Tag Archives: Oracle

Olulised turvanõrkused 2023. aasta 29. nädalal

Tuhanded Citrixi serverid on haavatavad kriitilise turvanõrkuse vastu

Tuhanded avalikust võrgust kättesaadavad Citrixi Netscaler ADC ja Gateway serverid on haavatavad rünnakute suhtes, mis kasutavad ära kriitilist koodi kaugkäivitamise (RCE) viga CVE-2023-3519. Praeguseks on välja tulnud, et ründajatel on õnnestunud juba ka haavatavaid organisatsioone edukalt rünnata. Näiteks avalikustas USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) möödunud neljapäeval, et seda haavatavust kuritarvitati ühe USA kriitilise infrastruktuuri organisatsiooni vastu. Konkreetse intsidendi käigus paigaldati haavatavasse süsteemi pahavara, mille abil üritati erinevaid andmeid koguda ja nii teistesse süsteemidesse edasi liikuda (CISA).

Kes ja mida peaks tegema?

Haavatavus mõjutab NetScaler Application Delivery Controlleri (ADC) ja NetScaler Gateway tooteid.  Haavatavad versioonid on välja toodud tootja kodulehel. Kui te antud tooteid kasutate, veenduge, et need kasutaksid vastavat turvaparandustega tarkvara.

Apache OpenMeetings tarkvarast leiti kõrge mõjuga turvavead

Kokku avalikustati kolm haavatavust, mis lubavad ründajatel käivitada haavatavates süsteemides pahaloomulist koodi. Turvanõrkuseid tähistatakse nimetustega CVE-2023-28936, CVE-2023-29023 ja CVE-2023-29246. OpenMeetings on rakendus, mida saab kasutada näiteks videokõnede või esitluste tegemiseks. Seda on alla laaditud rohkem kui 50 000 korda ja seda pakutakse pistikprogrammina ka sellistele tarkvaradele nagu Jira, Confluence või Drupal. Kõik eelnev ning asjaolu, et seda võidakse kasutada tundlikeks aruteludeks või koosolekuteks, muudavad konkreetsete turvanõrkuste vastu haavatavad süsteemid ründajatele atraktiivseteks sihtmärkideks (Sonar).

Kes ja mida peaks tegema?

Kui te antud tarkvara kasutate, siis veenduge, et teie tarkvara kasutaks vähemalt versiooni 7.1.0. Sellisel juhul haavatavused teile ohtu ei kujuta.

Oracle parandas üle 75 kriitilise turvanõrkuse

Oracle avalikustas erinevatele tarkvaradele juulikuu turvauuendused, mille abil parandati 508 turvanõrkust, nendest vähemalt 75 kriitilist haavatavust. Turvavigade seas on rohkem kui 350 viga, mida saab ründaja kasutada autentimata. Parandused said muuhulgas nii MySQLiga kui ka finantsteenustega seotud tarkvarad (SW, Oracle).

Kes ja mida peaks tegema?

Kõik turvauuendused saanud tarkvarad on välja toodud tootja kodulehel siin. Kui te antud ettevõtte tooteid kasutate, soovitame nimekirjaga tutvuda ja kontrollida, kas teie tarkvarad vajavad uuendamist.

Mitmed robotvõrgustikud üritavad aktiivselt kompromiteerida Zyxeli võrguseadmeid

Lähikuudel on robotvõrgustikud üritanud üha aktiivsemalt kompromiteerida haavatavaid Zyxeli võrguseadmeid (Fortinet, Rapid7, SA). Robotvõrgustikud koosnevad komrpomiteeritud seadmetest, mida kasutatakse erinevatel pahaloomulistel eesmärkidel, sageli ka ummistusrünnakute (DDoS-rünnakute) teostamiseks. Robotvõrgustike haldurid otsivad järjepidevalt aga üha uusi haavatavaid seadmeid, mida võrgustikega liita.

Zyxel avalikustas paar kuud tagasi, et mitmeid nende pakutavaid tulemüüre ohustab kriitiline haavatavus CVE-2023-28771, mille abil on võimalik pahaloomulist koodi käivitada. Haavatavus mõjutab Zyxeli ZyWALL/USG seeria püsivara versioone 4.60 kuni 4.73, VPN-seeria püsivara versioone 4.60 kuni 5.35, USG FLEX seeria püsivara versioone 4.60 kuni 5.35 ja ATP seeria püsivara versioone 4.60 kuni 5.35.

Kuna haavatavuse jaoks on kättesaadav kontseptsiooni tõendus (PoC), siis ongi robotvõrgustikud üritanud leida just selle turvavea vastu haavatavaid seadmeid, eriti Kesk-Ameerikas, Põhja-Ameerikas ja Aasias. Põhjalikumalt on võimalik selle teema kohta lugeda eelmisel nädalal avaldatud analüüsist siin.

Kes ja mida peaks tegema?

Kui te vastavaid Zyxeli võrguseadmeid kasutate ning need kasutavad haavatavat tarkvara, uuendage need esimesel võimalusel. Täpsema ülevaate parandatud versioonidest leiate tootja kodulehelt siit.

Olulised turvanõrkused 2023. aasta 16. nädalal

Hikvisioni toodetel parandati kriitiline turvanõrkus

Hikvision teatas eelmisel nädalal, et on parandanud ühe kriitilise haavatavuse tähisega CVE-2023-28808. Haavatavus on seotud andmete salvestamiseks mõeldud süsteemidega. Turvaviga lubab mõjutatud süsteemides omandada administraatori tasemel õigused. Administraatoriõiguseid saab potentsiaalselt kuritarvitada videokaamerate salvestistele ja teistele andmetele ligipääsemiseks. Nii võib ründaja avaldada seadmete kasutajatele märgatavat mõju (SW, Hikvision). 

Kes ja mida peaks tegema?

Kui te kasutate Hikvisioni seadmeid, tutvuge tootja infolehega, kus on mõjutatud tooted ja parandusega tarkvaraversioonid välja toodud ning uuendage süsteemide tarkvara esimesel võimalusel. Infoleht asub siin.

Taaskasutusse antud võrguseadmed võivad sisaldada tundlikke andmeid

Ringlusesse antud võrguseadmed võivad tihti sisaldada varasemate kasutajate tundlikke andmeid, näiteks erinevat konfiguratsiooniteavet, kasutajatunnused või klientide andmeid. Eksperdid avastasid, et 16-st järelturult ostetud võrguseadmest üheksa sisaldasid andmeid, mille abil oli sisuliselt võimalik koostada võrguplaane varasemate seadmete omanike võrkude kohta. Lisaks leiti, et võrguseadmed sisaldasid virtuaalsete privaatvõrkude (VPN) kasutajatunnuseid või räsitud juurparoole. Ekspertide sõnul on nähtus murettekitav, kuna selliste seadmete kaudu on pahaloomuliste kavatsustega isikutel suhteliselt lihtsalt võimalik tundlikele andmetele ligi pääseda (DR).

Tegu ei ole siiski uue avastusega. Aastate jooksul on tihti leitud, et kõvakettad, mobiilseadmed ja printerid sisaldavad erisuguseid andmeid. 2019. aastal tõdeti ühes uuringus, et vaid kaks seadest 85-st olid korralikult andmetest puhastatud, enne kui need anti edasi kasutatud asjade müüjatele. Siiski võivad taaskasutusse antud ruuterid kujutada endast suuremat turvariski võrreldes teiste seadmetega nendes peituvate andmete eripära tõttu (DR).

Chrome’il paigati nullpäeva turvanõrkus

Google parandas Chrome’i uue versiooniga 112.0.5615.137 sel aastal teise nullpäeva turvanõrkuse (CVE-2023-2136), mida on rünnakutes juba ka ära kasutatud. Turvanõrkus mõjutab Windowsile, macOSile ja Linuxile mõeldud Chrome’i sirvikuid. Kokku paikas Google Chrome’il kaheksa viga, millest neli olid kõrge mõjuga (SA, Chrome).

Kes ja mida peaks tegema?

Kui te Chrome’i kasutate, uuendage see esimesel võimalusel. Juhised selleks leiate siit.

VMware paikas logide analüüsimiseks kasutatavas tööriistas kriitilised turvavead

VMware parandas vRealize Log Insighti (tuntud ka kui VMware Aria Operations for Logs) tarkvaras kriitilised turvavead (CVE-2023-20864 ja CVE-2023-20865), mille abil on ründajal võimalik käivitada juurõigustega haavatavates seadmetes pahaloomulist koodi. Neid turvanõrkuseid on ründajatel võimalik ka suhteliselt lihtsalt kuritarvitada.  

Kes ja mida peaks tegema?

CVE-2023-20864 turvavea vastu on haavatav ainult vRealize Log Insighti versioon 8.10.2. Kõik teised versioonid on haavatavad nõrkuse CVE-2023-20865 vastu, mida hinnatakse veidi vähem kriitiliseks. Soovitame kõigil, kes antud tarkvara kasutavad, lugeda tootja infolehte, kus on kõik kasulikud juhised kättesaadavad.

Oracle paikas 433 turvanõrkust

Parandatud turvanõrkuste hulgas oli üle 70 kriitilise haavatavuse ja 250 turvaviga, mille jaoks ei pea ründaja end sihtmärgiks valitud süsteemis autentima. See tähendab, et ründajatel on lihtsam haavatavusi kuritarvitada. Turvavead mõjutavad mitmeid erinevaid ettevõtte tooteid, näiteks Oracle Communications, Oracle Financial Services, Fusion Middleware, MySQL ja teised. Täpsema nimekirja leiab lisatud linkidelt. Kui te selliseid tarkvarasid kasutate, soovitame need uuendada esimesel võimalusel (SW, Oracle).

Avalikustati veel üks VM2 teegi kriitilise turvavea kontseptsiooni tõendus

Viimastel nädalatel on teavitatud mitmest kriitilisest VM2-e nõrkusest, millele on olemas ka kontseptsiooni tõendused (PoC). PoCide abil on ründajatel lihtsam turvanõrkuseid kuritarvitada. Antud turvanõrkus võimaldab ründajatel VM2-e keskkonnast  välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi. VM2 on lahendus, mille abil testitakse tarkvarasid. See takistab testitaval tarkvaral volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused (BP).

Kes ja mida peaks tegema?

Kõikidel VM2-e kasutajatel soovitatakse see esimesel võimalusel uuendada versioonile 3.9.17. Sellisel juhul antud turvanõrkus teile ohtu ei kujuta. 


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 42. nädalal

Apache’i Commons Texti teegis paigati kriitiline turvaviga

Hiljuti avalikustati kriitiline turvaviga CVE-2022-42889 (9.8/10.0) Apache’i Commons Texti teegis. CVE-2022-42889 on nõrkus, mille abil õnnestub autentimata ründajal teostada koodi kaugkäitust. Apache Commons Text on teek, mis sisaldab kasulikke funktsioone sõnede (string) töötlemiseks. Nõrkuse kontseptsiooni tõendus ehk PoC (proof of concept) on avalikustatud (DRSABP).

Turvanõrkuse olemus

Turvaviga põhineb lihtsustatult sisendi ebakorrektsel töötlemisel. See tähendab, et ründajal on võimalik anda haavatava Commons Text teeki kasutava rakenduse kaudu serverile pahaloomuline sisend, mis seal käivitub. Selle tulemusena on ründajal võimalik andmeid varastada, paigaldada pahavara või teha muid pahaloomulisi tegevusi kompromiteeritud süsteemis.

Turvanõrkuse põhjalikuma tehnilise kirjeldusega saab tutvuda siin.

Kes ja mida peaks tegema?

Haavatavad on organisatsioonid, kes kasutavad mõjutatud Apache’i Commons Texti teeki kasutavaid rakendusi koos StringSubstitutor klassiga.  CVE-2022-42889 nõrkus ohustab teegi versioone 1.5-1.9. See on paigatud versioonis 1.10.0.

  • Esmalt tuleb kaardistada, et kas ja milliste rakenduste puhul Commons Text teeki organisatsioonis kasutatakse. Ühe võimalusena saab skaneerida ära kõik JAR failid, mis on seotud Apache Commons Text teegiga. Näiteks võib süsteemist otsida kõiki faile, mis vastavad otsingufraasile common-text*.jar. Tärn tähistab otsingufraasis teegi versiooni (1.10.0 versiooni puhul oleks faili nimi common-text-1-10.0.jar).
  • Samuti tuleb analüüsida, kas rakendatakse väliseid komponente, mis võivad kasutada haavatavat teegi versiooni.
  • Kui te kasutate mõjutatud Apache Common Texti versiooni (1.5-1.9), tuleb see uuendada vähemalt versioonile 1.10.0, mille leiate siit. Kui uuendamine ei ole võimalik, tuleb igal organisatsioonil tähelepanelikult teeki kasutavad funktsioonid üle kontrollida ja veenduda, et need ei aksepteeriks ebausaldusväärset sisendit.

Oracle paikas turvauuendustega 179 haavatavust

Ettevõte tuli välja 27 tootele mõeldud 370 turvauuendusega, millest 56 on kriitilised, 144 kõrge tasemega ja 163 keskmise tasemega turvauuendused (TenableOracle). 

Kes ja mida peaks tegema?

Organisatsioonid, kes kasutavad neid Oracle’i tooteid, tuleb veenduda, et kõik pakutavad turvauuendused oleks tehtud. Vastasel juhul säilib oht turvanõrkuste ära kasutamiseks. Täpsema ülevaate paigatud nõrkustest saab tootja kodulehelt siin.

MacOSi Zoomi tarkvara sisaldab kõrge riskiga turvaviga

Populaarses videokonverentsi tarkvaras Zoom avastati kõrge riskiga turvaviga (CVE-2022-28762), mida on hinnatud skooriga 7.3/10.0. Haavatavus mõjutab MacOSi Zoomi rakenduse kasutajaid, täpsemalt Zoom Client for Meetings for MacOS versioone 5.10.6 kuni 5.12.0 (SW).

Kes ja mida peaks tegema?

Turvaveale on olemas parandus. Mõjutatud tarkvara kasutavatel inimestel tuleb ennetusmeetmena Zoom uuendada.

Turvanõrkused Cisco Identity Services Engine teenuses

Cisco avaldas hoiatuse Identity Services Engine (ISE) teenuse kasutajatele kahe haavatavuse (CVE-2022-20822 ja CVE-2022-20959) osas, mis võimaldavad kompromiteeritud seadmes olevaid faile lugeda, kustutada ja selles käivitada pahatahtlikku koodi. Tootja ei ole teadlik, et turvanõrkuseid oleks üritatud veel ära kasutada (HNS).

CVE-2022-20822 (7.1/10.0)on path traversal tüüpi turvanõrkus, millega on ründajal võimalik pääseda kõrgema tasemega kataloogidesse, mis ei ole mõeldud kõigile ligipääsetavaks. Haavatavust saab kuritarvitada autentitud pahaloomuline kasutaja, kui ta saadab Cisco ISE veebiliidesele spetsiaalse HTTP-päringu.

CVE-2022-20959 (6.1/10.0) on skriptisüsti võimaldav turvanõrkus, mis mõjutab Cisco ISE ERS APIt. Haavatavuse ärakasutamiseks tuleb ründajal loota, et autentitud veebiliidese administraator klikib talle saadetud pahaloomulisel lingil. Õnnestunud rünne pakub pahalasele võimaluse käivitada liideses pahaloomulist koodi või pääseda ligi tundlikule informatsioonile.

Kes ja mida peaks tegema?

Hetkel on turvapaik CVE-2022-20959 nõrkuse jaoks avalikustatud üksnes ühe kindla ISE versiooni puhul. Alternatiivseid ennetusmeetmeid ei ole. Kui te kasutate Cisco Identity Services Engine teenust, tutvuge tootja ametliku informatsiooniga siin ja siin.

Zimbra tarkvara kriitiline turvanõrkus paigati

Kaks nädalat tagasi kirjeldas RIA turvanõrkuste ülevaade Zimbra Collaboration Suite tarkvara kriitilist turvanõrkust skooriga 9.8/10.0 (CVE-2022-41352), mis võimaldab koodi kaugkäitust. Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Nüüd on turvanõrkusele avalikustatud ka parandus ning see soovitatakse rakendada kõigil, kes mõjutatud tarkvara kasutavad. Täpsemalt saab selle kohta lugeda siit.

RIA analüüsi- ja ennetusosakond