Tag Archives: Mozilla

Olulisemad turvanõrkused 2024. aasta 5. nädalal

Ivanti teatas taas kahest kriitilisest turvaveast

Turvavead (CVE-2024-21888 ja CVE-2024-21893) mõjutavad Ivanti Connect Secure ja Policy Secure tooteid ning ühte neist on juba rünnete läbiviimisel ära kasutatud.

Esimene turvaviga tähisega CVE-2024-21888 on hinnatud CVSS skooriga 8.8/10 ning selle kaudu on võimalik õigustega manipuleerida ning saada administraatori õigused.

Teine turvaviga tähisega CVE-2024-21893 on serveripoolne päringute võltsimise viga, mis on hinnatud CVSS skooriga 8.2/10 ja ründajad on proovinud seda kuritarvitada.

Haavatavused on paigatud Connect Secure tarkvara versioonides 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1 ning ZTA versioonis 22.6R1.3. Kuna uued turvavead tulid avalikuks, siis hakatakse suure tõenäosusega neid rünnetes kuritarvitama ning seetõttu soovitab ettevõte paigata tarkvara esimesel võimalusel. Lisaks uutele haavatavustele paigati nüüd ka jaanuaris avalikuks tulnud turvanõrkused tähistega CVE-2023-46805 ja CVE-2024-21887.

Shadowserveri monitooringu kohaselt on hetkel internetile avatud enam kui 24 700 Ivanti Connect Secure tarkvaraga serverit ning 460 kompromiteeritud seadet. Erinevate allikate sõnul on ründajad võtnud Ivanti haavatavused sihikule ja neid proovitakse järjepidevalt ära kasutada (HN, BC, SA).

GitLab paikas järjekordse kriitilise turvavea

GitLab parandas taas kriitilise turvavea oma tarkvarades GitLab Community Edition (CE) ja Enterprise Edition (EE). Haavatavus tähisega CVE-2024-0402 on hinnatud kõrge CVSS skooriga 9.9/10 ning see võimaldab ründajal kirjutada faile GitLabi serveris suvalistesse kohtadesse.

Mõned nädalad tagasi tuli avalikuks samuti kriitiline turvaviga GitLabi tarkvaras, mis võimaldas parooli lähtestamise abil konto üle võtta. Sellest kirjutasime ka varasemas blogis.

Lisaks paigati veel neli keskmise mõjuga haavatavust. Turvavead on parandatud GitLabi versioonides 16.8.1, 16.7.4, 16.6.6 ja 16.5.8. Ettevõtte soovitab kõigil kasutajatel rakendada turvapaigad esimesel võimalusel (HN, GitLab).

45 000 Jenkinsi serverit on turvanõrkuse tõttu ohus

Küberturbe teadurite sõnul on umbes 45 000 Jenkinsi serverit ohus kriitilise turvanõrkuse (CVE-2024-23897) tõttu, mis võimaldab ründajal pahaloomulist koodi kaugelt käivitada. Veale on avaldatud ka mitu kontseptsiooni tõendust (proof-of-concept ehk PoC), millest võib eeldada, et rünnete arv kasvab.

Turvaviga on parandatud 24. jaanuaril ning kõik kasutajad peaks tarvara uuendama versioonidele 2.442 ja LTS 2.426.3. Lisaks turvapaikadele on Jenkins avaldanud ka leevendavad meetmed neile, kel ei ole võimalik kohe turvapaikasid rakendada (BC, Jenkins).

AnyDesk teavitas neid tabanud küberründest

2. veebruaril avalikustas AnyDesk, et nad sattusid küberründe ohvriks, mille tagajärjel said häkkerid ligipääsu ettevõtte tootmissüsteemidele. Rünnaku käigus varastati muuhugas ka lähtekood ja koodi signeerimise võtmed.

AnyDesk on kaugligipääsu lahendus, mis võimaldab kasutajatel saada kaugelt juurdepääs arvutile kas võrgu või interneti kaudu. Ettevõttel on enam kui 170 000 klienti üle maailma, nende hulgas näiteks 7-Eleven, Comcast, LG Electronics, Samsung, MIT, NVIDIA, SIEMENS ja ÜRO.

Ettevõte ei ole avaldanud täpsemat infot selle kohta, kuidas ründajad said nende serveritele ligipääsu. Küll aga on nad kinnitanud, et tegemist ei ole lunavararünnakuga.

AnyDeski sõnul ei ole rünne mõjutanud lõppkasutaja seadmeid, kuid kõigil kasutajatel soovitatakse siiski uuendada tarkvara ja kasutada viimast versiooni.

Lisaks on soovitatav AnyDeski parool ära vahetada ning kui sama parool on kasutusel ka mõnes teises keskkonnas, siis tuleks ka seal parooli uuendada. AnyDeski sõnul ei lekkinud ründe käigus kasutajate paroolid, kuid küberturbega tegelev ettevõtte Resecurity avastas AnyDeski kasutajate mandaatide müügi internetis. Seega tuleks kindlasti kõigil kasutajatel parool ära vahetada (BC, HN, Resecurity).

Mozilla paikas oma tarkvarades 15 turvaviga

Mozilla paikas nii Firefox veebilehitsejas kui ka Thunderbird meiliprogrammis kokku 15 turvaviga, mille hulgas oli viis kõrge mõjuga haavatavust. Vead on paigatud Mozilla Firefoxi versioonis 122 ning Thunderbirdi ja Firefox ESRi versioonides 115.7. Soovitame Mozilla tarkvarad uuendada esimesel võimalusel (SW, Mozilla).

Olulised turvanõrkused 2023. aasta 31. nädalal

Canon hoiatab tindiprinterite äraviskamisel tekkivate turvariskide eest

Canon hoiatab tindiprinterite kasutajaid, et nende seadmete mällu salvestatud Wi-Fi-ühenduse sätted ei pruugi kustuda, võimaldades kolmandatel osapooltel potentsiaalset juurdepääsu andmetele. Kui remonditehnikud, ajutised kasutajad või tulevased seadmete ostjad eraldavad printeri mälu, võib see viga põhjustada turva- ja privaatsusriski, kuna kolmandatel osapooltel on võimalik kätte saada eelmise kasutaja Wi-Fi-võrgu ühenduse üksikasjad (võrgu SSID-d, parooli, võrgu tüübi (WPA3, WEP jne), määratud IP-aadressi, MAC-aadressi ja võrguprofiili). Kokku on veast mõjutatud 196 tindiprinteri mudelit. Tootja on avalikustanud eraldi dokumendi, mis aitab tuvastada, kas tindiprinter on probleemist mõjutatud või mitte. Samuti on Canon avaldanud juhised, kuidas talletatud Wi-Fi andmed printerist eemaldada. Kõikide nende materjalidega on võimalik tutvuda viidatud linkidelt (Canon, Canon, BP).

Chrome’i veebilehitsejal paigati mitu kõrge mõjuga turvanõrkust

Google avaldas uue Chrome’i versiooni Windowsi, macOSi ja Linuxi operatsioonisüsteemidele tähistusega 115.0.5790.170/.171. Kokku parandati uue versiooniga 17 turvanõrkust, millest seitse on hinnatud üsna kriitiliseks (CVSSv3 8.8/10.0). Kõigi seitsme turvanõrkuse abil (CVE-2023-4068, CVE-2023-4069, CVE-2023-4070, CVE-2023-4071, CVE-2023-4074, CVE-2023-4075 ja CVE-2023-4076) on ründajal võimalik käivitada pahaloomulist koodi haavatavas süsteemis. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome). Juhised selleks leiate siit.

Mozilla paikas Firefoxi brauseril mitu turvaviga

Firefoxi uues versioonis 116 on parandatud mitu kõrge mõjuga turvaviga. Kokku parandati 14 haavatavust, millest üheksa on hinnatud kõrge tasemega turvavigadeks. Nendest üheksast turvanõrkusest viis said üsna kriitilise mõjuhinnangu (CVSSv3 8.8/10.0). Haavatavused võivad muuhulgas kaasa tuua pahatahtliku koodi käivituse või lubada veebilehitseja teatud turbefunktsioonidest möödapääsemist. Mozilla soovitab kõigil kasutajatel teha brauserile tarkvarauuendus (SW, Mozilla).

Avalikustati nimekiri 2022. aastal enim kuritarvitatud turvanõrkustest

3. augustil avalikustasid USA, Austraalia, Kanada, Uus-Meremaa ja Ühendkuningriik ühistööna valminud ülevaate 2022. aastal enim ära kasutatud kõige turvanõrkustest. Ülevaates järeldati, et 2022. aastal kasutasid pahatahtlikud osapooled rohkem ära vanemaid turvanõrkuseid kui uuemaid avaldatud haavatavusi. Üllatusteta rünnati paikamata avalikust võrgust kättesaadavaid süsteeme. All on kuvatud tabel kaheteistkümnest kõige populaarsemast turvaveast, mida eelmisel aastal ründajad ära kasutasid (CISA).

CVE tähisTootjaMõjutatud toodeMõju
CVE-2018-13379FortinetFortiOS ja FortiProxySSL VPN kasutaja tunnuste lekkimine
CVE-2021-34473 (Proxy Shell)MicrosoftExchangeKoodi kaugkäivitamise võimalus
CVE-2021-31207 (Proxy Shell)MicrosoftExchangeKaitsemeetmetest möödapääsemine
CVE-2021-34523 (Proxy Shell)MicrosoftExchangeÕiguste suurendamine
CVE-2021-40539ZohoADSelfService PlusKoodi kaugkäivitamise võimalus / autentimisest möödapääsemine
CVE-2021-26084AtlassianConfluenceKoodi käivitamise võimalus
CVE-2021- 44228 (Log4Shell)ApacheLog4j2Koodi kaugkäivitamise võimalus
CVE-2022-22954VMwareWorkspace ONEKoodi kaugkäivitamise võimalus
CVE-2022-22960VMwareWorkspace ONEÕiguste suurendmine
CVE-2022-1388F5 NetworksBIG-IPAutentimisest möödapääsemine
CVE-2022-30190MicrosoftMitmed erinevad tootedKoodi kaugkäivitamise võimalus
CVE-2022-26134AtlassianConfluenceKoodi kaugkäivitamise võimalus

Allikas: CISA

Kes ja mida peaks tegema?

Alati on soovituslik uuendada tarkvara õigeaegselt. Kui turvaparandust ei ole võimalik kohe paigaldada, võib tootja olla välja pakkunud alternatiivseid kaitsemeetmeid, mida saab rakendada. Organisatsioonidel tuleks hoida samuti ajakohast tervikpilti kõikidest IT-süsteemidega seotud varadest, nende seisukorrast, omadustest ja sõltuvustest. Lisaks eelnevale tuleb kasuks, kui tehakse regulaarselt varukoopiaid. Kindlasti tuleks ka üle vaadata, millised süsteemid on avalikud kättesaadavad ja nendele ligipääsu võimalusel piirata.

Olulised turvanõrkused 2023. aasta 11. nädalal

Microsoft Outlooki kriitiline turvanõrkus kujutab suurt ohtu

14. märtsi õhtul avalikustas Microsoft, et on lisaks muudele nõrkustele paiganud ühe kriitilise nullpäeva haavatavuse tähisega CVE-2023-23397, mis mõjutab Windowsi operatsioonisüsteemile mõeldud Outlooki klientrakendusi. Ründaja saab seda turvaauku ära kasutada, kui ta saadab ohvrile näiteks spetsiaalse e-kirja. Kui haavatav rakendus e-kirja töötleb, luuakse ühendus ründaja infrastruktuuriga ja edastatakse sinna e-kirja saaja NTLM-räsi. Ründajal on võimalik seda räsi hiljem süsteemidesse ligipääsemiseks potentsiaalselt ära kasutada (vaid NTLM-räsiga autentimist toetavatesse süsteemidesse). Turvanõrkus on ohtlik isegi siis, kui pahaloomulise kirja saaja seda ei ava. Microsofti hinnangul on riikliku taustaga küberrühmitused üritanud juba seda haavatavust kuritarvitada (Microsoft).

Lisaks Outlooki mõjutavale kriitilisele turvanõrkusele paigati veel 82 turvaviga, millest kaheksa on hinnatud kriitiliseks. Ülevaate kõikidest parandatud turvavigadest leiate siit.

Kes ja mida peaks tegema?

Kriitiline haavatavus mõjutab kõiki toetatud Outlooki klientrakendusi, mida kasutatakse Windowsi operatsioonisüsteemides. Haavatavus ei mõjuta Androidile, iOSile ega macOSile mõeldud Outlooki rakendusi, samuti ei ole mõjutatud veebi teel kasutatav Outlook (OWA) ega teised M365 teenused (Microsoft).

Vastumeetmed

•             Haavatava tarkvara kasutamise korral tuleb esimesel võimalusel Microsofti viimased turvauuendused rakendada. Soovitame kindlasti tutvuda tootja veebilehega https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397, kus on välja toodud mõjutatud tarkvarad koos turvauuenduste allalaadimiseks mõeldud veebilinkidega.

•             Microsoft pakub organisatsioonidele skripti, mida saab kasutada, et tuvastada, kas neid on üritatud turvanõrkuse abil rünnata. Skripti koos dokumentatsiooniga leiate  https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/

•             Veebilehel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 on välja toodud ka alternatiivsed kaitsemeetmed, mida on võimalik vajadusel kasutada.

Exynos kiibistike turvanõrkused mõjutavad mitmeid seadmeid

Kokku avastati 18 nullpäeva turvanõrkust, mis on kõrge kriitilisuse tasemega. Turvanõrkused on murettekitavad, kuna Exynos kiibistikke kasutavad paljud erinevad seadmed. Nimekirja mõjutatud Exynos kiibistikest leiate siit. Kõige tõsisemal juhul on ründajal võimalik kiibistikku kasutav seade kompromiteerida, teades vaid ohvri telefoninumbrit (Google).

Kes ja mida peaks tegema?

Mõjutatud kiibistike põhjal on tehtud nimekiri seadmetest, mis võivad olla turvanõrkuste vastu haavatavad. Nimekiri ei pruugi sisaldada kõiki seadmeid, mis on turvanõrkustest mõjutatud. Mõjutatud on näiteks:

  • teatud Samsungi mobiiltelefonid, näiteks seeriatest S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ja A04;
  • teatud Vivo mobiiltelefonid, näiteks seeriatest S16, S15, S6, X70, X60 ja X30;
  • Google Pixel 6. ja 7. seeria telefonid;
  • kõik autod, millel on Exynos Auto T5123 kiibistik (kasutatakse 5G ühenduse loomisel).

Seni, kuni turvauuendused ei ole saadaval (saadavus varieerub tootjate lõikes, Pixeli seadmetele on uuendused olemas), soovitab Google enda ülevaates neil kasutajatel, kes soovivad end siiski kaitsta nende koodi kaugkäitamist võimaldavate haavatavuste eest, seadetes WiFi- ja VoLTE-kõnede funktsionaalsus välja lülitada (Google).

SAPi toodetel paigati viis kriitilist turvanõrkust

SAPi toodetel paigati 19 turvaviga, mille hulgas oli viis turvanõrkust, mis on hinnatud kriitiliseks. Kriitilised turvavead mõjutavad SAPi tarkvarasid nimetustega SAP Business Objects Business Intelligence Platform (CMC) ja SAP NetWeaver. Kriitilised vead võimaldavad erinevaid toiminguid failidega – nt süsteemifailide üle kirjutamist, ligipääsu piiratud ressurssidele, kuid ka pahaloomuliste käskude käivitamist. Nimekirja parandatud turvanõrkustest leiate siit.

Kes ja mida peaks tegema?

SAPi toodete turvavead võivad olla ohuks paljudele organisatsioonidele, kuna neid kasutatakse maailmas laialdaselt ja need võivad olla heaks sisenemispunktiks teistesse süsteemidesse. Kõigil, kes mõjutatud tooteid kasutavad, tuleks uuendused rakendada esimesel võimalusel (SAP).

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Mozilla Firefoxi versioonis 111 on parandatud 13 turvaviga, nende hulgas seitse kõrge mõjuga haavatavust. Kõrge mõjuga vead võivad kaasa tuua teabe avalikustamise ja pahatahtliku koodi käivitamise. Mõned neist vigadest mõjutavad vaid Androidile mõeldud Firefoxi rakendust (SW, Mozilla).

Kes ja mida peaks tegema?

Firefoxi kasutajatel soovitame veebilehitseja uue versiooni kindlasti enda seadmele paigaldada. Juhised, kuidas Firefoxi uuendada, leiate siit.

Adobe avalikustas turvavärskendused mitmetele toodetele

Kokku parandati kaheksa turvauuendusega 105 haavatavust. Parandatud haavatavuste seas oli ka kaks kriitilist turvanõrkust CVE-2023-26360 ja CVE-2023-26359 ja mõlemad mõjutavad Adobe ColdFusion tarkvara. Mõlema turvanõrkuse abil on ründajal võimalik käivitada haavatavas süsteemis pahaloomulist koodi (SA).

Kes ja mida peaks tegema?

Soovitame tutvuda, millistele Adobe toodetele turvauuendused väljastati ja need vajadusel rakendada. Nimekirja uuendustest leiate siit.

RIA analüüsi- ja ennetusosakond