Tag Archives: OpenSSH

Olulisemad turvanõrkused 2024. aasta 27. nädalal

Miljonid OpenSSH serverid on koodi kaugkäivitamise veale haavatavad

Qualysi küberturbeteadurite sõnul on potentsiaalselt 14 miljonit OpenSSH serverit ohus koodi kaugkäivitamist võimaldava vea tõttu, mida nimetatakse regreSSHion. Shodani ja Censys andmete põhjal on internetile avatud enam kui 14 miljonit seadet. Turvaviga tähisega CVE-2024-6387 võimaldab autentimata ründajal saada juurõigused ja käivitada pahaloomulisi käske ning seejärel võtta kontrolli kogu süsteemi üle. Lisaks on võimalik eduka ründe korral ohvri süsteemi paigaldada pahavara ja tagauksi. Turvaviga on võrreldud ka 2021. aastal avalikuks tulnud Log4Shell haavatavusega – teadurite sõnul on regreSSHion sama tõsise ja kriitilise mõjuga.

Viga mõjutab OpenSSH versioone 8.5p1 kuni 9.7p1 ning on parandatud versioonis 9.8p1. Täpsemalt mõjutab haavatavus glibc-põhiseid Linuxi süsteeme ning hetkel ei ole teada, et seda oleks võimalik kuritarvitada Windowsi või macOSi süsteemides.

Qualys on küll avaldanud tehnilist teavet turvavea kohta, kuid kontseptsiooni tõendust ei ole avalikuks tehtud, et vältida rünnete kasvu (SA, SW, ZDNET).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 25 turvaviga, nende hulgas oli kriitiline haavatavus Frameworki komponendis. Turvaviga tähisega CVE-2024-31320 võib kaasa tuua õigustega manipuleerimise ja mõjutab Androidi versioone 12 ning 12L. Suurem osa vigadest on hinnatud suure mõjuga haavatavusteks.

Sel korral ei avaldatud koos turvauuendusega Pixeli seadmete paikasid – ka eelmisel kuul said need avalikuks umbes kaks nädalat peale Androidi seadmete uuendamist.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Cisco paikas nullpäeva turvanõrkuse

Cisco parandas NX-OS tarkvaras nullpäeva turvanõrkuse tähisega CVE-2024-20399, mis võimaldab ründajal käivitada operatsioonisüsteemis suvalisi käsklusi.

Viga mõjutab järgmisi Cisco seadmeid:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode.

Kuna turvanõrkuse ärakasutamiseks peavad ründajal olema administraatoriõigused, siis on seda hinnatud keskmise mõjuga haavatavuseks CVSS skooriga 6.0/10.

Hiinast pärit häkkerite rühmitus Velvet Ant on juba asunud haavatavust kuritarvitama ning kõik Cisco seadmete kasutajad peaks tarkvara uuendama (DR).

Polyfill[.]io rünnak mõjutab ligi 400 000 hosti

Juuni lõpus avalikuks tulnud Polyfill[.]io tarneahela rünnak on palju laiema ulatusega kui esialgu arvati. Nüüdseks on selgunud, et enam kui 380 000 hosti suunavad kasutajaid pahaloomulisele domeenile. Nende hulgas on ka suurte ettevõtete nagu Mercedes-Benz ja WarnerBros domeenid.

Juuni lõpus tuli avalikuks info, et Hiina ettevõte Funnull on ostnud Polyfill.io teenuse ja muutnud seal kasutusel olevat JavaScripti teeki nii, et veebilehtede kasutajad suunatakse ümber pahatahtlikele või kelmusega tegelevatele saitidele. Kuna Polyfill.js on populaarne avatud lähtekoodiga teek vanemate brauserite toetamiseks, siis mõjutab see suurt hulka kasutajaid.

Turvaeksperdid soovitavad veebisaitide omanikel ettevaatusabinõuna oma koodibaasist eemaldada kõik viited hostile polyfill.io ja sellega seotud domeenidele (HN, Censys).

Apache parandas kriitilise turvavea Apache HTTP Serveris

Viga tähisega CVE-2024-39884 mõjutab Apache HTTP Serveri tarkvara ning selle kaudu on võimalik saada ligipääs lähtekoodile. Lisaks paigati veel mitmeid teisi haavatavusi, mis võimaldavad ründajatel teenuseid tõkestada, koodi kaugkäivitada ja saada volitamata juurdepääsu süsteemidele.

Apache Foundation soovitab kasutajatel uuendada tarkvara versioonile 2.4.61, kus turvavead on paigatud (SA).

Olulised turvanõrkused 2023. aasta 30. nädalal

Teadlased leidsid kriitilised nõrkused operatiivraadioside standardist TETRA

Hollandi teadlased avastasid TETRA operatiivraadioside standardist viis haavatavust, millest kaks on kriitilised. Turvanõrkustele on antud koodnimetus TETRA:BURST. Avastused on olulised, kuna TETRAt kasutavad mitmete riikide korrakaitseüksused ning samuti kasutatakse seda kriitilise taristu haldamiseks. Haavatavuste tõttu saaksid kolmandad osapooled kuulata pealt operatiivraadiosidet või seda segada. Täpsemad tehnilised detailid avalikustatakse augustis toimuvatel küberturbekonverentsidel (SW,Wired,Tetraburst).

Apple paikas veel ühe nullpäeva turvanõrkuse

Parandatud haavatavus on uus kerneli viga tähisega CVE-2023-38606, mida on Apple’i sõnul kuritarvitatud juba vanemate seadmete (iOS versioon vanem kui 15.7.1) ründamiseks. Küberekspertide sõnul on antud turvanõrkuse abil paigaldatud haavatavatesse seadmetesse nuhkvara. Haavatavus on parandatud macOS Ventura 13.5, iOS ja iPadOS 16.6, tvOS 16.6, watchOS 9.6 ja Safari 16.6 versioonides (BP, Apple).

Kes ja mida peaks tegema?

Soovitame kõigil Apple’i seadmete kasutajatel vastavad tarkvarauuendused rakendada.

Ubuntu kasutajad võivad olla uue turvavea suhtes haavatavad

Hiljuti Ubuntus avastatud turvaauk võimaldab pahaloomulistele kasutajatel saada suurel hulgal seadmetel kõrgendatud õigused. Ubuntu on üks enim kasutatavaid Linuxi distributsioone. Turvanõrkus tähisega CVE-2023-2640 mõjutab täpsemalt OverlayFS moodulit ja tegu on kõrge tasemega haavatavusega (CVSS v3 skoor 7.8/10.0). Turvanõrkusele on olemas ka kontseptsiooni tõendus, mis tõstab selle kuritarvitamise tõenäosust. (BP, Ubuntu, Wiz).

Kes ja mida peaks tegema?

Saadaval on turvauuendus, mille kohta leiab täpsemat informatsiooni tootja kodulehelt (Ubuntu). Soovitame selle vajadusel rakendada esimesel võimalusel.

OpenSSH haavatavus võimaldab koodi kaugkäitust

OpenSSH uus turvaviga võimaldab potentsiaalselt käivitada pahaloomulisi käske haavatavates süsteemides. Turvanõrkus CVE-2023-38408 mõjutab OpenSSH võtmete haldamisega seotud lahendust ssh-agent. Haavatavust saab siiski ära kasutada ainult siis, kui haavatavaid versioone käitavatesse süsteemidesse on installitud teatud teegid ja SSH autentimisagent edastatakse ründaja juhitavale süsteemile.

Kes ja mida peaks tegema?

Konkreetne haavatavus mõjutab kõiki OpenSSH-i versioone, mis on vanemad kui 9.3p2 (SA, Qualys).

Austraalia ja USA hoiatavad uues ülevaates veebirakendustega seotud turvanõrkuste eest

Austraalia küberkaitsekeskus (ACSC), USA kübeturvalisuse ja infrasturktuuri agentuur (CISA) ja USA riiklik julgeolekuagentuur avaldasid ühiselt ülevaate, mis käsitleb veebirakendustega seotud spetsiifilisi haavatavusi (insecure direct object reference ehk IDOR). IDOR tüüpi turvanõrkused võimaldavad pahatahtlikel osapooltel muuta või kustutada andmeid või tundlikele andmetele ligi pääseda, saates veebilehele või veebirakenduse programmeerimisliidesele (API) kindlat tüüpi päringuid (CISA).

Ülevaates tuuakse välja, et selliseid turvaauke on sageli kasutatud andmeleketega seotud küberintsidentide puhul, sest need on levinud ja nende mõjuulatus on lai. Väidetavalt on IDOR tüüpi haavatavused põhjustanud miljonite kasutajate ja tarbijate isikliku, finants- ja terviseteabe ohtu sattumise. Turvavigadele on olemas standardsed vastumeetmed, mille kohta saab täpsemalt lugeda avaldatud ülevaatest siin.