Tag Archives: pahavara

Olulisemad turvanõrkused 2024. aasta 31. nädalal

Uus Androidi pahavara teeb ohvri pangakontod tühjaks ning kustutab seadmes olevad andmed

BingoMod’i nimeline Androidi pahavara varastab ohvrite pangakontodelt raha ning seejärel kustutab kõik andmed kompromiteeritud seadmelt. See pahavara levib peamiselt SMS-sõnumite kaudu, teeseldes legitiimseid turvatööriistu (nagu näiteks APP Protection, Antivirus Cleanup, Chrome Update jne). Google’i sõnul on võimalik pahavarast hoiduda, kui rakendada seadmes Play Protect (BC).

CISA hoiatab VMware ESXi turvanõrkuse eest, mida kasutatakse ära lunavararünnakutes

Shadowserveri teadurite sõnul on enam kui 20 000 internetile avatud seadet turvanõrkuse (CVE-2024-37085) tõttu ohus. Microsoft hoiatas, et mitmed lunavararühmitused on võtnud nimetatud haavatavuse sihikule ja proovivad selle kaudu ründeid läbi viia.

Haavatavus tähisega CVE-2024-37085 mõjutab VMware ESXi tarkvara ja võimaldab ründajatel lisada uusi administraatori õigusega kasutajaid ESX Admins gruppi. Viga on paigatud tarkvarades ESXi 8.0 ja VMware Cloud Foundation 5.x. Vanematele versioonidele ESXi 7.0 ja VMware Cloud Foundation 4.x ei ole plaanis turvauuendusi avaldada. Toetamata versioonide kasutajatel soovitatakse turvavärskenduste ja toe saamiseks minna üle uuematele versioonidele.

CISA nõuab, et USA agentuurid paikaksid oma servereid VMware ESXi turvanõrkuse vastu. (BC, SA, Microsoft).

Massiivne SMS-stealer’ite kampaania sihib Androidi seadmeid

Androidi seadmetele suunatud pahaloomuline kampaania kasutab tuhandeid Telegrami roboteid, et levitada SMS-sõnumeid varastavat pahavara. Mobiiliturbe-ettevõtte Zimperiumi uurijad on 2022. aasta veebruarist saati avastanud vähemalt 107 000 erinevat pahavara, mis on eelmainitud kampaaniaga seotud. Pahvara kampaania on jõudnud 113 riiki (BC).

Apple paikas oma operatsioonisüsteemides mitmeid haavatavusi

Apple avaldas uue iOSi ja iPadOSi versiooni 17.6, milles on parandatud mitmeid haavatavusi. Turvavead võimaldavad autentimisest mööda minna, teavet avalikustada, teenuseid tõkestada ning põhjustada mälulekkeid ja rakenduste töö ootamatut peatumist.

Haavatavused mõjutavad järgmisi Apple’i rakendusi: AppleMobileFileIntegrity, Kernel, WebKit, CoreGraphics, CoreMedia, dyld, Family Sharing, ImageIO, libxpc, Phone. Phone Storage, Sandbox, Shortcuts, Siri, and VoiceOver.

Vead mõjutavad erinevaid Apple’i operatsioonisüsteeme ja rakendusi nagu iOS, macOS, tvOS, visionOS, watchOS ja Safari.

Ettevõte andis välja ka iOS 16.7.9 ja iPadOS 16.7.9 värskendused, et parandada vanemate iPhone’i ja iPadi seadmete turvaauke.

Ettevõte ei avaldanud, et kas turvanõrkusi on juba kuritarvitatud. Kõigil Apple’i seadmete kasutajatel on soovitatav uuendada tarkvara (SA, Apple).

CISA hoiatas Avtechi kaamerate turvavea eest

CISA hoiatas turvanõrkuse CVE-2024-7029 eest, mis mõjutab Avtechi kaameraid ja mida on õnnestunud rünnete läbiviimisel kuritarvitada. Eduka ründe korral saab kurjategija käivitada erinevaid käsklusi. Täpsemalt on mõjutatud Avtechi AVM1203 IP-kaamerad (SA).

Olulisemad turvanõrkused 2024. aasta 28. nädalal

Netgeari ruuterid sisaldasid XSS-i ja autentimisest möödapääsemist võimaldavaid turvanõrkusi

Netgear palub klienditel oma seadmete püsivara uuendada, et paigata skriptisüsti ja autentimisest möödapääsemist võimaldavaid turvanõrkusi (BC). Antud turvanõrkusi võib ära kasutada kasutajate sessioonide varastamiseks, pahaloomulistele veebilehtedele ümbersuunamiseks ja varjatud andmete varastamiseks.

XSS-i turvanõrkus (PSV-2023-011) mõjutab Netgeari XR1000 Nighthawki ruutereid ning autentimisest möödasaamist võimaldav turvanõrkus mõjutab CAX30 Nighthawk AX6 6-Streami ruutereid.

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 150 000 WordPressi veebilehe on mõjutatud Modern Events Calendari pistikprogrammis olevast haavatavusest tähisega CVE-2024-5441, mille kaudu võib ründaja laadida pahaloomulisi faile veebilehele ja käivitada suvalist koodi.

Wordfence’i sõnul tuleneb viga sellest, et plugina “set_featured_image” funktsioonis (kasutatakse sündmuste piltide üleslaadimiseks) puudub faili tüübi valideerimise võimalus, mistõttu võib sinna üles laadida ka kahtlaseid .PHP faile (WF).

Viga mõjutab kõiki plugina versioone kuni 7.12.0, milles on haavatavused paigatud. Wordfence’i raporti kohaselt on häkkerid võtnud turvanõrkuse sihikule ja proovivad seda rünnetes ära kasutada. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (BC).

Adobe paikas oma tarkvarades kriitilisi vigu

Adobe paikas seitse haavatavust, mis mõjutavad tarkvarasid Adobe Premiere Pro, Adobe InDesign ja Adobe Bridge. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ning ohustatud on nii Windowsi kui ka Maci kasutajad.

Mõjutatud on järgmised tooted:

  • Adobe Premiere Pro (CVE-2024-34123) — Mõjutatud versioonid: 24.4.1 ja varasemad, 23.6.5 ja varasemad (Windows ja macOS). CVSS 7.0/10.
  • Adobe InDesign (CVE-2024-20781, CVE-2024-20782, CVE-2024-20783, CVE-2024-20785) — Mõjutatud versioonid: ID19.3 ja varasemad, ID18.5.2 ja varasemad (Windows ja macOS). (CVSS 7.8/10).
  • Adobe Bridge (CVE-2024-34139, CVE-2024-34140). Mõjutatud versioonid:** 13.0.7 ja varasemad, 14.1 ja varasemad (Windows and macOS). (CVSS 7.8).

    Adobe’i sõnul pole haavatavusi rünnete läbiviimisel veel kuritarvitatud (SW).

Windowsi MSHTML nullpäeva turvanõrkust on juba üle aasta pahavararünnakutes ära kasutatud

Microsoft paikas Windowsi nullpäeva turvanõrkuse, mida on juba 18 kuud ära kasutatud pahaloomuliste skriptide käivitamiseks, vältides Windowsi sisseehitatud turvameetmeid (BC).

Sisult saab selle turvanõrkuse abil sundida ohvri seadet avama mingit pahaloomulist URL-i Internet Exploreri veebilehitsejaga, kasutades mhtml: URI funktsiooni. Nõnda on ründajatel kergem pahavara ohvrite seadmetesse juurutada, kuna Internet Explorer hoiatab pahaloomulistest failidest palju vähemal määral, kui teised veebilehitsejad.

Antud turvanõrkuse (tähisega CVE-2024-3811) avastasid Check Point Researchi teadlased 2024. aasta maikuus ja edastasid info Microsoftile, kuid teadlase sõnul avastasid nad turvanõrkuse ära kasutamise jälgi, mis ulatusid koguni 2023. aasta jaanuarini.

Olulisemad turvanõrkused 2024. aasta 18. nädalal

Habemega mees istub arvuti taga, käed klaviatuuril, monitoril tekstiread, Taamal värviline valgus

Androidi pahavara levitatakse WordPressi veebilehtede kaudu

Uut Androidi pahavara, mida nimetatakse “Wpeeper” levitatakse häkitud WordPressi veebilehtede kaudu. Kasutajale jäetakse näiliselt mulje, et ta laeb tarkvara alla usaldusväärsest rakenduste poest, kuid tegelikult on tegemist pahavaraga. Wpeeperi peamine eesmärk on varastada kasutaja andmeid, kuid lisaks võimaldab see ka palju muid tegevusi – näiteks on võimalik selle abil teada saada info kõigi seadmesse installitud rakenduste kohta. Et vältida selliseid riske nagu Wpeeper, on soovitatav installida rakendusi ainult Androidi ametlikust rakenduste poest Google Play ja samuti veenduda, et Play Protect teenus on aktiveeritud (BC).

Programmeerimiskeele “R” haavatavus võib põhjustada tarneahela rünnakuid

Programmeerimiskeeles “R” olevat turvaviga tähisega CVE-2024-27322 saab ära kasutada suvalise koodi käivitamiseks ja seeläbi kasutada osana tarneahela rünnakust. Avatud lähtekoodiga programmeerimiskeel R toetab andmete visualiseerimist, masinõpet ja statistilist andmetöötlust ning seda kasutatakse laialdaselt statistilise analüüsi tegemiseks erinevates valdkondades.

Turvavea ära kasutamiseks tuleb häkkeril kirjutada fail üle ning tagada koodi automaatne käivitamine pärast faili laadimist. Eduka ründe jaoks peab ohver avama oma seadmes kas RDS (R Data Serialization) või RDX (R package) faili. Kuna taolisi faile jagatakse ja hoitakse tihti GitHubis, siis on see potentsiaalne meetod rünnete läbiviimiseks. Viga on paigatud R Core versioonis 4.4.0 (SW, BC).

Aruba Networking paikas neli kriitilist turvaviga ArubaOS tarkvaras

HPE Aruba Networking paikas kümme haavatavust ArubaOS operatsioonisüsteemis, millest neli olid koodi kaugkäivitamist võimaldavad kriitilised turvavead. Kriitilise mõjuga turvavead on hinnatud CVSS skooriga 9.8/10 ja neid tähistatakse CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 ja CVE-2024-33512. Ülejäänud kuus paigatud viga on keskmise mõjuga haavatavused.

Turvavigadest on mõjutatud mitmed erinevad Aruba Networking tooted ja tarkvarad ning ettevõte soovitab kõigil kasutajatel uuendada ArubaOS kõige värskemale versioonile. Turvavead on paigatud ArubaOS versioonides 10.6.0.0, 10.5.1.1, 10.4.1.1, 8.11.2.2, 8.10.0.11 ja uuemad (BC).

1400 GitLabi serverit on endiselt turvanõrkuse tõttu ohus

USA küberagentuuri CISA sõnul on jaanuaris avalikuks tulnud GitLabi turvavea tähisega CVE-2023-7028 tõttu endiselt ohus 1400 serverit. Samuti on nüüdseks leidnud kinnitust, et haavatavust on õnnestunud kuritarvitada. Nimetatud haavatavus on hinnatud maksimaalse CVSS skooriga 10/10 ning see võimaldab ründajal kasutaja konto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile.

Viga paigati juba jaanuaris ning kõigil kasutajatel tuleks üle kontrollida, kas neil on kasutusel tarkvara viimane versioon (SW).

Kanada apteegikett “London Drugs” sulges küberrünnaku tagajärjel kõik apteegid Lääne-Kanadas

Kanada apteegikett sattus küberründe ohvriks ja pidi seetõttu apteegid sulgema. Intsidendi avastamise järel võeti kohe kasutusele vastumeetmed oma võrgu ja andmete kaitsmiseks ning samuti kaasati lahendamisse välised küberjulgeolekueksperdid. London Drugsi sõnul ei ole hetkel põhjust arvata, et nende töötajate või klientide andmed oleksid küberintsidendist mõjutatud. Täpsemat infot intsidendi põhjuste kohta ei ole veel avaldatud.

Küberintsident tuli avalikuks 28. aprillil, misjärel apteegid jäid suletuks kuueks päevaks. Nüüd on hakatud neid järk-järgult uuesti avama, kuid mitmed apteegid on endiselt klientidele suletud. Viimasel ajal on sagenenud tervishoiusektori vastu suunatud ründed. Näiteks tabas aprillis Cannes’is asuvat suurhaiglat küberrünnak ja veebruaris oli häiritud Change Healthcare tarkvara kasutavate apteekide töö üle USA (BC, DR, TR).

Change Healthcare’i häkiti, kasutades varastatud Citrixi kontot, millel puudus mitmikautentimine

Veebruaris tuli avalikuks küberrünnak, mis häiris apteekide tööd üle kogu USA. Apteekidele tarkvara pakkuv Change Healthcare oli sunnitud küberrünnaku järel sulgema osa oma süsteemidest. See tähendas, et mitmed apteegid üle kogu USA ei saanud kontrollida, kas patsientidel on ravikindlustus, kas neil on õigus retseptiravimitele, soodustustele jmt. Intsident põhjustas hinnanguliselt 872 miljoni suuruse kahju.

Nüüd selgus, et ründe taga oli BlackCati-nimeline lunavararühmitus, kes said ligipääsu varastatud kasutajaõiguste kaudu, millega siseneti ettevõtte Citrixi kaugtöölauateenusesse. Change Healthcare ei olnud seadistanud mitmefaktorilist autentimist. Ei ole teada, kas kasutajaõiguste info varastati andmepüügirünnaku või teavet varastava pahavara kaudu (BC).