Tag Archives: Outlook

Olulisemad turvanõrkused 2024. aasta 32. nädalal

Google paikas Androidi nullpäeva turvanõrkuse

Kokku paigati 46 haavatavust, mille hulgas oli ka koodi kaugkäivitamist võimaldav viga, mida on juba rünnetes ära kasutatud. Suurem osa paigatud haavatavustest on hinnatud suure mõjuga vigadeks. Lisaks paigati ka nullpäeva turvanõrkus tähisega CVE-2024-36971, mis on Linuxi kerneli haavatavus ja võimaldab muuta võrguühendusi. Google’i sõnul on näha, et nullpäeva turvaviga on proovitud rünnetes kuritarvitada. Sel kuul avaldas Google kaks Androidi turvauuenduste paketti: 2024-08-01 ja 2024-08-05. Turvapaigad avaldati ka Wear OSi operatsioonisüsteemile. Soovitame kõigil Androidi seadmete kasutajatel tarkvara uuendada (BC, SW).

Apache OfBiz tarkvaras paigati koodi kaugkäivitamise viga

Apache OfBiz on avatud lähtekoodiga ERP (Enterprise Resource Planning) tarkvara, milles paigati haavatavus tähisega CVE-2024-38856. Viga on hinnatud kriitilise CVSS skooriga 9.8/10 ja sellele on avaldatud ka kontseptsiooni tõendus, mistõttu võib eeldada et peagi hakatakse seda viga ära kasutama. Haavatavuse kaudu on võimalik autentimata ründajal suvalist koodi käivitada. Viga mõjutab kõiki tarkvara versioone kuni 18.12.14 ja kasutajatel soovitatakse uuendada tarkvara versioonile 18.12.15 või uuemale.

CISA hoiatas, et Apache OfBiz tarkvaras olevat maikuus avalikuks tulnud turvaviga tähisega Apache OfBiz CVE-2024-32113 on rünnetes kuritarvitatud. Viga mõjutab kõiki tarkvara versioone kuni 18.12.13. Tänu oma mitmekülgsusele ja kulutõhususele kasutatakse Apache OfBiz tarkvara paljudes tööstusharudes ja ettevõtetes (HN, BC).

Chrome’i ja Firefoxi veebilehitsejates paigati haavatavusi

Google avaldas Chrome’i versiooni 127.0.6533.99, Windowsi, Maci ja Linuxi seadmetele, milles on paigatud kuus turvaviga. Paigatud vigadest üks (CVE-2024-7532) on hinnatud kriitilise mõjuga ja ülejäänud viis suure mõjuga haavatavuseks.

Mozilla Firefoxi uues versioonis 129 on paigatud kokku 14 turvanõrkust, millest 11 on hinnatud suure mõjuga veaks. Mozilla avaldas turvapaigad ka tarkvaradele Thunderbird ja Firefox ESR. Soovitame kõigil Chrome’i ja Firefoxi kasutajatel teha turvauuendus. Kumbki ettevõte ei ole avaldanud infot turvavigade ärakasutamise kohta (SW).

Cisco hoiatab IP-telefonide kriitilisest turvaveast

Koodi kaugkäivitamist võimaldavad kriitilised nullpäeva turvanõrkused mõjutavad Cisco IP-telefone seeriatest SPA 300 ja SPA 500. Mõlemate seeriate tootmine on lõpetatud ja neile ei avaldada enam turvauuendusi.

Cisco on avalikustanud viis haavatavust, millest kolm on hinnatud kriitiliseks (CVSS skoor 9.8/10) ja kaks suure mõjuga (CVSS skoor 7.5/10) veaks. Kriitilised turvanõrkused on tähistega CVE-2024-20450, CVE-2024-20452 ja CVE-2024-20454. Suure mõjuga turvavead on tähistega CVE-2024-20451 ja CVE-2024-20453.

Nimetatud telefonide kasutajatel oleks soovitatav üle minna uuematele mudelitele, näiteks Cisco IP-telefoni mudelile 8841 või mõnele telefonile Cisco 6800 seeriast (BC).

Microsoft hoiatab Outlooki paikamata turvaveast

Microsoft avaldas nullpäeva turvanõrkuse tähisega CVE-2024-3820 (CVSS skoor 7.5/10), mille eduka ärakasutamise korral on võimalik saada ligipääs tundlikule infole. Kurjategija saadab e-kirja või sõnumi, millele on lisatud pahatahtlik link ja sellele vajutades käivitatakse kasutaja arvutis fail. Haavatavus mõjutab järgmisi Outlooki versioone: Microsoft Office 2016, Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise ja Microsoft Office 2019.

Veale peaks tulema parandus 13. augustil. Hetkel on Microsoft avaldanud leevendavad meetmed, mille leiab lisatud linkidelt (HN, Microsoft).

1Password paroolihalduris olevad kriitilised turvavead võimaldavad paroole varastada

Turvavead tähistega CVE-2024-42219 ja CVE-2024-42218 mõjutavad paroolihalduri 1Passwordi macOSi versiooni ning nende kaudu on võimalik saada ligipääs kasutaja paroolidele. Turvavead on paigatud tarkvara versioonides v8.10.36 ja  v8.10.38. Hetkel teadaolevalt ei ole kurjategijatel õnnestunud haavatavusi ära kasutada (HNS).

Olulisemad turvanõrkused 2023. aasta 51. nädalal

Avastati uus SMTP smugeldamise ründetehnika, mida kasutatakse autentimisprotokollidest mööda pääsemiseks

Teadlased avastasid, et SMTP protokolli (simple mail transfer protocol) võib ära kasutada meili saatja aadressi võltsimiseks nii, et autentimisprotokollid – nagu SPF, DKIM ja DMARC – seda ei tuvasta.

Nimelt saavad ründajad ära kasutada erinevusi selles, kuidas sissetulevad ja väljaminevad SMTP serverid tõlgendavad seda, kus täpsemalt meilis olevate andmete jada lõppeb. Teadlased selgitasid, et kui SMTP serveritel on erinev arusaam sellest, kus sõnumi andmed lõppevad, võivad ründajad nendest piiridest välja murda (SC).

Antud ründetehnika abil võib matkida miljoneid populaarseid domeene, sealhulgas Microsofti, Amazoni, PayPali, eBayd ja teisi. Osad tarnijad, nagu Microsoft ja GMX, on juba vajalikud parandused teinud, et SMTP smugeldamist ennetada. Seevastu Cisco pidas turvanõrkust hoopis featuuriks ning soovitas SMTP smugeldamise vältimiseks Cisco Secure Email Cloud Gateway ja Cisco Secure Email Gateway vaikimisi seadistused ära muuta (CT).

OpenAI väljastas vigase turvapaiga ChatGPT-le

OpenAI väljastas turvapaiga ChatGPTs olevale veale, mille abil oli võimalik lekitada vestlusi ja kasutajaandmeid.

Turvaviga tulenes sellest, et OpenAI väljastas ChatGPTs uue featuuri, mis laseb kasutajatel luua oma versioone ChatGPT-st, mis on mõeldud mingite kindlate eesmärkide täitmiseks (OA). Neid GPT-sid saab jagada ka teiste kasutajatega, andes niimoodi ründajatele võimaluse teha selliseid GPT-sid, mis saadaksid kõik kasutaja poolt sisestatud päringud kolmanda osapoole serverile. Lisaks eelmainitud päringutele saab nii kätte ka kasutaja metaandmeid (ajatemplid, kasutaja ID-d, sessiooni ID-d) ning tehnilisi detaile (IP-aadressid ja UserAgentid).

Teadur, kes selle turvavea avastas ning OpenAI-le edastas, teatas, et turvaviga saab kindlates tingimustes ikka veel ära kasutada (ET) (BC) ning praegu olemasolevatest OpenAI poolt rakendatud lisaturvameetmetest ei piisa, et kliendiandmed ohus ei oleks.

Teadurid avastasid kaks Microsoft Outlooki turvanõrkust, mida saab kombineerida koodi kaugkäituseks

Möödunud nädalal avastati Microsoft Outlookis kaks turvanõrkust, mille kombineerimise korral võib teostada koodi kaugkäitust, ilma et kasutaja peaks ise midagi tegema (DR).  Mõlemat turvanõrkust saab käivitada helifailide abil.

Esimene turvanõrkus CVE-2023-35384 oli avastatud juba märtsis ning selle abil oli ründajatel võimalik Outlookis kasutajaõigusi eskaleerida. Teine haavatavus CVE-2023-36710, mis avastati alles möödunud nädalal, on koodi kaugkäitust võimaldav turvanõrkus, mis tuleneb Windows Media Foundationi featuurist (mis on seotud sellega, kuidas Windows helisid parsib).

Selleks, et neid turvanõrkusi koos ära kasutada, tuleb CVE-2023-35384 suhtes haavatavale Outlooki kliendile saata n-ö meeldetuletus meilile, mis teeb teadete puhul kindlat heli. Ründaja võib teha nii, et meili saanud Outlooki klient päriks eelmainitud teate helina helifaili mingist suvalisest SMB serverist ja mitte turvalistest või usaldatud kohtadest. Ründaja kasutab seda ära, et tema kirja saanud meiliklient päriks pahaloomulist helifaili tema enda serverit, mis viibki koodi kaugkäituseni, CVE-2023-36710 ära kasutades (TT).

Akamai sõnul on mõlemat turvanõrkust võimalik kasutada ka eraldi, küll aga saab nõnda nende abil palju vähem kahju tekitada (DR).

Barracuda paikas uue nullpäeva turvanõrkuse, mida olid ära kasutanud Hiina häkkerid

Barracuda Networksi ESG-des (Email Security Gateway) avastati uus nullpäeva turvanõrkus CVE-2023-7102, mida oli ära kasutanud Hiina rühmitus UNC4841.  Barracuda teavitas, et nad paikasid kõik haavatavad seadmed 21. detsembril, kaasarvatud need, kus turvanõrkust on juba kuritarvitatud SeaSpy ja SaltWateri pahavara juurutamiseks (BC).

Turvanõrkus tulenes Spreadsheet:ParseEcxeli poolt kasutatavast Amavis viiruseskännerist, mis on Barracuda ESG seadmetel rakendatud. Ründajad said seda ära kasutada parameetrite süsti teostamiseks, et haavatavatel seadmetel omavoliliselt koodi käitada.

Barracuda väitis, et nende kliendid midagi tegema ei pea – intsidendi uurimine veel käib ning Barracuda paikab kõik seadmed ise (BA). Sama Hiina häkkerite rühmitus on ka eelnevalt Barracuda ESG seadmeid rünnanud – mais kasutasid nad ära CVE-2023-2868 turvanõrkust küberspionaaži eesmärkidel.

Olulised turvanõrkused 2023. aasta 12. nädalal

Avaldati ülevaade eelmisel aastal kuritarvitatud nullpäeva turvanõrkustest

Eelmisel nädalal avaldatud ülevaatest selgub, et 2022. aastal oli 55 nullpäeva turvanõrkust, mida ründajad aktiivselt ära kasutasid. 53 turvanõrkust 55-st lubasid ründajal suurendada süsteemis enda õiguseid või teostada koodi kaugkäitust. Enamik olid seotud operatsioonisüsteemide, veebilehitsejate või võrguhaldustoodetega. Nullpäeva turvanõrkusteks loetakse haavatavusi, mis avalikustatakse või mida kuritarvitatakse enne, kui sellele on olemas parandus või vastutav tootja sellest teab. Sellised turvavead on häkkerite jaoks äärmiselt väärtuslikud (BP). Ülevaatega saate tutvuda siin.

Microsoft jagas näpunäiteid Outlooki nullpäeva turvanõrkuse ärakasutamise tuvastamiseks

Eelmisel nädalal jagas Microsoft mahukat ülevaadet hiljuti avalikustatud Outlooki nullpäeva turvanõrkusest. RIA kajastas konkreetset turvanõrkust ka enda blogis. Microsofti kokkuvõte annab hea ülevaate, kuidas tuvastada, kas Outlooki nullpäeva turvanõrkust CVE-2023-23397 on jõutud ära kasutada, milliseid tehnikaid ründajad tarvitavad ning mida teha, et end haavatavuse eest kaitsta (Microsoft).

Kes ja mida peaks tegema?

Kui te kasutate Outlooki ja ei ole viimaseid turvauuendusi veel rakendanud, soovitame tungivalt seda esimesel võimalusel teha. Kindlasti soovitame lugeda ka Microsofti kokkuvõtet turvanõrkusest.

Cisco paikas IOS ja IOS XE tarkvaral kokku kümme haavatavust

Kolme turvanõrkuse abil on võimalik haavatavat tarkvara kasutava seadme tööd takistada ehk teostada teenusetõkestusrünnak. Need turvanõrkused on märgitud tähistega CVE-2023-20080, CVE-2023-20072 ja CVE-2023-20027. Esimene neist mõjutab IOS-i ja IOS XE tarkvara IPv6 DHCP versiooni 6 (DHCPv6) serveri funktsioone. Ründajal on võimalik saata mõjutatud seadmele spetsiaalselt loodud DHCPv6 sõnumeid ja põhjustada seadme ootamatu taaskäivitus. Teine haavatavus mõjutab spetsiifiliste pakettide käsitlemise koodi ja seda saab ära kasutada, saates mõjutatud süsteemile killustatud pakette. Kolmas nõrkus on seotud IPv4 Virtual Fragmentation Reassembly (VFR) funktsiooniga. Nimelt ei monteerita suuri pakette korralikult uuesti kokku, kui VFR on lubatud. Haavatavust saab ründaja siis ära kasutada, kui ta saadab killustatud paketid mõjutatud seadmele, mis kasutab VFR-i. Lisaks paigati veel mitu nõrkust (SW). Täpsema ülevaate hiljuti parandatud nõrkustest saate Cisco veebilehelt.

Kes ja mida peaks tegema?

Kui te kasutate haavatavat tarkvara, uuendage see esimesel võimalusel, et vältida võimalikku küberintsidenti.

WooCommerce’i pistikprogrammi kasutavaid veebilehti ohustab kriitiline turvanõrkus

WordPress installeerib sadadele tuhandetele veebilehtedele uuenduse, mis paikab kriitilise haavatavuse WooCommerce Payments pistikprogrammis. Turvaviga võib lubada autentimata ründajatel saada administraatori tasemel ligipääs haavatavatesse e-poodidesse. Turvanõrkus mõjutab WooCommerce Paymentsi 4.8.0 ja uuemaid versioone. Hetkel ei ole leitud ühtegi tõendit, et seda turvanõrkust oleks suudetud ära kasutada. Kõikidel veebilehtedel, mis on majutatud WordPress.com keskkonnas, Pressables või WPVIP-is, deaktiveeriti mõjutatud teenused ja parandati turvanõrkus (BP).

Kes ja mida peaks tegema?

Kui te majutate WordPressi sisuhaldusplatvormi kasutavat veebilehte enda serveris, peate manuaalselt WooCommerce’i pistikprogrammi uuendama. Selleks käituge järgnevalt:

  1. Klõpsake oma WP Admin haldusliideses pistikprogrammide menüü peale (Plugins) ja leidke sealt WooCommerce Payments plugin.
  2. Pistikprogrammi versiooninumber peaks olema kuvatud plugina nime kõrval kirjelduse veerus (Description). Kui see number ühtib numbriga 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 või 5.6.2, ei pea te midagi tegema, sest teil on parandusega versioon juba rakendatud.
  3. Kui te kasutate aga versiooni, mis ei ole eelnevas punktis välja toodud, uuendage see esimesel võimalusel. Sellisel juhul peaks WordPressi platvorm ise pakkuma võimalust vastav pistikprogramm ära uuendada.

Kui te olete enda veebilehe ära uuendanud, peaksite analüüsima, kas turvanõrkust on siiski suudetud ära kasutada. Selleks soovitatakse veenduda, et lisatud ei oleks kahtlaseid administraatori õigustega kasutajaid ega veidraid postitusi haavatavale veebilehele. Kui te leiate tõendeid turvanõrkuse ärakasutamisest, tuleks teil esimesel võimalusel ebavajalikud administraatoriõigustega kasutajad eemaldada ning uuendada legitiimsetel kasutajatel paroolid, samuti tuleks ära vahetada Payment Gateway ja WooCommerce’i API võtmed (WooCommerce).


RIA analüüsi- ja ennetusosakond