Tag Archives: QNAP

Olulisemad turvanõrkused 2024. aasta 21. nädalal

Küberkurjategijad kasutavad ära GitHubi ja FileZillat, et levitada pahavara

GitHubi ja FileZilla kaudu on hakatud levitama erinevat andmeid varastavat pahavara ja pangandustroojalisi, nagu Atomic (teise nimega AMOS), Vidar, Lumma (teise nimega LummaC2) ja Octo. Rünnete läbiviimiseks on loodud GitHubi võltsprofiilid ja koodihoidlad, mille kaudu levitatakse pahavara. Pahavara on loodud nii Androidi, macOSi kui ka Windowsi kasutajate sihtimiseks. Kasutajale jääb mulje, et ta laeb alla legitiimset tarkvara, kuid tegelikult jagatakse koodihoidlas hoopis kurjategijate loodud võltstarkvara (HN).

QNAP paikas oma NAS-seadmetes koodi kaugkäivitamist võimaldava turvavea

Taiwani tehnikatootja QNAP Systems paikas turvavea tähisega CVE-2024-27130, mille kaudu on ründajal võimalik käivitada pahaloomulist koodi. Vea kohta on avaldatud ka kontseptsiooni tõendus. Viga paigati tarkvara QTS versioonis 5.1.7.2770 ja QuTS hero versioonis h5.1.7.2770. Lisaks nimetatud veale parandati teisigi haavatavusi ja kõigil kasutajatel on soovitatav tarkvara uuendada. QNAPi seadmete haavatavusi on varasemalt rünnete läbiviimisel ära kasutatud (SW, HN).

Ivanti paikas kriitilise turvavea Endpoint Manageri tarkvaras

Ivanti paikas oma toodetes mitmeid haavatavusi, mille hulgas oli ka kriitiline koodi käivitamist võimaldav viga Endpoint Manageri (EPM) tarkvaras. Ettevõtte sõnul paigati EPMis kokku kuus kriitilist SQLi käivitamise viga, mille kaudu võib autentimata ründaja suvalist koodi käivitada. Turvavead kannavad tähiseid CVE-2024-29822 kuni CVE-2024-29827 ja neid on hinnatud kriitilise CVSS skooriga 9.6/10. Lisaks paigati haavatavusi ka Avalanche’i ja Connect Secure’i tarkvarades.

Ivanti sõnul ei ole neil infot, et turvavigu oleks õnnestunud ära kasutada, kuid sellegipoolest soovitatakse kõigil nende toodete kasutajatel tarkvara uuendada (SW).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-4985 on hinnatud maksimaalse CVSS skooriga 10/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.13.0 ja on paigatud versioonides 3.9.15, 3.10.12, 3.11.10 ning 3.12.4. Täpsemalt mõjutab haavatavus neid, kes kasutavad SAMLi single-sign-on (SSO) lahendust. Hetkel teadaolevalt ei ole õnnestunud haavatavust kuritarvitada, kuid arvestades turvavea tõsidust  soovitatakse kõigil kasutajatel siiski tarkvara uuendada esimesel võimalusel (SW, DR).

Veeam hoiatab oma kliente kriitilisest turvaveast Backup Enterprise Manageri tarkvaras

Kriitiline haavatavus tähisega CVE-2024-29849 on hinnatud CVSS skooriga 9.8/10 ning selle kaudu saab ründaja autentimisest mööda minna. Eduka ründe korral on võimalik sisse logida Veeam Backup Enterprise Manageri veebiliidesesse, justkui oleks tegemist õige kasutajaga. Turvaviga mõjutab Backup & Replicationi tarkvara versioone 5.0 kuni 12.1. Lisaks kriitilisele veale paigati veel kolm haavatavust tähistega CVE-2024-29850, CVE-2024-29851 ja CVE-2024-29852.

Vead on parandatud versioonis 12.1.2.172. Kui tarkvara uuendada ei ole võimalik, siis soovitab tootja seda ajutiselt mitte kasutada (SA, SW, BC).

GitLab paikas turvavea, mille kaudu saab konto üle võtta

Kõrge mõjuga turvaviga tähisega CVE-2024-4835 võimaldab autentimata ründajal kasutaja konto üle võtta ning saada ligipääsu piiratud teabele. See ja mitmed teised turvavead on paigatud GitLab Community Editioni (CE) ja Enterprise Editioni (EE) versioonides 17.0.1, 16.11.3 ning 16.10.6.

GitLab on populaarne sihtmärk ründajate seas, kuna seal hoitakse erinevat tüüpi tundlikke andmeid – muu hulgas näiteks API võtmeid ja tarkvara lähtekoodi. Seetõttu võivad kaaperdatud GitLabi kontod avaldada ettevõttele märkimisväärset mõju ja kaasa tuua ka tarneahela rünnaku. Näiteks võib juhtuda, et ründaja saab ligipääsu ohvri keskkonnale ning lisab sinna pahatahtlikku koodi.

CISA avaldas ka sel kuul hoiatuse, et endiselt proovitakse ära kasutada jaanuaris paigatud GitLabi haavatavust. Haavatavus tähisega CVE-2023-7028 võimaldab ründajal kasutajakonto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile. Kuna GitLabi haavatavused on tihti olnud rünnete sihtmärgiks, siis soovitame tarkvara uuendada esimesel võimalusel (BC).

Google paikas taas Chrome’i nullpäeva turvanõrkuse

Tegemist on kaheksanda Chrome’i nullpäeva turvanõrkusega sel aastal ja maikuus on paigatud juba neli nullpäeva haavatavust. Ettevõtte sõnul on turvaviga tähisega CVE-2024-5274 rünnetes ära kasutatud. Soovitame uuendada Chrome’i uuele versioonile 125.0.6422.112 esimesel võimalusel (BC, DR).

Olulisemad turvanõrkused 2024. aasta 11. nädalal

Illustratsioon: palju pisikesi tehnilisi detaile, keskel suuremalt avatud ekraaniga sülearvuti ning monitor

100 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kõrge mõjuga turvanõrkus CVE-2024-2123 mõjutab pistikprogrammi “Ultimate member” ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi skripte sisestada. Turvaauku on võimalik ära kasutada ründajal, kellel ei ole lehel õigusi. Ründe läbiviimisel saab ta endale administraatoriõigused lisada.

“Ultimate member” võimaldab WordPressi administraatoril hallata kasutajate registreeringuid, sisselogimisi, profiile ja rolle.

Pistikprogrammi kasutab umbes 200 000 WordPressi veebilehte ja eeldatavasti on pooled neist paikamata versiooniga. Viga on parandatud tarkvara versioonis 2.8.4. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW).

Microsoft paikas oma toodetes 60 haavatavust

Microsoft parandas kokku 60 haavatavust, mille hulgas oli 18 koodi kaugkäivitamist võimaldavat turvaviga. Parandatud turvavigadest on vaid kaks haavatavust hinnatud kriitilise mõjuga veaks – need mõlemad mõjutavad Microsoft Hyper-V virtualiseerimislahendust.  Turvavead tähistega CVE-2024-21407 ja CVE-2024-21408 võivad eduka ründe korral kaasa tuua koodi käivitamise ja teenuste tõkestamise. Lisaks paigati ka neli turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud linkidelt. Ükski parandatud turvavigadest ei olnud nullpäeva turvanõrkus (BCSA).

TeamCity turvanõrkuseid kasutatakse ära lunavararünnete läbiviimisel

Märtsi alguses tulid avalikuks turvavead TeamCity tarkvaras, mille kaudu on võimalik autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Kirjutasime neist haavatavustest ka siin blogis.

Turvavea avastasid Rapid7 teadurid, kes avalikustasid haavatavuste täpsema tehnilise info vaid paar tundi pärast seda, kui tarkvaratootja JetBrains oli jõudnud vead paigata. See aga tõi kaasa ründelaine – kohe pärast vea avalikustamist võtsid ründajad need sihikule ja hakkasid otsima turvapaikamata tarkvarasid.

LeakIX-nimeline projekt, mis otsib veebist haavatavaid ja valesti konfigureeritud süsteeme, nägi massilist turvavigade ärakasutamist. Nende hinnangul lõid petturid kontosid vähemalt 1400 korral. Lisaks kasutas TeamCity haavatavust tähisega CVE-2024-27198 ligipääsu saamiseks ka lunavararühmitus nimega BianLian, kes on varem rünnanud kriitilise infrastruktuuri taristut.

JetBrains on ka ise öelnud, et mitmed nende kliendid on teavitanud kompromiteeritud serveritest ja krüpteeritud failidest (SW, GS, TR).

QNAP paikas NAS-seadmete kriitilise mõjuga turvanõrkuse

QNAP paikas kriitilise turvavea tähisega CVE-2024-21899, mille kaudu on ründajal võimalik saada ligipääs NAS-seadmele. Ettevõtte sõnul mõjutab haavatavus QTS, QuTS hero ja QuTScloud tooteid. Lisaks paigati ka turvavead tähistega CVE-2024-21900 ja CVE-2024-21901, mis võivad kaasa tuua pahaloomulise koodi käivitamise. QNAP ei maini oma teavituses, et turvanõrkusi oleks õnnestunud rünnete läbiviimisel ära kasutada, kuid QNAP-toodete turvavead on varem olnud rünnete all ja seetõttu on kõigil kasutajatel soovitatav tarkvara uuendada (SW).

Fortinet paikas taas oma toodetes kriitilisi haavatavusi

Fortinet avaldas turvauuenduse, millega paigatakse FortiOSi, FortiProxy ja FortiClientEMSi tarkvarades olevad kriitilised koodi käitamise haavatavused. Turvaviga tähisega CVE-2023-42789 on hinnatud kriitilise CVSS skooriga 9.3/10 ja selle kaudu on võimalik saata kompromiteeritud seadmele pahaloomulisi HTTP-päringuid. Viga mõjutab Fortineti FortiOSi versioone 7.4.0 kuni 7.4.1, 7.2.0 kuni 7.2.5, 7.0.0 kuni 7.0.12, 6.4.0 kuni 6.4.14, 6.2.0 kuni 6.2.15 ning FortiProxy versioone 7.4.0, 7.2.0 kuni 7.2.6, 7.0.0 kuni 7.0.12, 2.0.0 kuni 2.0.13.

Lisaks paigati ka teine kriitiline turvaviga CVE-2023-48788, mis võimaldab ründajal käivitada SQLi käske. Viga mõjutab FortiClientEMS versioone 7.2 ja 7.0. Kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada. Fortineti haavatavusi on ära kasutatud nii lunavararünnakute kui ka küberspionaaži läbiviimisel. Näiteks avaldas Fortinet veebruaris, et Hiina päritolu rühmitus on kasutanud just FortiOSi turvavigasid ning saanud nende abil ligipääsu Hollandi kaitseministeeriumi võrgule (SA, BC).

Cisco paikas ruuterite turvavead

Cisco paikas mitmeid haavatavusi ruuterite tarkvaras. Nende hulgas oli kolm kõrge mõjuga turvaviga, mis mõjutavad Cisco IOS XR tarkvara ja võivad kaasa tuua nii õigustega manipuleerimise kui ka teenuste tõkestamise.

Kõrge mõjuga turvavead on tähistega CVE-2024-20318, CVE-2024-20320 ja CVE-2024-20327. Vead mõjutavad erinevaid Cisco ruuterite seeriaid – näiteks Cisco 8000 ja 5700 seeria, NCS 540 ja ASR 9000. Turvavead on parandatud IOS XR tarkvara uues versioonis (SA, Cisco).

Olulisemad turvanõrkused 2023. aasta 45. nädalal

  • Androidi operatsioonisüsteemil parandati 37 turvanõrkust

Google avalikustas Androidi operatsioonisüsteemile 2023. aasta novembri turvavärskendused, mis parandavad kokku 37 haavatavust (SW).

Turvavärskenduste esimene osa, mida pakuti alates 1. novembrist, parandab 15 turvaauku Androidi raamistiku ja süsteemi komponentides (SW).

Kõige tõsisem neist viieteistkümnest turvanõrkusest on süsteemikomponendi kriitiline turvaviga (CVE-2023-40113), mille abil on ründajal võimalik potentsiaalselt kätte saada tundlikku teavet ilma kõrgendatud õigusteta. Ülejäänud 14 turvanõrkuse abil on võimalik põhjustada mõjutatud seadme töös häireid või suurendada süsteemis õiguseid (SW).

Teine osa turvavärskendustest on saadaval alates 5. novembrist ja parandab kokku 22 Armi, MediaTeki ja Qualcommi komponentide turvanõrkust (SW).

Seadmetel, millel on 5. novembri turvavärskendused rakendatud, on olemas parandused kõigi novembris avaldatud turvanõrkuste jaoks (SW).

RIA soovitab uuendused rakendada esimesel võimalusel.

  • QNAP parandas kaks kriitilist turvanõrkust

QNAP Systems on välja andnud turvavärskendused, et kõrvaldada kaks kriitilist haavatavust, mis mõjutavad ettevõtte toodetud salvestusseadmeid (QNAP).

Esimene viga, mida tähistatakse kui CVE-2023-23368, mõjutab QTS-i, QuTS-i herot ja QuTScloudi ning võib luua ründajatele võimaluse mõjutatud süsteemides pahaloomulisi käske sisestada (QNAP).

Teine viga, mida tähistatakse kui CVE-2023-23369, mõjutab QTS-i, multimeediakonsooli ja meedia voogesituse lisandmoodulit ning võib ründajatel samuti võimaldada pahaloomulisi käske sisestada (QNAP).

Mõjutatud tooteversioonid ja versioonid, kus turvavead on parandatud, on loetletud QNAPi ametlikus ülevaates (QNAP). Mõjutatud seadmetel tuleks turvavärskendused kohe rakendada, eriti seetõttu, et QNAPi seadmeid on ajalooliselt lunavararünnakute käigus sihitud.

  • Nullpäeva turvanõrkust kasutati Clopi lunavara paigaldamiseks

Pahalased kasutasid ära SysAidi IT-tugitarkvara nullpäeva haavatavust, et saada ettevõtte serveritele juurdepääs ja krüpteerida need Clopi lunavaraga. SysAid on IT-teenuste halduse (ITSM) lahendus, mis pakub tööriistakomplekti erinevate IT-teenuste haldamiseks organisatsiooni sees.

Haavatavus, mida tähistatakse kui CVE-2023-47246, võimaldab pahaloomulist koodi vabalt käivitada. Haavatavus avastati 2. novembril pärast seda, kui häkkerid kasutasid seda SysAidi serveritesse sissemurdmiseks. Clopi lunavara puhul on sageli kasutatud tarkvarade nullpäeva haavatavusi, et serveritesse tungida ja antud lunavaraga süsteemid krüpteerida.

SysAid on kutsunud enda tarkvara kasutajaid uuendama tarkva vähemalt versioonile 23.3.36 ning süsteemilogid üle vaatama (SysAid). Täpsemad juhised selleks leiate siit.

  • Looney Tunables nimelist turvanõrkust kasutatakse pilvekeskkondades majutatud süsteemide ründamiseks

Haavatavust Looney Tunables kuritarvitatakse, et rünnata pilvekeskkondades majutatud süsteeme. Turvanõrkus, mida tähistatakse ka kui CVE-2023-4911, mõjutab suuremaid Linuxi distributsioone, sealhulgas Debian, Gentoo, Red Hat ja Ubuntu. See võimaldab ründajal käivitada kõrgendatud õigustega suvalist koodi (SW).

Ründeid on seostatud Kinsingi rühmitusega, mis on tuntud oma Linuxi pahavara juurutamise poolest konteinerkeskkondades. Rühmituse lõppeesmärk on olnud krüptovaluuta kaevandamistarkvara kohaletoimetamine kompromiteeritud süsteemidesse. Nüüd on täheldatud, et rühmitus üritab ära kasutada Looney Tunablesi osana “uuest eksperimentaalsest kampaaniast”, mille eesmärk on üle võtta pilvekeskkondades majutatud süsteeme (Aquasec).

Täpsemalt saab rünnakukampaania kohta lugeda siit.

  • Isiklikule Google’i kontole salvestatud töökonto kasutajatunnused põhjustasid Okta küberintsidendi

Identiteedi- ja autentimishalduse pakkuja Okta on avalikustanud, et ettevõtte tugisüsteemi hiljutine kompromiteerimine mõjutas 134 tema 18 400 kliendist. Rikkumine viidi läbi kompromiteeritud teenusekonto kaudu, millel oli õigus vaadata ja värskendada klienditoega seotud juhtumeid (Okta).

Teenusekonto kasutajanimi ja parool olid salvestatud töötaja isiklikule Google’i kontole. Ründaja sai tänu üle võetud teenusekontole volitamata juurdepääsu 134 Okta kliendiga seotud failidele. Ettevõte on võtnud kasutusele mitmeid meetmeid, et tulevikus sarnaseid intsidente ära hoida, sealhulgas eemaldanud kompromiteeritud teenusekonto, blokeerinud isiklike Google’i kontode kasutamise Okta hallatavates seadmetes ning juurutanud oma klienditoe süsteemis täiendavad tuvastamisreegleid (HNS).