Tag Archives: nullpäeva turvanõrkus

Olulisemad turvanõrkustega seotud uudised 2023. aasta 42. nädalal

Cisco paikas IOS XE tarkvara kriitilised turvanõrkused

Eelmisel nädalal avalikustati turvanõrkus (CVE-2023-20198), mis mõjutab Cisco IOS XE tarkvara veebiliidest (webUI) ja mis on hinnatud kriitilise CVSS skooriga 10.0/10.0, kuna selle kaudu on võimalik saada täielik kontroll ohvri võrguseadme üle. Nädala lõpus avaldati info ka teise nullpäeva turvanõrkuse (CVE-2023-20273) kohta, mida on samuti rünnetes kuritarvitatud.

Nädala jooksul oli üle maailma enam kui 50 000 pahavaraga nakatunud seadet, kuid laupäeval toimus nakatunud seadmete arvu järsk langus. Teadurid arvavad, et ründajad leidsid viisi, kuidas nakatunud seadmete infot võrgu skaneerimisel varjata.

Mõlemale veale on alates 22. oktoobrist olemas parandus ja ettevõtte soovitab turvapaigad rakendada esimesel võimalusel. Viga on paigatud Cisco IOS XE tarkvara versioonis 17.9.4a. Kui mingil põhjusel ei ole võimalik tarkvara uuendada, siis tuleks HTTP-serveri funktsioon kõigis internetiühendusega seadmetes keelata (SW, BC, BC, Cisco, RIA).

Oracle paikas 387 turvanõrkust oma toodetes

Parandatud turvanõrkuste hulgas oli üle 40 kriitilise haavatavuse. Kokku paigati üle 200 turvavea, mida on võimalik kuritarvitada kaugelt ja ilma autentimata. Turvavead mõjutavad mitmeid erinevaid Oracle tooteid, näiteks Oracle Financial Services, Oracle Communications, Fusion Middleware ja MySQL.

Kõige enam vigasid ehk kokku 103 haavatavust paigati tarkvaras Oracle Financial Services. Lisaks avaldati ka Oracle’i Linuxi turvapaigad 61 veale (Oracle).

Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ja Oracle soovitab kõigil kasutajatel tarkvara uuendada. Ettevõtte sõnul saavad nad aeg-ajalt teateid oma klientidelt, kes ei ole tarkvara uuendanud ja on seetõttu langenud küberrünnaku ohvriks (SW, Oracle).

Signal eitab väiteid nullpäeva turvanõrkuse kohta oma platvormil

Oktoobri keskpaigas hakkas erinevatel platvormidel liikuma info, et Signali tarkvaras on nullpäeva turvanõrkus. Viga mõjutab väidetavalt „Generate Link Previews“ erifunktsiooni ja võimaldab võtta üle nakatanud seade.

Signali meeskond uuris väidet ja nende sõnul see ei vasta tõele. Ka USA küberturvalilisuse agentuur CISA teatas, et neil ei ole infot Signali nullpäeva turvanõrkuse olemasolu kohta.

Kuna tegemist on väga populaarse sõnumivahetustarkvaraga, siis Signali turvanõrkused on atraktiivseks sihtmärgiks küberkurjategijatele. Signalit kasutavad lisaks eraisikutele ka paljud asutused ja seetõttu võib seadme kompromiteerimine võimaldada ligipääsu tundlikule infole (BC, SA, Twitter).

Küberkurjategijad kasutavad ära kriitilist turvaviga WordPressi pistikprogrammis

Turvanõrkus (CVE-2023-5360) leiti pistikprogrammis “Royal Elementor“, mida kasutab enam kui 200 000 WordPressi veebilehte. Haavatavuse tõttu võib autentimata ründaja laadida veebilehele pahaloomulise sisuga faile ja see on hinnatud kriitilise CVSS skooriga 9.8/10.0. Haavatavust kuritarvitades võib lisaks faili üleslaadimisele ka pahatahtlikku koodi käivitada ja selle tulemusel veebilehe kompromiteerida.

Küberturbe ettevõtete Wordfence and WPScan sõnul on turvaviga rünnete läbiviimisel kasutatud juba alates augustikuust ja alates 3. oktoobrist on rünnete maht kasvanud.

Turvanõrkus mõjutab pistikprogrammi versioone kuni 1.3.78. Kõik kasutajad peaksid uuendama tarkvara versioonile 1.3.79, kus viga on parandatud. Lisaks tarkvara uuendamisele peaks ka üle kontrollima, ega veebilehele ole lisatud nakatunud faile (BC).

Olulised turvanõrkused 2023. aasta 38. nädalal

Eelmisel nädalal kajastati, kuidas Apple paikas kolm nullpäeva turvanõrkust. Turvanõrkused mõjutavad mitmeid Apple’i tooteid, turvauuendused on tootja väljastanud. Lisaks Apple’ile avalikustasid turvapaigad veel mitmed ettevõtted, sh Fortinet, GitLab, Atlassian jpt. Kõik olulisemad uudised on lühidalt välja toodud järgnevas kokkuvõttes.

  • Apple paikas kolm uut nullpäeva turvanõrkust

Apple avalikustas turvauuendused, et parandada kolm uut nullpäeva turvaviga. Turvavigu on tootja sõnul rünnakutes juba ära kasutatud. Haavatavused lubavad ründajatel käivitada pahaloomulist koodi ohvri seadmes, kui ohver külastab selleks otstarbeks loodud veebilehte, samuti on võimalik ühe nullpäeva turvanõrkuse abil haavatavas süsteemis õigusi suurendada. Konkreetsed nõrkused on parandatud operatsioonisüsteemides macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 ja watchOS 9.6.3/10.0.1. Soovitame uuendused rakendada esimesel võimalusel (BP, Apple, Apple).

  • GitLab paikas kriitilise turvanõrkuse

GitLab paikas kriitilise turvavea (CVE-2023-4998), mis mõjutab tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versioone 13.12 kuni 16.2.7 ja 16.3 kuni 16.3.4. Turvaviga on hinnatud CVSS skooriga 9.6/10. Haavatavus on parandatud GitLab Community Edition ja Enterprise Edition versioonides 16.3.4 ning 16.2.7. Ettevõtte soovitab viivitamatult uuendada GitLabi tarkvara uuele versioonile (BC, Gitlab).

  • Fortinet paikas kõrge mõjuga turvavead oma toodetes

Turvanõrkus (CVE-2023-29183) mõjutab Fortineti teenuseid FortiOS ja FortiProxy. Tegemist on haavatavusega, mis võimaldab pahaloomulist JavaScripti koodi käivitada. Turvaviga mõjutab FortiOSi versioone 6.2.x, 6.4.x, 7.0.x ja 7.2.x ning FortiProxy versioone 7.2.x ja 7.0.x. Teine kõrge mõjuga haavatavus (CVE-2023-34984) mõjutab FortiWebi versioone 6.3, 6.4, 7.0.x ja 7.2.x. Tarkvarade kasutajad peaksid esimesel võimalusel veenduma, et vastavad turvauuendused on rakendatud (SW, Fortinet, Fortinet).

  • Atlassian paikas neli turvanõrkust

Atlassian avalikustas turvauuendused neljale haavatavusele, mis mõjutavad kas Jira, Confluence’i, Bitbucketi või Bamboo tarkvara. Kõige tõsisemat haavatavust märgitakse tähisega CVE-2023-22513 (CVSS skoor 8.5/10.0) ja selle abil on autentitud ründajal võimalik käivitada haavatavas Bitbucketi süsteemis pahaloomulist koodi. Turvanõrkus on parandatud Bitbucketi versioonides 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 ja 8.14.0 (SW, Atlassian).

  • Tuhandeid Juniperi võrguseadmeid ohustab kriitiline turvanõrkus

Hinnanguliselt 12 000 Juniperi SRX-tulemüüri ja EX switchi on haavatavad koodi kaugkäivitamise vea suhtes, mida autentimata ründajad saavad ära kasutada. Vead tähistega CVE-2023-36845 ja CVE-2023-36846 avaldati juba augustis, kuid siis polnud teada, et nende koosmõjul tekib kriitiline haavatavus. Tootja soovitab kõigil mõjutatud Juniperi seadmete kasutajal uuendada tarkvara esimesel võimalusel, kuna haavatavuse kaudu võib saada ründaja ligipääsu ohvri võrgule. Täpsem loetelu mõjutatud seadmetest on lisatud linkidel (BC, Juniper).

Olulised turvanõrkused 2023. aasta 37. nädalal

Lühikokkuvõte eelmisest nädalast

  • Lõppenud nädalal paikasid mitmed ettevõtted ridamisi nullpäeva turvanõrkusi.
  • Microsoft parandas mitukümmend turvanõrkust, samuti tulid turvauuendused Firefoxi ja Chrome’i veebibrauseritele.

      Sellest kõigest kirjutame lähemalt järgnevas ülevaates.

  • Microsoft paikas 59 turvaviga

Microsoft avalikustas enda toodetele septembrikuu turvauuendused, mis parandavad kokku 59 turvanõrkust (sh kaks nullpäeva turvanõrkust). Ettevõtte hindab viit haavatavust 59-st kriitiliseks, nende viie seas on neli koodi kaugkäivitamist võimaldavat turvanõrkust ja üks õiguste suurendamist võimaldav turvanõrkus (seotud Azure’i Kubernetese teenusega). Nullpäeva turvanõrkuseid (tähistusetega vastavalt CVE-2023-36802 ja  CVE-2023-36761) on  ettevõtte hinnangul juba küberrünnakutes ära kasutatud. Nende abil on ründajal võimalik saada kõrgendatud õigused või varastada NTLM räsisid, mis võimaldavad ründajal potentsiaalselt mõjutatud kasutajakontod üle võtta. Kui kasutate turvauuenduse/uuendused saanud tarkvara (nimekiri siit), uuendage see esimesel võimalusel (BC).

  • Mozilla ja Google parandasid nullpäeva turvanõrkuse

Google andis plaaniväliselt välja turvavärskenduse, et parandada Chrome’i nullpäeva turvanõrkus. Kriitilise nullpäeva haavatavuse (CVE-2023-4863) põhjustab ühe kooditeegi puhvri üle täitumise (buffer overflow) nõrkus, mille mõju võib ulatuda tõrgetest veebibrauseri töös kuni võimaluseni käivitada pahaloomulist koodi ohvri süsteemis (BC, Google).

Chrome’i kasutajatel soovitatakse võimalikult kiiresti uuendada oma veebibrauser versioonile 116.0.5845.187 (Mac ja Linux) ja 116.0.5845.187/.188 (Windows). Värskenduse leiate, kui valite Chrome’i menüü > Abi > Teave Google Chrome’i kohta. Chrome kontrollib ka uute värskenduste olemasolu ja installib need pärast taaskäivitamist automaatselt, ilma et oleks vaja kasutaja sekkumist (BC, Google).

Sarnaselt Google’ile parandas antud turvanõrkuse ka Mozilla. Nimelt avalikustati turvauuendus nii Firefoxi veebibrauserile kui ka Thunderbirdi meilirakendusele. Turvanõrkus on parandatud Firefoxi versioonides Firefox 117.0.1, Firefox ESR 115.2.1 ja Firefox ESR 102.15.1 ning Thunderbirdi versioonides 102.15.1 ja 115.2.2 (BC, Mozilla).

  • Avalikustati kriitiline Kubernetese turvanõrkus

Hiljuti avastati Kubernetese tarkvaras tõsised haavatavused, mida tähistatakse kui CVE-2023-3676, CVE-2023-3893 ja CVE-2023-3955. Kubernetes on haldustarkvara, mida kasutatakse kasutuses olevate rakenduste organiseerimiseks, parandamiseks, uuendamiseks jne. CVE-2023-3676 pakub ründajale võimaluse potentsiaalelt kompromiteerida kõik haavatava Kubernetesega seotud Windowsi süsteemid. Seetõttu on väga oluline, et mõjutatud isikud turvauuenduse kiiresti rakendaksid. Haavatavus mõjutab Kubernetese vaikeinstallatsioone. Täpsemalt saab haavatavuse ja vastumeetmete kohta lugeda siit (SA, Akamai).