CVSS skooriga 8.6/10.
WP Fastest Cache on WordPressi plugin, mida kasutatakse lehtede laadimise kiirendamiseks, külastajakogemuse parandamiseks ja lehekülje esiletõstmiseks Google’i otsingus. Pistikprogrammi kasutab enam kui miljon veebilehte, kuid neist 600 000 kasutavad haavatavusega versiooni.
WPScan on öelnud, et nad avaldavad turvavea kontseptsiooni tõenduse 27. novembril ja kasutajatel on soovitatav enne seda tarkvara uuendada. WordPressi leheküljed ja seal olevad turvanõrkused on tihti ründajate sihtmärkideks.
Turvanõrkus mõjutab pistikprogrammi kõiki versioone kuni 1.2.2. Kõik kasutajad peaks uuendama tarkvara versioonile 1.2.2, kus viga on parandatud (BC).
Adobe paikas kriitilised turvavead oma tarkvarades
Adobe paikas kokku 72 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat, Reader, ColdFusion, inDesign, inCopy ja Audition. Parandatud turvanõrkuste hulgas oli 17 Adobe Acrobat ja Reader viga, mille kaudu saab paikamata süsteemides käivitada pahatahtlikku koodi.
Kuna tegemist on väga laialdaselt kasutusel olevate PDF-i lugeritega, siis soovitab tootja uuendada tarkvara nii pea kui võimalik. Adobe’i sõnul ei ole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Täpsem nimekiri parandatud turvavigadest ja mõjutatud tarkvaradest on lisatud linkidel (SW, Adobe).
Kiibitootjad paikasid haavatavusi
Kiibitootjad Intel ja AMD avaldasid eelmisel nädalal turvauuendused, milles teavitati oma kliente enam kui 130 haavatavuse parandamisest.
Intel paikas kokku 105 haavatavust. Nende hulgas oli Google’i teadurite avastatud haavatavus tähisega CVE-2023-23583, mille kaudu on võimalik ohvri seade ja teised samas võrgus olevad seadmed kokku jooksutada. Haavatavus võib kaasa tuua ka teabe avalikustamise või õigustega manipuleerimise. Lisaks teavitati kliente ka Data Center Manager (DCM) tarkvaras olevast turvaveast, mida tähistatakse CVE-2023-31273 ja mis on hinnatud kõrgeima CVSS skooriga 10/10.
AMD parandas oma toodetes 27 turvaviga. Nende hulgas oli turvaviga tähisega CVE-2023-20592, mis ohustab virtuaalmasinaid ja võimaldab ründajal krüpteeritud masinasse sisse murda ning saada kõrgemad õigused. Lisaks paigati haavatavusi komponentides Secure Processor (ASP) ja System Management Unit (SMU) (SW).
Confluence’i tarkvaras avastati kriitiline turvanõrkus
Atlassian teavitas eelmise nädala alguses, et nende Confluence’i tarkvaras on kriitiline turvanõrkus, mida tähistatakse kui CVE-2023-22518. Haavatavus võib potentsiaalselt lubada autentimata ründajatel, kes saavad saata mõjutatud Confluence’ile spetsiaalsete parameetritega päringuid, taastada konkreetse Confluence’i andmebaas ja lõpuks käivitada suvalisi süsteemikäske (PD). Atlassiani sõnul võib autentimata ründaja haavatavuse abil põhjustada kliendi Confluence’i keskkonnas andmekadu (Atlassian). Ettevõte andis 3. novembril ka teada, et nõrkust on üritatud aktiivselt kuritarvitada (Atlassian). RIA avaldas turvanõrkuse kohta käiva ülevaate 31. oktoobril enda blogis (RIA).
Atlassiani sõnul on turvavea vastu haavatavad kõik Confluence Serveri ja Data Centeri versioonid, millel ei ole turvapaika rakendatud. Mõjutatud ei ole Atlassian Cloudi kasutavad Confluence’id.
Põhiliseks vastumeetmeks on uuendada Confluence ühele järgnevatest versioonidest:
7.19.16 või hilisem; 8.3.4 või hilisem; 8.4.4 või hilisem; 8.5.3 või hilisem; 8.6.1 või hilisem.
Ettevõtte ametlikus ohuteates on kirjeldatud ka alternatiivsed võimalused enda haavatavat Confluence’i kaitsta, kui uuendamine ei ole mingil põhjusel võimalik (Atlassian). Siiski tuleks prioritiseerida kaitsemeetmena uuendamist.
Microsoft Exchange’il avastati neli nullpäeva turvanõrkust
Microsoft Exchange Serveril avastati neli nullpäeva turvaauku, mida autentitud ründaja saab eemalt ära kasutada suvalise koodi käivitamiseks või haavatavatest süsteemidest tundliku teabe varastamiseks. Turvanõrkusi tähistatakse nelja erineva tähisega: ZDI-23-1578, ZDI-23-1579, ZDI-23-1580 ja ZDI-23-1581. Microsofti sõnul on ZDI-23-1578 turvanõrkuse vastu kaitstud kõik kliendid, kes on rakendanud Exchange’ile augustikuu turvauuendused. Teiste turvanõrkuste puhul on ründajal vaja kätte saada Exchange’i kasutava meilikonto kasutajatunnused, et turvavigu oleks võimalik kuritarvitada (BP).
Kriitilist Apache ActiveMQ turvaviga üritatakse lunavararünnakutes ära kasutada
Küberturbeekspertide sõnul on hiljutiste lunavararünnakute jaoks kasutatud Apache ActiveMQ kriitilist turvaauku, millest teatati 25. oktoobril ja mida tähistatakse kui CVE-2023-46604. Turvanõrkus võimaldab haavatavas süsteemis käivitada pahaloomulist koodi ja see üle võtta (TR).
Hiljuti avaldati ka üks analüüs, kus uuriti kaht rünnakut, mille käigus konkreetset turvanõrkust üritati kuritarvitada. Analüüsis leiti, et rünnakute käigus üritati süsteemid krüpteerida HelloKitty lunavaraga. Ekspertide hinnangu kohaselt olid aga krüpteerimiskatsed “kohmakad”, mis tähendas, et ründajatel ei õnnestunud isegi mitme katse käigus faile krüpteerida (Rapid7).
Turvaveast mõjutatud Apache ActiveMQ versioonid on järgnevad (Apache):
Kõik 5.18.x versioonid enne 5.18.3
Kõik 5.17.x versioonid enne 5.17.6
Kõik 5.16.x versioonid enne 5.16.7
Kõik versioonid, mis on vanemad kui 5.15.16
OpenWire Module 5.18.x versioonid enne 5.18.3
OpenWire Module 5.17.x versioonid enne 5.17.6
OpenWire Module 5.16.x versioonid enne 5.16.7
OpenWire Module 5.8.x versioonid enne 5.15.16
Kasutajatel soovitatakse uuendada mõjutatud tarkvara ühele järgnevatest versioonidest: 5.15.16, 5.16.7, 5.17.6 või 5.18.3.
Teadlased avastasid 34 haavatavat Windowsi draiverit
Teadlased avastasid 34 Windowsi draiverit, mida pahalased saavad kuritarvitada süsteemide kompromiteerimiseks. Mõnda neist haavatavatest draiveritest võivad kurjategijad kasutada näiteks arvuti mälu oluliste osade kustutamiseks (THN).
Haavatavate draiverite hulgas olid muuhulgas AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.M. rtif.sys, rtport.sys, stdcdrv64.sys ja TdkLib64.sys (THN).
34 draiverist kuus võimaldavad juurdepääsu kerneli mälule, mida saab siis kuritarvitada õiguste tõstmiseks või turbelahenduste kaotamiseks. Seitse draiverit, sealhulgas Inteli stdcdrv64.sys, saab kasutada püsivara kustutamiseks SPI-välkmälust, muutes süsteemi käivitamatuks (THN).
Eelnevat kirjeldatud ohtude eest kaitsmiseks on oluline hoida oma arvuti tarkvara ajakohasena (THN).
Ründajad kuritarvitavad aktiivselt F5 BIG-IP kriitilist haavatavust, mis võimaldab neil käivitada süsteemikäske. Viga, mida jälgitakse kui CVE-2023-46747, võimaldab autentimata ründajal, kellel on BIG-IP-süsteemile võrgujuurdepääs halduspordi kaudu, käivitada pahaloomulist koodi (SW).
Turvanõrkusele on avalikustatud ka kontseptsiooni tõendus (PoC), mis suurendab kuritarvitamise tõenäosust. Ründajad on antud kriitilist turvanõrkust kasutanud koos teise uue turvaveaga BIG-IP konfiguratsioonis, mida tähistatakse kui CVE-2023-46748 (SW).
26. oktoobril avalikustas F5 turvanõrkuste vastu parandused BIG-IP versioonide 13.x kuni 17.x jaoks ja kutsus kliente üles neid võimalikult kiiresti rakendama (SW).
Ettevõte on mõlema vea jaoks välja andnud ka vastavad indikaatorid (IoC), et aidata organisatsioonidel võimalikku kompromiteerimist tuvastada. F5 hoiatab siiski aga, et kõik kompromiteeritud süsteemid ei pruugi olla tuvastatavad avaldatud indikaatoritega ning osav ründaja võib enda tegevuse jäljed ka eemaldada.
Ründajad kasutavad turvaauke kombineeritult, seega võib enamiku rünnakute peatamiseks piisata samas ainult CVE-2023-46747 vastu avalikustatud turvaparanduse rakendamisest (SW). Siiski on soovituslik rakendada kõik avalikustatud turvaparandused.
Kubernetese jaoks mõeldud NGINX Ingress kontrolleri turvavead võivad lubada häkkeritel mandaate varastada
Kubernetese NGINX Ingressi kontrolleril on kolm turvaviga, mis võivad lubada häkkeril klastrist mandaate varastada. Need haavatavused võivad samuti võimaldada ründajal sisestada kontrolleri protsessi kahjulikku koodi ja saada volitamata juurdepääsu tundlikele andmetele. Üks haavatavustest, CVE-2022-4886, võimaldab ründajal varastada kontrollerist Kubernetese API mandaate.
Tarkvara arendajad on avalikustanud mõned viisid nende haavatavuste leevendamiseks, näiteks teatud valikute rakendamine või NGINX-i uuemale versioonile värskendamine (THN).
Uus “HTTP/2 Rapid Reset” nullpäeva turvanõrkus võimaldab läbi viia suuremahulisi DDoS-ründeid
Eelmisel nädalal avalikustati uus teenusetõkestusrünnete läbiviimise meetod, mida nimetatakse “HTTP/2 Rapid Reset”. Rünnetes kasutatakse ära HTTP/2 protokolli haavatavust, mille kaudu on võimalik teha väga suure mahuga hajusaid teenusetõkestusründeid. Meetodit on juba augustikuust alates kasutatud DDoS-rünnete läbiviimiseks ja Clouflare’il on õnnestunud leevendada juba enam kui tuhandet “HTTP/2 Rapid Reset” DDoS-rünnet.
Cloudflare’i sõnul on uue tehnikaga läbiviidud ründed kolm korda suurema võimsusega kui oli möödunud aasta rekord. Kui varasemalt oli rekordiline rünne 71 miljonit päringut sekundis, siis nüüd viiakse läbi ründeid mahuga 200 miljonit päringut sekundis. Google’i sõnul on nemad tegelenud ka ründega, mille maht oli ligi 400 miljonit päringut sekundis.
Nii Amazon Web Services, Cloudflare kui ka Google on kasutusele võtnud meetodid, mis aitavad ründeid leevendada (BC, Cloudflare, Google).
Microsoft paikas oma toodetes 104 viga
Microsoft parandas kokku 104 haavatavust, nende hulgas oli kolm nullpäeva turvanõrkust, mida on rünnetes ära kasutatud. Parandatud vigadest võimaldavad koodi kaugkäivitada 45 haavatavust ja 12 neist on hinnatud kriitilise mõjuga veaks.
Parandatud nullpäeva turvanõrkustest esimene (CVE-2023-41763) mõjutab Skype for Business tarkvara ja selle kaudu on võimalik saada kõrgemad õigused. Teine haavatavus (CVE-2023-36563) on Microsofti Wordpad tarkvaras ja see võimaldab ründajal saada ligipääsu ohvri süsteemile. Kolmas nullpäeva turvanõrkus (CVE-2023-44487) on seotud eelmises lõigus kirjeldatud „HTTP/2 Rapid Reset“ haavatavusega.
Täpsema nimekirja parandustest leiab lisatud lingilt (BC).
Google Chrome’i uues versioonis on parandatud 20 turvanõrkust
Google avaldas Chrome’i versiooni 118.0.5993.70 Windows, Mac ja Linux seadmetele. Parandatud turvanõrkuste seas on üks kriitilise ja kaheksa keskmise mõjuga haavatavust. Hetkel teadaolevalt ei ole haavatavusi rünnete läbiviimisel ära kasutatud. Soovitame uuendada Google Chrome’i esimesel võimalusel (SW, Chrome).
Juniper paikas rohkem kui 30 turvaviga operatsioonisüsteemis Junos OS
Juniper Networks paikas üle 30 turvavea, mis mõjutavad Junos OS ja Junos OS Evolved operatsioonisüsteeme. Nende hulgas oli ka üheksa kõrge mõjuga haavatavust. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-44194, mille kaudu võib autentimata ründaja saada juurkasutaja õigustega ligipääsu. Vead on paigatud Junos OS ja Junos OS Evolved versioonides 20.4, 21.1, 21.2, 21.3, 21.4, 22.1, 22.2, 22.3, 22.4, 23.1, 23.2 ja 23.3.
Ettevõtte sõnul ei ole teada, et parandatud haavatavusi oleks rünnetes ära kasutatud. Arvestades seda, kui tihti proovitakse võrguseadmete turvanõrkusi rünnete läbiviimisel kuritarvitada, soovitab tootja uuendada tarkvara esimesel võimalusel (SW).
Adobe paikas turvavead Adobe Commerce, Magento Open Source ja Photoshop tarkvarades
Adobe paikas kokku 13 haavatavust, mis mõjutavad tarkvarasid Adobe Commerce, Magento Open Source ja Adobe Photoshop. Eduka ründe korral on võimalik õigustega manipuleerida, turvaseadistustest mööda minna, käivitada pahatahtlikku koodi ja teenuseid tõkestada.
Turvavead mõjutavad Adobe Commerce ja Magento Open Source versioone 2.4.7-beta1 ja vanemaid. Lisaks paigati ka vead Adobe Photoshop 2022 ja Photoshop 2023 tarkvarades. Täpsem nimekiri mõjutatud tarkvarade versioonidest on lisatud linkidel.
Kuna Adobe toodete turvanõrkused on tihti rünnakute sihtmärgiks, siis soovitab tootja kõigil kasutajatel nimetatud tarkvara uuendada (SW, Adobe, Adobe).
D-Linki WiFi signaalivõimendi on haavatav koodi kaugkäivitamisele
Populaarne WiFi signaalivõimendi D-Link DAP-X1860 WiFi 6 on haavatav turvanõrkusele CVE-2023-45208, mis võib kaasa tuua teenuse tõkestamise ja pahatahtliku koodi kaugkäivitamise. Hetkel ei ole veale parandust ja D-Link DAP-X1860 seadme kasutajatel soovitatakse piirata käsitsi võrguskaneerimise lubamist ning lülitada seade välja, kui seda parajasti ei kasuta (BC).
