Tag Archives: NVIDIA

Olulised turvanõrkused 2023. aasta 34. nädalal

Turvanõrkused Jupiter X Core WordPressi pistikprogrammis ohustavad veebilehti

Kaks haavatavust, mis mõjutavad WordPressi ja WooCommerce’i veebilehtede seadistamiseks mõeldud pistikprogrammi Jupiter X Core teatud versioone, võimaldavad kontode kaaperdamist ja haavatavasse süsteemi failide laadimist ilma autentimiseta.

Esimene haavatavus CVE-2023-38388 lubab faile ilma autentimiseta üles laadida, mis võib viia serveris suvalise koodi käivitamiseni.

Turvavea kriitilisuse tasemeks on märgitud 9.0/10.0 ja see mõjutab kõiki JupiterX Core’i versioone, mis on 3.3.5 või vanemad. Arendaja parandas haavatavuse pistikprogrammi versioonis 3.3.8.

Teine haavatavus CVE-2023-38389 võimaldab autentimata ründajatel võtta kontrolli suvalise WordPressi kasutajakonto üle tingimusel, et nad teavad kontoga seotud meiliaadressi. Haavatavuse kriitlisuse tasemeks on märgitud 9.8/10.0 ja see mõjutab kõiki Jupiter X Core’i versioone, mis on 3.3.8 või vanemad. Turvanõrkus on parandatud pistikprogrammi versioonis 3.4.3.

Kõigil pistikprogrammi kasutajatel soovitatakse tarkvara värskendada uusimale versioonile (BP, Patchstack).

Nutipirnide haavatavused võimaldavad häkkeritel varastada kasutajate WiFi-paroole

Catania ja Londoni ülikooli teadlased avastasid neli turvaauku, mis mõjutavad TP-Link Tapo L530E nutipirni ja mobiilirakendust TP-Link Tapo. Kuna teadlaste hinnangul on autentimine nõrgalt rakendatud, saab ründaja kontrollida kõiki Tapo seadmeid, mis kasutaja on sidunud enda Tapo kontoga. Samuti on tal võimalik haavatavuste abil teada saada ohvri WiFi parool, laiendades seeläbi enda häkkimisvõimalusi. Kõige kriitilisemat haavatavust on hinnatud skooriga 8.8/10.0. Teadlased jagasid enda uurimuse tulemusi ettevõttega, kes lubas haavatavused kõrvaldada. Lisaks tuleks teadlaste hinnangul avastatud leidude tõttu nõuda null-usaldusmudeli täielikumat rakendamist asjade interneti seadmete puhul (SA, DMI).

Üle 3000 Openfire’i serveri on haavatavad kriitilise turvanõrkuse vastu

Tuhanded Openfire’i serverid on ohus turvanõrkuse CVE-2023-3231 tõttu, mida on rünnete läbiviimisel ära kasutatud. Haavatavus võimaldab luua autentimata ründajal administraatorikontosid ja samuti haavatavatesse serveritesse pahaloomulisi pistikprogramme üles laadida. Openfire on laialdaselt kasutatav Java-põhine avatud lähtekoodiga sõnumivahetusserver (XMPP), mida on alla laetud üheksa miljonit korda. Viga on parandatud Openfire’i versioonides 4.6.8, 4.7.5 ja 4.8.0 (BP, VulnCheck).

Cisco paikas turvanõrkused, mis võivad kaasa tuua teenustõkestusründed

Cisco paikas oma toodetes kuus haavatavust, mille hulgas olid ka kõrge mõjuga vead NX-OS ja FXOS tarkvarades. Kõige suurema mõjuga on turvaviga tähisega CVE-2023-20200, mis võimaldab ründajal saata ohvri seadmele SNMP-päringuid ja põhjustada selle taaskäivitamise ning teenuse katkemise. Hetkel teadaolevalt ei ole haavatavusi ära kasutatud. Täpne nimekiri mõjutatud seadmetest on lisatud linkidel (SW, SA, Cisco).

Ivanti Sentry kriitilise turvanõrkuse jaoks avalikustati tehniline analüüs

Hiljuti avalikustas tarkvaraettevõte Ivanti turvapaigad, et kõrvaldada kriitilise raskusastmega haavatavus CVE-2023-38035, mis mõjutab Ivanti Sentry tarkvara (tuntud ka kui MobileIron Sentry). Nüüd on kübereksperdid turvanõrkuse jaoks avalikustanud ka tehnilise algpõhjuse analüüsi.

Haavatavust saab kasutada tundlikele API andmetele ja konfiguratsioonidele juurdepääsemiseks, süsteemikäskude käivitamiseks või failide süsteemi kirjutamiseks. See mõjutab Sentry versiooni 9.18 ja varasemaid. Kuigi haavatavus on kriitiline, on nende klientide jaoks, kellel ei ole port 8443 avalikult kättesaadav, oht pigem väike.

Ettevõte märkis, et on teadlik piiratud arvust klientidest, keda see haavatavus otseselt mõjutab (SA, Horizon3, Ivanti).

Kolm haavatavust Nvidia graafikadraiveril võivad põhjustada mälu sisu soovimatut muutumist

Hiljuti avalikustati kolm NVIDIA graafikakaartidega töötava NVIDIA D3D10 draiveri haavatavust. Kõik kolm haavatavust on hinnatud kriitilisuse skooriga 8.5/10.0 (Talos).

Ründaja võib potentsiaalselt neid turvaauke ära kasutada virtuaalmasinates, mis töötavad virtualiseerimiskeskkondades (nt VMware, QEMU ja VirtualBox), et keskkondadest välja pääseda. Samuti leiti, et ründajal võib õnnestuda neid haavatavusi ära kasutada veebibrauseris, mis kasutab WebGL-i ja WebAssemblyt (Talos).

Haavatavused on parandatud turvauuendusega, mille kohta leiab täpsemat informatsiooni siit.

Olulised turvanõrkused 2022. aasta 48. nädalal

Lahtine tabalukk

Java raamistikus Quarkus avastati kriitiline turvaviga

Quarkus on avatud lähtekoodiga Java raamistik, mis on mõeldud Java virtuaalmasinate jaoks. Haavatavust CVE-2022-4116 on hinnatud kriitilisuse skooriga 9.8/10.0 ja selle abil on ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi masinas, milles jookseb Quarkuse Dev UI. Selleks peab ohver külastama veebilehte, mis sisaldab pahaloomulist JavaScripti koodi. Sellest tulenevalt võivad ründajad ühe ründevektorina saata Quarkust kasutavatele arendajatele veebilingi, millel klikkides suunatakse ohver pahaloomulist Javascripti sisaldavale veebilehele. Ründe tagajärjel on ründajal potentsiaalselt võimalik masinasse paigaldada muuhulgas näiteks nuhkvara, mis kasutaja(te) klahvivajutusi salvestab (SW, Quarkus).

Kes ja mida peaks tegema?

Selleks, et turvanõrkust ei oleks võimalik ära kasutada, tuleb arendajatel ja/või teenuseomanikel, kelle rakendused/teenused kasutavad Quarkuse raamistiku, veenduda, et kasutatakse Quarkuse versiooni 2.14.2 Final või 2.13.5 Final. Sellisel juhul haavatavus ohtu ei kujuta. Kui uuendamine ei ole võimalik, siis on Quarkus kirjutanud siin ka täpsemalt ühest alternatiivsest vastumeetmest, mida saab sellisel juhul kasutada.

Google paikas ühe Chrome’i nullpäeva turvanõrkuse

Google paikas Chrome’il selle aasta üheksanda nullpäeva turvanõrkuse, mille abil oli ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi ohvri masinas. CVE-2022-4262 jaoks on Google’i hinnangul olemas ka eksploit. Ettevõte ei ole turvavea kohta jaganud täpsemaid detaile, et vähendada selle kuritarvitamist (Google).

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat, uuendage see esimesel võimalusel. Chrome peaks uuendused rakendama automaatselt. Kui automaatne uuendamine ei ole lubatud, saate parandusega tarkvaraversiooni rakendada ka manuaalselt. Juhised, kuidas seda  teha, leiate siit.

NVIDIA paikas turvanõrkused videokaartide draiverites

Ettevõte paikas 29 turvanõrkust, mis olid seotud Windowsi ja Linuxi GPU draiveritega (BP, NVIDIA). Seitse turvanõrkust hinnati kõrge kriitilisuse tasemega. Kaks kõige kriitilisemat nõrkust on järgnevad:

CVE-2022-34669 (8.8/10.0) – Haavatavus võimaldab koodi kaugkäitust, õiguste suurendamist, informatsioonile ligipääsemist ja teenusekatkestusi. Turvanõrkust on võimalik lokaalselt kuritarvitada. CVE-2022-34669 võib pakkuda ründajatele viise, kuidas pahavara kõrgema taseme õigustes käivitada, sest üldjuhul kasutavad videokaardi draiverid operatsioonisüsteemis kõrgendatud õiguseid. Seetõttu võib see potentsiaalselt kujutada suurt ohtu mõjutatud süsteemidele.

CVE-2022-34671 (8.5/10.0) – Haavatavus võimaldab sooritada koodi kaugkäitust, üritada süsteemis õigusi suurendada õiguste, ligi pääseda informatsioonile, millele ei peaks ligi pääsema või viia süsteem olukorrani, kus see ei tööta. Turvanõrkust on võimalik ründajal kaugelt kuritarvitada. Haavatavuse kriitilisuse skoor on võrreldes CVE-2022-34669 turvaveaga hinnatud madalamaks, kuna seda on keerulisem edukalt ära kasutada.

Kes ja mida peaks tegema?

Kui te kasutate NVIDIA graafikakaarte, soovitame tutvuda ettevõtte veebilehega siin ja veenduda, et te ei ole turvanõrkuste vastu haavatav. Samalt veebilehelt leiate ka juhised, kuidas mõjutatud draiverid uuendada.

Turvanõrkus võimaldas avada mitmete autode uksi ja neid käivitada

Kübereksperdid avastasid SiriusXM-nimelisest tarkvarast turvanõrkuse, mille abil oli neil võimalik häkkida erinevate autotootjate mudeleid, mis vastavat tarkvara kasutasid. Täpsemalt leidsid nad, et turvanõrkuse abil oli neil võimalik erinevate autode puhul, mis olid toodetud peale 2015. aastat ja mis haavatavat tarkvara kasutasid, muuhulgas lukustada/avada uksi või käivitada auto, teades ainult auto VIN-koodi. Leid illustreerib seda, kuidas autode sõltuvus erinevatest tarkvaralahendustest võib muuta need üha ihaldusväärsemateks sihtmärkideks ründajatele. Turvanõrkus parandati tarkvaratootja sõnul kiiresti ja ühtegi reaalset intsidenti nende sõnul ei toimunud (BP).

RIA analüüsi- ja ennetusosakond