Tag Archives: Mozilla

Olulisemad turvanõrkused 2024. aasta 16. nädalal

Laialdaselt kasutusel olevas SSH-kliendis PuTTY leiti kriitiline turvaviga

PuTTY ja Telneti tarkvarade pakkujad hoiatavad kasutajaid kriitilise haavatavuse eest, mis mõjutab versioone 0.68 kuni 0.80 ning mida saab ära kasutada NIST P-521 privaatvõtmete täielikuks taastamiseks. PuTTY on avatud lähtekoodiga tarkvara, mida kasutavad süsteemiadministraatorid serverite ja muude võrguseadmete kaughaldamiseks. Turvaviga tähisega CVE-2024-31497 võimaldab eduka ründe korral saada ligipääsu ohvri serveritele.

Lisaks PuTTY-le mõjutab turvaviga ka teisi tarkvarasid:

  • FileZilla (versioonid 3.24.1 – 3.66.5)
  • WinSCP (versioonid 5.9.5 – 6.3.2)
  • TortoiseGit (versioonid 2.4.0.2 – 2.15.0)
  • TortoiseSVN (versioonid 1.10.0 – 1.14.6)

Viga on parandatud tarkvarades PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 ja TortoiseGit 2.15.0.1. TortoiseSVN kasutajatele on hetkel kättesaadaval ajutine lahendus. Turvaviga CVE-2024-31497 mõjutab tõenäoliselt rohkem tarkvarasid, mis kasutavad ohus olevat PuTTY versiooni. Seetõttu soovitatakse kasutajatel oma tarkvarad üle kontrollida ja vajadusel ennetavad meetmed kasutusele võtta (HN, BC).

Juniper Networks paikas mitmeid turvavigasid

Juniper Networks paikas sadakond turvaviga, mis mõjutavad operatsioonisüsteeme Junos OS ja Junos OS Evolved ning teisi ettevõtte tooteid. Juniper Networksi klientidel on soovitatav oma seadmete tarkvara esimesel võimalusel uuendada, kuna kõige suurema mõjuga haavatavuste jaoks ei ole leevendavaid meetmeid saadaval. Rohkem infot parandatud vigade kohta leiab Juniper Networksi kodulehelt (SW, Juniper).

Ivanti hoiatab kriitiliste haavatavuste eest Avalanche’i tarkvaras

Ivanti on välja andnud turvauuendused, et parandada 27 haavatavust Avalanche’i mobiilseadmete kaughalduse (MDM) lahenduses. Avalanche’i kasutatakse, et keskelt hallata nutiseadmeid ja nende tarkvarauuendusi. Paigatud vigadest kaks (CVE-2024-24996 ja CVE-2024-29204) on hinnatud kriitilise mõjuga nõrkusteks, mis võimaldavad käske kaugkäivitada.

Hetkel teadaolevalt ei ole haavatavusi õnnestunud kuritarvitada ja kõigil kasutajatel soovitatakse uuendada tarkvara versioonile Avalanche 6.4.3. Ivanti tarkvaras olevaid haavatavusi on varem tihti kasutatud ründevahenditena. Näiteks õnnestus möödunud suvel saada häkkeritel ligipääs Norra valitsusasutuste IT-süsteemidele just Ivanti haavatavuste kaudu. Mobiilseadmete haldussüsteemid on kurjategijate jaoks atraktiivsed sihtmärgid, kuna nende kaudu on võimalik saada korraga ligipääs tuhandetele seadmetele. Tihti kasutavad just riigiasutused taolisi mobiilseadmete haldamise vahendeid (BC).

Chrome’i ja Firefoxi veebilehitsejates paigati suure mõjuga turvavigu

Google avaldas Chrome’i versiooni 124 Windowsi, Maci ja Linuxi seadmetele, milles on parandatud 22 haavatavust. Mozilla avaldas Firefoxi versiooni 125, kus on paigatud 15 turvaviga, nende hulgas ka üheksa suure mõjuga haavatavust. Lisaks avaldati ka Firefox ESR 115.10, kus on samuti parandatud üheksa turvaviga. Soovitame nii Google Chrome’i kui ka Mozilla tarkvarad uuendada esimesel võimalusel (SW).

Oracle paikas enam kui 400 turvaviga

Parandatud turvanõrkuste hulgas oli üle 30 kriitilise haavatavuse. Kokku paigati üle 200 turvavea, mida on võimalik kuritarvitada kaugteel ja ilma autentimata. Turvavead mõjutavad mitmeid erinevaid Oracle tooteid, näiteks Oracle Communications, Fusion Middleware, Financial Services Applications, E-Business Suite ja MySQL. Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ja Oracle soovitab kõigil kasutajatel tarkvara uuendada. Ettevõtte sõnul on teada juhtumeid, kus on õnnestunud paikamata tarkvara kaudu nende kliente rünnata (SW, Oracle).

Kiibitootja Nexperia kinnitas küberrünnaku toimumist

Hollandi kiibitootja Nexperia kinnitas, et häkkeritel õnnestus nende võrgule ligipääs saada. Ettevõte avaldas pressiteate, milles andis teada, et nad olid sunnitud oma IT-süsteemid välja lülitama ning algatama täpsemate asjaolude uurimise. 

10. aprillil teatas lunavararühmitus veebilehel Dunghill Leak, et neil on õnnestunud varastada 1 TB mahus Nexperia konfidentsiaalseid andmeid ja lisaks lekitati ka näidiseid varastatud andmetest. Ründajad avaldasid näiteks pilte elektroonikakomponentidest, töötajate passidest ja erinevatest lepingutest. Ettevõtet ähvardati suuremahulise andmelekkega, kui nad ei maksa soovitud lunaraha (BC, Nexperia).

300 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kriitiline turvanõrkus CVE-2024-28890 (CVSS skoor 9.8/10) mõjutab pistikprogrammi Forminator ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi faile üles laadida. Lisaks nimetatud haavatavusele paigati veel kaks turvaviga.

Pistikprogrammi kasutab umbes 500 000 WordPressi veebilehte ja hetkel on ligikaudu kolmandik neist jõudnud tarkvara uuendada. Viga on parandatud tarkvara versioonis 1.29.3. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada. Hetkel teadaolevalt ei ole veel õnnestunud turvaviga kuritarvitada (BC).

Olulisemad turvanõrkused 2024. aasta 5. nädalal

Ivanti teatas taas kahest kriitilisest turvaveast

Turvavead (CVE-2024-21888 ja CVE-2024-21893) mõjutavad Ivanti Connect Secure ja Policy Secure tooteid ning ühte neist on juba rünnete läbiviimisel ära kasutatud.

Esimene turvaviga tähisega CVE-2024-21888 on hinnatud CVSS skooriga 8.8/10 ning selle kaudu on võimalik õigustega manipuleerida ning saada administraatori õigused.

Teine turvaviga tähisega CVE-2024-21893 on serveripoolne päringute võltsimise viga, mis on hinnatud CVSS skooriga 8.2/10 ja ründajad on proovinud seda kuritarvitada.

Haavatavused on paigatud Connect Secure tarkvara versioonides 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1 ning ZTA versioonis 22.6R1.3. Kuna uued turvavead tulid avalikuks, siis hakatakse suure tõenäosusega neid rünnetes kuritarvitama ning seetõttu soovitab ettevõte paigata tarkvara esimesel võimalusel. Lisaks uutele haavatavustele paigati nüüd ka jaanuaris avalikuks tulnud turvanõrkused tähistega CVE-2023-46805 ja CVE-2024-21887.

Shadowserveri monitooringu kohaselt on hetkel internetile avatud enam kui 24 700 Ivanti Connect Secure tarkvaraga serverit ning 460 kompromiteeritud seadet. Erinevate allikate sõnul on ründajad võtnud Ivanti haavatavused sihikule ja neid proovitakse järjepidevalt ära kasutada (HN, BC, SA).

GitLab paikas järjekordse kriitilise turvavea

GitLab parandas taas kriitilise turvavea oma tarkvarades GitLab Community Edition (CE) ja Enterprise Edition (EE). Haavatavus tähisega CVE-2024-0402 on hinnatud kõrge CVSS skooriga 9.9/10 ning see võimaldab ründajal kirjutada faile GitLabi serveris suvalistesse kohtadesse.

Mõned nädalad tagasi tuli avalikuks samuti kriitiline turvaviga GitLabi tarkvaras, mis võimaldas parooli lähtestamise abil konto üle võtta. Sellest kirjutasime ka varasemas blogis.

Lisaks paigati veel neli keskmise mõjuga haavatavust. Turvavead on parandatud GitLabi versioonides 16.8.1, 16.7.4, 16.6.6 ja 16.5.8. Ettevõtte soovitab kõigil kasutajatel rakendada turvapaigad esimesel võimalusel (HN, GitLab).

45 000 Jenkinsi serverit on turvanõrkuse tõttu ohus

Küberturbe teadurite sõnul on umbes 45 000 Jenkinsi serverit ohus kriitilise turvanõrkuse (CVE-2024-23897) tõttu, mis võimaldab ründajal pahaloomulist koodi kaugelt käivitada. Veale on avaldatud ka mitu kontseptsiooni tõendust (proof-of-concept ehk PoC), millest võib eeldada, et rünnete arv kasvab.

Turvaviga on parandatud 24. jaanuaril ning kõik kasutajad peaks tarvara uuendama versioonidele 2.442 ja LTS 2.426.3. Lisaks turvapaikadele on Jenkins avaldanud ka leevendavad meetmed neile, kel ei ole võimalik kohe turvapaikasid rakendada (BC, Jenkins).

AnyDesk teavitas neid tabanud küberründest

2. veebruaril avalikustas AnyDesk, et nad sattusid küberründe ohvriks, mille tagajärjel said häkkerid ligipääsu ettevõtte tootmissüsteemidele. Rünnaku käigus varastati muuhugas ka lähtekood ja koodi signeerimise võtmed.

AnyDesk on kaugligipääsu lahendus, mis võimaldab kasutajatel saada kaugelt juurdepääs arvutile kas võrgu või interneti kaudu. Ettevõttel on enam kui 170 000 klienti üle maailma, nende hulgas näiteks 7-Eleven, Comcast, LG Electronics, Samsung, MIT, NVIDIA, SIEMENS ja ÜRO.

Ettevõte ei ole avaldanud täpsemat infot selle kohta, kuidas ründajad said nende serveritele ligipääsu. Küll aga on nad kinnitanud, et tegemist ei ole lunavararünnakuga.

AnyDeski sõnul ei ole rünne mõjutanud lõppkasutaja seadmeid, kuid kõigil kasutajatel soovitatakse siiski uuendada tarkvara ja kasutada viimast versiooni.

Lisaks on soovitatav AnyDeski parool ära vahetada ning kui sama parool on kasutusel ka mõnes teises keskkonnas, siis tuleks ka seal parooli uuendada. AnyDeski sõnul ei lekkinud ründe käigus kasutajate paroolid, kuid küberturbega tegelev ettevõtte Resecurity avastas AnyDeski kasutajate mandaatide müügi internetis. Seega tuleks kindlasti kõigil kasutajatel parool ära vahetada (BC, HN, Resecurity).

Mozilla paikas oma tarkvarades 15 turvaviga

Mozilla paikas nii Firefox veebilehitsejas kui ka Thunderbird meiliprogrammis kokku 15 turvaviga, mille hulgas oli viis kõrge mõjuga haavatavust. Vead on paigatud Mozilla Firefoxi versioonis 122 ning Thunderbirdi ja Firefox ESRi versioonides 115.7. Soovitame Mozilla tarkvarad uuendada esimesel võimalusel (SW, Mozilla).

Olulised turvanõrkused 2023. aasta 31. nädalal

Canon hoiatab tindiprinterite äraviskamisel tekkivate turvariskide eest

Canon hoiatab tindiprinterite kasutajaid, et nende seadmete mällu salvestatud Wi-Fi-ühenduse sätted ei pruugi kustuda, võimaldades kolmandatel osapooltel potentsiaalset juurdepääsu andmetele. Kui remonditehnikud, ajutised kasutajad või tulevased seadmete ostjad eraldavad printeri mälu, võib see viga põhjustada turva- ja privaatsusriski, kuna kolmandatel osapooltel on võimalik kätte saada eelmise kasutaja Wi-Fi-võrgu ühenduse üksikasjad (võrgu SSID-d, parooli, võrgu tüübi (WPA3, WEP jne), määratud IP-aadressi, MAC-aadressi ja võrguprofiili). Kokku on veast mõjutatud 196 tindiprinteri mudelit. Tootja on avalikustanud eraldi dokumendi, mis aitab tuvastada, kas tindiprinter on probleemist mõjutatud või mitte. Samuti on Canon avaldanud juhised, kuidas talletatud Wi-Fi andmed printerist eemaldada. Kõikide nende materjalidega on võimalik tutvuda viidatud linkidelt (Canon, Canon, BP).

Chrome’i veebilehitsejal paigati mitu kõrge mõjuga turvanõrkust

Google avaldas uue Chrome’i versiooni Windowsi, macOSi ja Linuxi operatsioonisüsteemidele tähistusega 115.0.5790.170/.171. Kokku parandati uue versiooniga 17 turvanõrkust, millest seitse on hinnatud üsna kriitiliseks (CVSSv3 8.8/10.0). Kõigi seitsme turvanõrkuse abil (CVE-2023-4068, CVE-2023-4069, CVE-2023-4070, CVE-2023-4071, CVE-2023-4074, CVE-2023-4075 ja CVE-2023-4076) on ründajal võimalik käivitada pahaloomulist koodi haavatavas süsteemis. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome). Juhised selleks leiate siit.

Mozilla paikas Firefoxi brauseril mitu turvaviga

Firefoxi uues versioonis 116 on parandatud mitu kõrge mõjuga turvaviga. Kokku parandati 14 haavatavust, millest üheksa on hinnatud kõrge tasemega turvavigadeks. Nendest üheksast turvanõrkusest viis said üsna kriitilise mõjuhinnangu (CVSSv3 8.8/10.0). Haavatavused võivad muuhulgas kaasa tuua pahatahtliku koodi käivituse või lubada veebilehitseja teatud turbefunktsioonidest möödapääsemist. Mozilla soovitab kõigil kasutajatel teha brauserile tarkvarauuendus (SW, Mozilla).

Avalikustati nimekiri 2022. aastal enim kuritarvitatud turvanõrkustest

3. augustil avalikustasid USA, Austraalia, Kanada, Uus-Meremaa ja Ühendkuningriik ühistööna valminud ülevaate 2022. aastal enim ära kasutatud kõige turvanõrkustest. Ülevaates järeldati, et 2022. aastal kasutasid pahatahtlikud osapooled rohkem ära vanemaid turvanõrkuseid kui uuemaid avaldatud haavatavusi. Üllatusteta rünnati paikamata avalikust võrgust kättesaadavaid süsteeme. All on kuvatud tabel kaheteistkümnest kõige populaarsemast turvaveast, mida eelmisel aastal ründajad ära kasutasid (CISA).

CVE tähisTootjaMõjutatud toodeMõju
CVE-2018-13379FortinetFortiOS ja FortiProxySSL VPN kasutaja tunnuste lekkimine
CVE-2021-34473 (Proxy Shell)MicrosoftExchangeKoodi kaugkäivitamise võimalus
CVE-2021-31207 (Proxy Shell)MicrosoftExchangeKaitsemeetmetest möödapääsemine
CVE-2021-34523 (Proxy Shell)MicrosoftExchangeÕiguste suurendamine
CVE-2021-40539ZohoADSelfService PlusKoodi kaugkäivitamise võimalus / autentimisest möödapääsemine
CVE-2021-26084AtlassianConfluenceKoodi käivitamise võimalus
CVE-2021- 44228 (Log4Shell)ApacheLog4j2Koodi kaugkäivitamise võimalus
CVE-2022-22954VMwareWorkspace ONEKoodi kaugkäivitamise võimalus
CVE-2022-22960VMwareWorkspace ONEÕiguste suurendmine
CVE-2022-1388F5 NetworksBIG-IPAutentimisest möödapääsemine
CVE-2022-30190MicrosoftMitmed erinevad tootedKoodi kaugkäivitamise võimalus
CVE-2022-26134AtlassianConfluenceKoodi kaugkäivitamise võimalus

Allikas: CISA

Kes ja mida peaks tegema?

Alati on soovituslik uuendada tarkvara õigeaegselt. Kui turvaparandust ei ole võimalik kohe paigaldada, võib tootja olla välja pakkunud alternatiivseid kaitsemeetmeid, mida saab rakendada. Organisatsioonidel tuleks hoida samuti ajakohast tervikpilti kõikidest IT-süsteemidega seotud varadest, nende seisukorrast, omadustest ja sõltuvustest. Lisaks eelnevale tuleb kasuks, kui tehakse regulaarselt varukoopiaid. Kindlasti tuleks ka üle vaadata, millised süsteemid on avalikud kättesaadavad ja nendele ligipääsu võimalusel piirata.