Tag Archives: Mirai

Olulisemad turvanõrkused 2023. aasta 47. nädalal

  • Avalikustati  Windows Defenderi kriitilise turvavea kontseptsiooni tõendus

Turvaveale tähisega CVE-2023-36025 avalikustati kontseptsiooni tõendus (PoC). Kuigi antud haavatavusele on olemas parandus, võib PoCi avalikuks tulek suurendada rünnete hulka, mis üritavad seda turvanõrkust ära kasutada.

Turvaviga CVE-2023-36025 on operatsioonisüsteemides Windows 10, Windows 11, Windows Server 2008 ning viimase uuemates versioonides. Haavatavus võimaldab mööda minna Windows Defender SmartScreeni kontrollidest ja käivitada ohvri seadmes pahatahtlikku koodi. Selleks, et viga kuritarvitada, tuleb ründajal meelitada kasutaja avama pahaloomulist linki. Linki võib ründaja jagada õngitsuskirjade või kompromiteeritud veebilehtede kaudu (DR).

Küberturvalisusega tegeleva ettevõtte Proofpointi sõnul kasutab nimetatud haavatavust rünnete läbiviimisel näiteks TA544-nimeline küberrühmitus (DR).

  • Citrix kutsub kasutajaid rakendama lisameetmeid Citrix Bleedi turvanõrkuse vastu

Citrix tuletas administraatoritele meelde, et nad peavad lisaks NetScaleri seadmete tarkvara uuendamisele kasutusele võtma lisameetmeid, et kaitsta end turvanõrkuse CVE-2023-4966 vastu. Ettevõtte sõnul tuleb kustutada varasemad kasutajate sessioonid, samuti lõpetada kõik aktiivsed kasutajate sessioonid. See samm on väga oluline, sest rünnete käigus on varastatud kasutajate autentimise andmeid, mis võimaldavad kurjategijatel saada ligipääsu kompromiteeritud seadmetele ka pärast  seda, kui turvauuendused on rakendatud (BC).

Citrix parandas vea oktoobri alguses, kuid Mandianti sõnul on seda nullpäeva turvanõrkusena aktiivselt kuritarvitatud alates 2023. aasta augusti lõpust. Teadurite sõnul on üle 10 000 võrgus oleva Citrixi seadme turvanõrkusele haavatavad (BC).

Mitmed küberrühmitused kasutavad Citrix Bleedi turvanõrkust ära rünnete läbiviimisel. Eelmisel nädalal tegi CISA koos teiste asutustega ühisavalduse, milles kirjutatakse, et Lockbiti-nimeline lunavararühmitus kasutab rünnete läbiviimisel just Citrix Bleedi turvanõrkust. Muu hulgas rünnati sel viisil ka lennundusettevõtet Boeing, kellelt õnnestus varastada 43GB mahus andmeid   (HN, CISA).

  • Neli aastat vana Netflixi turvavea kohta avaldati täpsemat infot

Viga mõjutas Netflixi loodud DIAL-protokolli ja see parandati juba 2019. aastal. Nüüd on avaldatud ka täpsem tehniline kirjeldus haavatavuse kohta. Teadurite sõnul ootasid nad aastaid enne tehnilise analüüsi avalikustamist, et kõik tehnikatootjad jõuaksid oma riist- ja tarkvara uuendada ning need oleks rünnete eest kaitstud.

Turvaviga, mida on nimetatud ka „DIALStranger“, võimaldas kurjategijatel kaaperdada videovoogu ja näidata kasutajale suvalist videopilti. Haavatavus mõjutas kõiki telereid, videokonsoole ja muid võrgus olevaid seadmeid, mis toetasid DIAL-protokolli. Protokolli eesmärgiks oli lihtsustada videote vaatamist samas võrgus olevates erinevates seadmetes.

Haavatavust kuritarvitades on võimalik näiteks levitada propagandat või näidata kasutajate seadmetes tasulisi reklaame tulu teenimise eesmärgil.

Viimase nelja aasta jooksul on Netflix teinud parandusi DIAL-protokollis ja samuti on paljud seadmete tootjad võtnud kasutusele turvanõrkust leevendavad meetmed, seega tänaseks on haavatavuse potentsiaalne mõju suhteliselt väike (SC).

  • Mirai pahavaral põhineva robotvõrgustikuga liidetakse nullpäeva turvanõrkustega ruutereid ja videosalvestusseadmeid

Uus pahavarakampaania kasutab Mirai pahavaral baseeruva robotvõrgustikuga uute seadmete liitmiseks kahte nullpäeva turvaauku, mille abil on võimalik koodi kaugkäivitada. Ründekampaania käigus on sihitud ruutereid ja videosalvestusseadmeid (NVR), millel on administraatorikonto jaoks jäetud vaikimisi kasutajamandaadid (Akamai).

Eduka ründe korral võetakse seade üle ja paigaldatakse sinna Mirai pahavara variant. Robotvõrgustik kannab koodnimetust InfectedSlurs ja see kasutab Mirai pahavara varianti nimetusega JenX, mis tuli päevavalgele esimest korda 2018. aasta jaanuaris. Konkreetset robotvõrgustiku kasutatakse ulatuslike DDoS-rünnakute teostamiseks. Rünnakute toimepanijaid pole veel kindlaks tehtud (Akamai).

  • Teadlastel õnnestus Windows Hello autentimissüsteemist mööda pääseda

Teadlased avastasid haavatavused populaarsete sülearvutite Windows Hello jaoks kasutatavates sõrmejäljeandurites, mis võimaldavad sõrmejälgede autentimisest mööda minna sellistes seadmetes nagu Dell Inspiron 15, Lenovo ThinkPad T14s ja Microsoft Surface Pro X (SW).

Uuringu viisid läbi Blackwing Intelligence ja Microsofti Ofensive Research and Security Engineering (MORSE). Uurimus oli suunatud Match-on-Chip sõrmejäljeanduritele, millel on oma mikroprotsessor ja mälu, mistõttu on vaja rünnata kiipi, et autentimisest mööda minna (SW).

Rünnak nõuab füüsilist juurdepääsu sihitud seadmele. Delli ja Lenovo sülearvutite puhul õnnestus teadlastel autentimisest mööda pääseda kasutajate sõrmejälgedega seotud kehtivate ID-de loendamisega ja ründaja sõrmejälgede registreerimisega seadusliku kasutaja ID-d võltsides. Surface’i sülearvuti puhul sisestati sülearvutisse USB seade, mille abil näidati arvutile, justkui oleks legitiimne kasutaja sisse loginud (SW).

Täpsemalt saab uurimusega tutvuda siin.

  • Kriitiline turvanõrkus ownCloudi failijagamisrakenduses paljastab administraatorite paroolid

Avatud lähtekoodiga failide sünkroonimise ja jagamise lahendusel ownCloud on kolm kriitilise raskusastmega turvaauku, millest üks võib paljastada administraatori parooli ja meiliserveri mandaadid (BP).

Esimest viga, mida jälgitakse kui CVE-2023-49103, on hinnatud maksimaalse kriitilisuse skooriga 10.0/10.0 ja seda saab ära kasutada mandaatide ning konfiguratsiooniteabe varastamiseks. Viga on seotud grafapi versioonidega 0.2.0 kuni 0.3.0. Soovitatav parandus on kustutada fail „owncloud/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php”, keelata Dockeri konteinerites funktsioon „phpinfo” ja muuta ownCloudi administraatori parool, meiliserveri ja andmebaasi mandaadid ning Object-Store/S3 juurdepääsuvõtmed (BP).

Teine haavatavus, mille kriitilisuse skooriks on märgitud 9,8/10.0, mõjutab ownCloudi põhiteegi versioone 10.6.0–10.13.0. Viga võimaldab ründajatel pääseda juurde, muuta või kustutada mis tahes faili ilma autentimiseta, kui kasutaja kasutajanimi on teada ja ta pole konfigureerinud allkirjastamisvõtit (vaikesäte) (BP).

Kolmanda vea kriitilisuse skoor on veidi madalam kui kahel eelmisel (9.0/10.0). Ründajal on võimalik selle vea abil saata tundlikku teavet tema kontrollitavale veebisaidile. Selle parandamiseks tuleb haavatava ownCloudi valideerimisprotsessi tugevdada. Näiteks on võimalik kasutajatel välja lülitada säte nimega “Allow Subdomains”, kuni veale on parandus avalikustatud (BP).

Konkreetsed haavatavused võivad halvendada märkimisväärselt ownCloudi keskkonna turvalisust ja terviklikkust ning võivad viia andmeleketeni (BP).

Failijagamisplatvormide turvaauke kuritarvitatakse pidevalt ning eriti populaarsed on need lunavararühmituste seas. Seetõttu on ownCloudi administraatoritel ülioluline rakendada kohe soovitatud parandused ja teha teegi värskendused niipea kui võimalik, et turvariske maandada (BP).

Olulised turvanõrkused 2023. aasta 17. nädalal

DDoS-rünnakute võimendamiseks kasutatakse uut turvaviga

Eelmisel nädalal avaldati, et ummistusrünnakute ehk DDoS-rünnakute intensiivsuse tõstmiseks on võimalik kasutada üht uut turvaauku, mis peitub SLP-nimelises teenuses. SLP teenusest kirjutas RIA ka veebruaris, kui seda kasutati lunavararünnakute sooritamiseks (RIA).  Nüüd selgub, et antud teenust on võimalik ründajatel kasutada ka mahukate ummistusrünnakute teostamiseks. Selliste ummistusrünnakute puhul saadab ründaja haavatavale serverile päringu võltsitud IP-aadressiga (ohvri IP-aadress). Haavatav server saadab omakorda tagasi vastuse ohvri IP-aadressile, sealjuures on vastuse päringu maht aga palju suurem kui algselt haavatavale serverile saadetud ründaja päringu maht. Nii on teoreetiliselt võimalik ohvri veebiserver suhteliselt vähese ressursiga üle koormata.  Konkreetne turvanõrkus mõjutab rohkem kui 2000 organisatsiooni üle maailma ja enam kui 54000 SLP teenust, mis on internetist kättesaadavad (Bitsight).

Kes ja mida peaks tegema?

Kõikidel internetiga ühendatud süsteemidel, mis SLP teenust kasutavad, tuleks selle kasutamine peatada. Kui see pole võimalik, tuleks tulemüürid konfigureerida selliselt, et need filtreeriksid UDP- ja TCP-pordi 427 liiklust. Nii on võimalik takistada ründajatele juurdepääs SLP-teenusele (SA).

VMware paikas kaks nullpäeva turvanõrkust

VMware avalikustas turvauuendused, mis parandavad kaks nullpäeva haavatavust (CVE-2023-20869 ja CVE-2023-20870). Turvanõrkuseid on ründajal võimalik ära kasutada, et käivitada pahaloomulist koodi haavatavates süsteemides (Workstation ja Fusion). Mõlemad turvavead on seotud Bluetoothi kasutavate funktsioonidega. Lisaks paikas ettevõte turvanõrkuse (CVE-2023-20871), mis lubab haavatavas süsteemis õiguseid suurendada (BP).

Kes ja mida peaks tegema?

Kui te nimetatud tarkvarasid kasutate, soovitame tutvuda tootja infolehega, kus on kõik juhised turvanõrkuste eemaldamiseks välja toodud.

Kriitiline turvanõrkus mõjutab Zyxeli tulemüüre

Zyxel avalikustas eelmisel nädalal turvauuendused enda pakutavatele tulemüüridele. Turvauuendused paikavad kriitilise haavatavuse, mille abil on autentimata ründajal võimalik käivitada operatsioonisüsteemi käske (SW).

Kes ja mida peaks tegema?

Viga mõjutab ATP, USG FLEX ja VPN versioone 4.60–5.35 ja ZyWALL/USG versioone 4.60–4.73. Turvanõrkus on eemaldatud ATP, USG FLEX ja VPN versioonides 5.36 ja ZyWALL/USG versioonis 4.73 Patch 1 (Zyxel). Kuigi seni ei ole teada, et kriitilist turvaviga oleks küberrünnakutes ära kasutatud, on haavatavad tulemüürid sageli ründajatele ahvatlevateks sihtmärkideks. Seetõttu soovitatakse kasutajatel oma Zyxeli tulemüürid uuendada võimalikult kiiresti.  

Mirai robotvõrgustikuga liidetakse aktiivselt haavatavaid TP-Link ruutereid

Ründajad üritavad aktiivselt kompromiteerida TP-Linki ruutereid, mida ei ole paigatud hiljuti avalikustatud turvanõrkuse vastu. Ründajate eesmärgiks on liita kompromiteeritud seadmed Mirai robotvõrgustikuga, mida kasutatakse ummistusrünnakute teostamiseks. Haavatavus CVE-2023-1389 avastati algselt möödunud aasta detsembris TP-Link Archer AX21 WiFi-ruuteris ning see paigati märtsis. Seni on üritatud eelkõige rünnata Ida-Euroopas olevaid haavatavaid seadmeid, kuid üha rohkem üritatakse kompromiteerida haavatavaid ruutereid ka teistest maailma piirkondadest (ZDI, Duo).

Kes ja mida peaks tegema?

Turvanõrkuse vastu on haavatavad kõik TP-Link Archer AX21 (AX1800) ruuterid, mis kasutavad vanemat tarkvaraversiooni kui 1.1.4 Build 20230219. Kui te sellist ruuterit kasutate, uuendage see esimesel võimalusel (NVD).

RIA analüüsi- ja ennetusosakond