Tag Archives: nullpäeva turvanõrkus

Olulisemad turvanõrkused 2024. aasta 37. nädalal

Kriitilist SonicWalli tulemüüride viga kasutatakse rünnete läbiviimisel

Turvaviga tähisega CVE-2024-40766 (CVSS skoor 9.3/10) mõjutab SonicWalli Gen 5, Gen 6 ja Gen 7 tulemüüre. Haavatavuse kaudu on võimalik saada ligipääs võrgule ja lunavararühmitused on hakanud seda aktiivselt kuritarvitama. Turvanõrkus on parandatud versioonides 5.9.2.14-13o, 6.5.2.8-2n, 6.5.4.15.116n või 7.0.1-5035.

Ettevõttel on üle 500 000 ärikliendi 215 riigis, nende hulgas on näiteks valitsusasutused ja mõned maailma suurimad ettevõtted (BC, SA).

GitLab paikas mitmeid turvavigasid

GitLab avaldas eelmisel nädalal turvauuenduse, millega parandati 17 haavatavust. Nende hulgas oli ka kriitiline turvaviga tähisega CVE-2024-6678 (CVSS skoor 9.9/10), mis võimaldab ründajal käivitada automatiseeritud protsessi (pipeline) suvalise kasutaja õigustes. Vead on parandatud GitLab Community Edition (CE) ja Enterprise Edition (EE) versioonides 17.3.2, 17.2.5 ja 17.1.7. Hetkel teadaolevalt ei ole neid turvavigasid ära kasutatud (HN).

Adobe paikas kriitilisi vigu oma tarkvarades

Adobe paikas 28 haavatavust, mis mõjutavad tarkvarasid Acrobat ja PDF Reader, Adobe ColdFusion, Adobe Photoshop ja Adobe Media Encoder. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ja osade haavatavuste vastu on olemas eksploitid.

Ohustatud on nii Windowsi kui ka Maci kasutajad (SW).

Microsoft paikas oma toodetes 79 haavatavust

Microsoft parandas kokku 79 haavatavust, mille hulgas oli ka neli nullpäeva turvanõrkust. Paigatud vigadest seitse on hinnatud kriitilise mõjuga veaks ja ettevõtte sõnul on nullpäeva turvanõrkusi juba rünnetes ära kasutatud.

Paigatud turvanõrkused jagunevad:

  • 30 õiguste ülesvallutuse turvanõrkust (Elevation of Privilege Vulnerabilities)
  • 4 turbevahenditest möödapääsu turvanõrkust (Security Feature Bypass Vulnerabilities)
  • 23 koodi kaugkäituse turvanõrkust (Remote Code Execution Vulnerabilities)
  • 11 info avalikustamise turvanõrkust (Information Disclosure Vulnerabilities)
  • 8 teenusetõkestuse turvanõrkust (Denial of Service Vulnerabilities)
  • 3 teesklusrünnakuid võimaldavat turvanõrkust (Spoofing Vulnerabilities)

Täpsema nimekirja parandustest leiab lisatud lingilt (BC, HNS).

Ivanti paikas turvanõrkusi erinevates toodetes

Ivanti paikas kriitilise haavatavuse tähisega CVE-2024-29847 (CVSS skoor 10/10), mis võimaldab autentimata ründajal tarkvaras Endpoint Manager (EPM) koodi käivitada. Lisaks nimetatud veale paigati veel mitmeid SQLi käivitamise vigasid EPMis. Ettevõte paikas ka seitse haavatavust tarkvarades Workspace Control (IWC) ja Cloud Service Appliance (CSA).

Cloud Service Appliance (CSA) versioonile 4.6 (eluea lõpus olev tooteversioon) toimuvad aktiivsed rünnakud, kasutades turvanõrkust CVE-2024-8190 (CVSS skoor 7.2/10), mis võimaldab autentimata ründajal käivitada koodi administraatoriõigustes.

Kõigil Ivanti toodete kasutajatel tuleks esimesel võimalusel tarkvara uuendada (BC, HN, CISA).

Palo Alto Networks paikas hulga turvanõrkusi oma toodetes

Palo Alto Networks andis kolmapäeval teada, et nad on paiganud hulga turvanõrkusi järgmistes toodetes: PAN-OS, Cortex XDR, ActiveMQ Content Pack, and Prisma Access Browser. Paigatud turvanõrkustest kõige tõsisem on PAN-OS’is leitud käsusüsti (command injection) turvanõrkus CVE-2024-8686 (CVSS skoor 8.6/10), mis võimaldab autentimata ründajal käivitada käsklusi juurkasutaja õigustes.

Seoses Google’i eelmise nädala Chromiumi turvauuendustega uuendati ka Chromiumil baseeruvat Prisma Access Browser’it.

Soovitame nende toodete tarkvara uuendada viimasele avaldatud versioonile (SW).

Olulisemad turvanõrkused 2024. aasta 17. nädalal

Joonis: ahastuses arst töölaua taga, tema monitori ekraanil on lunavarateade.

Atlassian paikas mitmeid turvavigu oma toodetes

Atlassian parandas seitse kõrge mõjuga haavatavust, mis mõjutavad ettevõtte erinevaid tooteid nagu Bamboo Data Center, Confluence Data Center ja Jira. Eduka ründe korral on võimalik saada ligipääs ohvri süsteemidele ja Atlassiani tarkvarades olevale infole. Soovitame kõigil Atlassiani toodete kasutajatel uuendada tarkvara viimasele versioonile, kuna need on olnud varasemalt ründajate sihtmärkideks. Nimekirja parandatud haavatavustest ja turvapaigatud versioonidest leiab Atlassiani kodulehelt (Atlassian).

Cisco hoiatab: kaks nullpäeva turvanõrkust, mida on rünnete läbiviimisel ära kasutatud

Cisco hoiatas eelmisel nädalal, et riikliku taustaga küberrühmitused on ära kasutanud nende tarkvaras olevaid nullpäeva turvanõrkusi. Turvanõrkused tähistega CVE-2024-20353 ja CVE-2024-20359 mõjutavad Cisco tulemüüride tarkvarasid Adaptive Security Appliance (ASA) ja Firepower Threat Defense (FTD) ning nende kaudu on saadud ligipääs valitsusasutuste võrkudele. Ründeid on alustatud juba eelmise aasta juulis ning Cisco sai neist teada selle aasta jaanuaris.

Ettevõte avaldas turvauuendused ja kutsub kõiki kasutajaid esimesel võimalusel tarkvara uuendama. Ühtlasi soovitab Cisco kõigil administraatoritel vaadata üle süsteemi logid, kas seal on näha planeerimata taaskäivitusi, konfiguratsiooni muudatusi või õiguste lisamist. (BC).

Google paikas kriitilise turvanõrkuse Chrome’i veebilehitsejas

Google avaldas Chrome’i versiooni 124.0.6367.78 Windowsi, Maci ja Linuxi seadmetele, milles on paigatud neli turvaviga. Parandatud turvanõrkuste seas on ka kriitilise mõjuga haavatavus tähisega CVE-2024-4058 ja kaks kõrge mõjuga turvaviga. Kuna vähesed Chrome’i turvavead liigitatakse kriitiliseks, siis võib eeldada, et tegemist on kas koodi kaugkäivitamist võimaldava või liivakastist (sandbox) möödamineku veaga.

Ettevõte ei maininud, kas haavatavusi on rünnete läbiviimisel proovitud ära kasutada. Soovitame uuendada Chrome’i esimesel võimalusel (SW, Chrome).

MITRE avalikustas, et nende süsteemidesse saadi ligipääs Ivanti turvanõrkusi kasutades

MITRE Corporation andis teada, et nad sattusid riikliku taustaga küberrühmituse ohvriks. Rünne viidi läbi, kasutades Ivanti Connect Secure’i tarkvas olevaid nullpäeva turvanõrkusi. Veebruaris õnnetus ka ühe Eesti riigiasutuse võrku sisse tungida, kasutades Ivanti tarkvaras olnud haavatavusi. MITRE puhul saadi ligipääs nende uuringute ja prototüüpide jaoks loodud võrgule nimega „Nerve“. Ettevõtte turvalisusega tegelev üksus alustas viivitamatult intsidendi uurimist, eemaldas kurjategijate ligipääsud võrgust ja kaasas ka asutusevälised eksperdid.

MITRE vastu suunatud ründe käigus kasutati ära turvavigasid tähistega CVE-2023-46805 (CVSS skoor 8,2) ja CVE-2024-21887 (CVSS skoor: 9,1), mis võimaldasid ründajal autentimisest mööda minna ja seejärel nakatunud süsteemis suvalisi käske käivitada.

MITRE tegevjuhi sõnul ei ole ükski organisatsioon taolise küberründe eest lõplikult kaitstud, olenemata sellest, kui ranged turvanõuded on kasutusele võetud. Ettevõte jagas ka soovitusi, kuidas oma võrku kaitsta:

  • Monitoorige VPNi võrgus toimuvat liiklust ning jälgige, et seal midagi ebatavalist ei juhtuks.
  • Jälgige kasutajate tegevusi ja seal toimuvaid kõrvalekaldeid.
  • Segmenteerige võrguliiklus.
  • Jälgige, et ligipääs võrgule oleks piiratud ja toimuks regulaarne turvauuenduste paigaldamine (HN, SA, HNS).

Itaalia Synlab peatas pärast lunavararünnakut oma tegevuse

Synlabi Itaalia haru tabas lunavararünnak, mistõttu nad pidid kõik IT-süsteemid võrgust lahti ühendama. Seetõttu tuli ka ajutiselt peatada kõigi meditsiiniteenuste pakkumine, nende hulgas ka kõik laborianalüüsid ja proovivõtud.

Synlab on rahvusvaheline ettevõte, mis pakub tervishoiuteenuseid 30 riigis üle maailma, sealhulgas ka Eestis. Itaalias on Synlabi võrgustikus 380 laborit ja meditsiinikeskust. Hetkel soovitatakse klientidel suhelda vaid telefoni teel, kuna meililiiklus ei toimi tavapäraselt. Ettevõte proovib süsteeme taastada varukoopiast, kuid ei ole teada, kui kiiresti see õnnestub. Hetkel ei ole veel ükski lunavararühmitust võtnud ründe eest vastutust (BC).

Uus Androidi troojan võimaldab ründajatel saada kontroll kasutaja seadme üle

Teadurid avastasid uue Androidi panganduse troojani, mis suudab jäädvustada kõik seadmes toimuvad sündmused alates kasutaja tegevustest, kuvatavast teabest ja kasutaja käivitatavatest rakendustest.

Troojan nimetusega Brokewell võimaldab varastada nii tundlikke andmeid kui ka saada kontrolli kasutaja seadme üle. Brokewelli levitatakse võltsitud tarkvarauuenduste kaudu – näiteks võib kasutajale tunduda, et ta hakkab Chrome’i veebilehitsejat värskendama. Soovitame tarkvara alla laadida ainult ametlikest rakenduste poodidest – kas Google Play või App Store. Google on kinnitanud, et Google Play Protect kaitseb kasutajaid automaatselt selle pahavara teadaolevate versioonide eest (SW, BC).

Olulisemad turvanõrkustega seotud uudised 2023. aasta 42. nädalal

Cisco paikas IOS XE tarkvara kriitilised turvanõrkused

Eelmisel nädalal avalikustati turvanõrkus (CVE-2023-20198), mis mõjutab Cisco IOS XE tarkvara veebiliidest (webUI) ja mis on hinnatud kriitilise CVSS skooriga 10.0/10.0, kuna selle kaudu on võimalik saada täielik kontroll ohvri võrguseadme üle. Nädala lõpus avaldati info ka teise nullpäeva turvanõrkuse (CVE-2023-20273) kohta, mida on samuti rünnetes kuritarvitatud.

Nädala jooksul oli üle maailma enam kui 50 000 pahavaraga nakatunud seadet, kuid laupäeval toimus nakatunud seadmete arvu järsk langus. Teadurid arvavad, et ründajad leidsid viisi, kuidas nakatunud seadmete infot võrgu skaneerimisel varjata.

Mõlemale veale on alates 22. oktoobrist olemas parandus ja ettevõtte soovitab turvapaigad rakendada esimesel võimalusel. Viga on paigatud Cisco IOS XE tarkvara versioonis 17.9.4a. Kui mingil põhjusel ei ole võimalik tarkvara uuendada, siis tuleks HTTP-serveri funktsioon kõigis internetiühendusega seadmetes keelata (SW, BC, BC, Cisco, RIA).

Oracle paikas 387 turvanõrkust oma toodetes

Parandatud turvanõrkuste hulgas oli üle 40 kriitilise haavatavuse. Kokku paigati üle 200 turvavea, mida on võimalik kuritarvitada kaugelt ja ilma autentimata. Turvavead mõjutavad mitmeid erinevaid Oracle tooteid, näiteks Oracle Financial Services, Oracle Communications, Fusion Middleware ja MySQL.

Kõige enam vigasid ehk kokku 103 haavatavust paigati tarkvaras Oracle Financial Services. Lisaks avaldati ka Oracle’i Linuxi turvapaigad 61 veale (Oracle).

Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ja Oracle soovitab kõigil kasutajatel tarkvara uuendada. Ettevõtte sõnul saavad nad aeg-ajalt teateid oma klientidelt, kes ei ole tarkvara uuendanud ja on seetõttu langenud küberrünnaku ohvriks (SW, Oracle).

Signal eitab väiteid nullpäeva turvanõrkuse kohta oma platvormil

Oktoobri keskpaigas hakkas erinevatel platvormidel liikuma info, et Signali tarkvaras on nullpäeva turvanõrkus. Viga mõjutab väidetavalt „Generate Link Previews“ erifunktsiooni ja võimaldab võtta üle nakatanud seade.

Signali meeskond uuris väidet ja nende sõnul see ei vasta tõele. Ka USA küberturvalilisuse agentuur CISA teatas, et neil ei ole infot Signali nullpäeva turvanõrkuse olemasolu kohta.

Kuna tegemist on väga populaarse sõnumivahetustarkvaraga, siis Signali turvanõrkused on atraktiivseks sihtmärgiks küberkurjategijatele. Signalit kasutavad lisaks eraisikutele ka paljud asutused ja seetõttu võib seadme kompromiteerimine võimaldada ligipääsu tundlikule infole (BC, SA, Twitter).

Küberkurjategijad kasutavad ära kriitilist turvaviga WordPressi pistikprogrammis

Turvanõrkus (CVE-2023-5360) leiti pistikprogrammis “Royal Elementor“, mida kasutab enam kui 200 000 WordPressi veebilehte. Haavatavuse tõttu võib autentimata ründaja laadida veebilehele pahaloomulise sisuga faile ja see on hinnatud kriitilise CVSS skooriga 9.8/10.0. Haavatavust kuritarvitades võib lisaks faili üleslaadimisele ka pahatahtlikku koodi käivitada ja selle tulemusel veebilehe kompromiteerida.

Küberturbe ettevõtete Wordfence and WPScan sõnul on turvaviga rünnete läbiviimisel kasutatud juba alates augustikuust ja alates 3. oktoobrist on rünnete maht kasvanud.

Turvanõrkus mõjutab pistikprogrammi versioone kuni 1.3.78. Kõik kasutajad peaksid uuendama tarkvara versioonile 1.3.79, kus viga on parandatud. Lisaks tarkvara uuendamisele peaks ka üle kontrollima, ega veebilehele ole lisatud nakatunud faile (BC).