Tag Archives: MOVEit

Olulised turvanõrkused 2023. aasta 24. nädalal

Adobe paikas enda toodetel mitmed haavatavused

Adobe avalikustas enda toodetele juunikuu turvauuendused. Turvauuendustega parandas ettevõte näiteks Adobe Commerce’i ja Magento platvormidel 12 turvanõrkust. Eduka ärakasutamise korral on ründajatel võimalik käivitada nende turvavigade kaudu suvalist koodi, lugeda haavatavaid failisüsteeme või hiilida erinevatest turvafunktsioonidest mööda. Adobe väljastas turvaparandused samuti ka Animate’i ja Adobe Substance 3D Designer tarkvaradele. Nendes tarkvarades peituvad turvavead võimaldavad ründajatel samuti suvalist koodi käivitada. Ettevõte ei ole siiani siiski märganud, et konkreetseid turvanõrkuseid oleks suudetud kuritarvitada (SW).


Kes ja mida peaks tegema? Kui te Adobe tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.

Microsoft parandas uuendustega kuus kriitilist haavatavust

Microsoft avalikustas eelmisel nädalal enda erinevatele toodetele juunikuu turvauuendused. Kokku parandati 78 turvaviga, millest 38 märgitakse koodi kaugkäitust (Remote Code Execution ehkRCE) võimaldavateks haavatavusteks. 78 turvanõrkusest kuus said kriitilise hinnangu. Kaks mõneti olulisemat turvaviga on seotud Microsoft SharePointi ja Exchange’iga. Esimese abil (CVE-2023-29357) oleks ründajal võimalik haavatavas SharePointi serveris enda õiguseid suurendada, teise abil on aga Exchange’i serveris (CVE-2023-32031) võimalik käivitada pahaloomulist koodi (BP).  

Kes ja mida peaks tegema?

Kui te Microsofti tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.  Nimekirja paigatud turvanõrkustest leiate siit.

Riikliku taustaga küberrühmitus kasutas VMware’i nullpäeva turvanõrkust pahavara paigaldamiseks

VMware paikas eelmisel nädalal VMware ESXi nullpäeva haavatavuse, mida riikliku taustaga küberrühmitus kasutas Windowsi ja Linuxi virtuaalmasinatesse pahavara paigaldamiseks ja andmete varastamiseks. Rühmitus, mida tuntakse nimetusega UNC3886, kuritarvitas turvaviga CVE-2023-20867, et paigaldada virtuaalmasinatesse pahavara. Pahavara abil loodi süsteemidele püsiv juurdepääs. Rünnakuid analüüsinud küberturbeettevõtte sõnul on tegu tehniliselt võimeka rühmitusega, millel on laialdased teadmised rünnatavatest tarkvaradest (nt ESXi, vCenter jpm). Rühmitus sihib peamiselt tarkvarasid ja seadmeid, millel puuduvad traditsioonliselt lõpppunkti turbelahendused (Endpoint Detection and Response) ning millel on nullpäeva turvanõrkused (Mandiant, BP).

Kes ja mida peaks tegema?

Kui te haavatavat VMware ESXi tarkvara kasutate, uuendage see esimesel võimalusel.

Chrome’il paigati kriitiline turvanõrkus

Google Chrome’i uues versioonis 114.0.5735.133/134 (Windows) ja 14.0.5735.133 (Linux, macOS) on parandatud lisaks teistele haavatavustele kriitiline turvanõrkus tähisega CVE-2023-3214. Haavatavus mõjutab Chrome’i lahendust, mida kasutatakse automaatseks makseandmete sisestamiseks. Ründajal tuleb turvanõrkuse ärakasutamiseks luua spetsiaalne HTMLi lehekülg.

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Uued turvanõrkused MOVEit tarkvaral

Kahe nädala eest kirjutasime, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning sinna ka tagauks. Praeguseks on maailmas üritatud laialdaselt antud nõrkust ka ära kasutada, ründeid on seni seostatud Clop-nimelise küberrühmitusega.

Nüüdseks on konkreetsel tarkvaral avastatud veel kaks turvanõrkust, mille abil on võimalik andmeid varastada. MOVEit tarkvara arendava ettevõtte sõnul uusi turvanõrkuseid kuritarvitatud veel ei ole (HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1). .6) ja 2023.0.2 (15.0.2) ning haavatavused tarkvara pilveversioonidele ohtu ei kujuta. Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 22. nädalal

Kriitilist MOVEit tarkvara turvanõrkust kasutatakse andmete varastamiseks

31. mail avalikustati, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning paigaldada haavatavasse süsteemi ka tagauks. Sõltuvalt kasutatavast andmebaasist võib ründajal olla võimalik saada teavet andmebaasi struktuuri ja sisu kohta ning muuta või kustutada andmebaasi elemente. Paikamata süsteemidele pääsetakse ligi portide 80 (HTTP) või 443 (HTTPS) kaudu (MOVEit).

Kontekst: Avalike andmete põhjal on maailmas avalikult kättesaadavad üle kahe tuhande MOVEit süsteemi, millest enamik on seotud USA IP-aadressidega, lisaks leidub MOVEit süsteeme ka Ühendkuningriigi, Saksamaa, Hollandi ja Kanada jpm riikidega seotud IP-aadressidelt (MB). 


Kes ja mida peaks tegema?

Konkreetne haavatavus mõjutab kõiki MOVEit Transfer tarkvara versioone. Soovitame tutvuda tootja kodulehega siin, kus on kogu vajalik info uuenduste ja kaitsemeetmete kohta välja toodud.

Microsoft tuvastas macOSi operatsioonisüsteemis turvanõrkuse

Microsoft tuvastas macOSi operatsioonisüsteemis turvanõrkuse, mida on juurõigustega ründajatel võimalik kasutada, et mööda pääseda SIP-nimelisest kaitsemeetmest. SIP ehk System Integrity Protection on lahendus, mis piirab juurkasutaja tegevusvõimalusi lahendusega kaitstud failide ja kaustadega. Microsoft tõdes, et SIPist möödapääsemise korral saaksid ründajad luua faile, mis on SIPi poolt kaitstud ehk neid ei oleks võimalik tavaolukorras kustutada (HN, Microsoft).

Kes ja mida peaks tegema?

Turvanõrkus on eemaldatud macOS Ventura 13.4, macOS Monterey 12.6.6 ja macOS Big Sur 11.7.7 versioonides. Kui te neid macOSi versiooni juba kasutate, siis konkreetne turvanõrkus teile ohtu ei kujuta.

Pistikprogrammi turvanõrkus mõjutas viit miljonit WordPressi veebilehte

WordPress uuendas automaatselt viis miljonit veebilehte, mis kasutasid haavatavat JetPack-nimelist pistikprogrammi. Turvanõrkus oli seotud APIga (rakendusliides), mida pistikprogramm on kasutanud aastast 2012. Haavatavust oleks ründajatel olnud võimalik ära kasutada, et teostada toiminguid mistahes failidega veebilehega seotud süsteemis. Hetkel ei ole tõendeid, et turvanõrkust oleks kuritarvitatud.

Kontekst: WordPress on sisuhaldustarkvara, mida kasutatakse maailmas üsna laialdaselt. Tarkvarale pakutakse hulga laiendusi ning seetõttu ei ole ebatavaline, et mõnel neist leitakse ka turvanõrkuseid. Näiteks parandati eelmisel nädalal haavatavus ka Gravity Forms nimelisel pistikprogrammil, mille abil on autentimata ründajal võimalik veebilehele lisada pahaloomulist koodi (BC).

Kes ja mida peaks tegema?

Pistikprogrammi arendajad on koostööd teinud WordPressiga, et haavatavad veebilehed automaatselt uuendada. Kui te antud pluginat kasutate, veenduge, et selle versioon oleks vähemalt üks neist, mis on ametlikul pistikprogrammi veebilehel välja toodud. Täpsemalt saab selle kohta lugeda siit.

RIA analüüsi- ja ennetusosakond