Tag Archives: RIA

Olulised turvanõrkused 2023. aasta 29. nädalal

Tuhanded Citrixi serverid on haavatavad kriitilise turvanõrkuse vastu

Tuhanded avalikust võrgust kättesaadavad Citrixi Netscaler ADC ja Gateway serverid on haavatavad rünnakute suhtes, mis kasutavad ära kriitilist koodi kaugkäivitamise (RCE) viga CVE-2023-3519. Praeguseks on välja tulnud, et ründajatel on õnnestunud juba ka haavatavaid organisatsioone edukalt rünnata. Näiteks avalikustas USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) möödunud neljapäeval, et seda haavatavust kuritarvitati ühe USA kriitilise infrastruktuuri organisatsiooni vastu. Konkreetse intsidendi käigus paigaldati haavatavasse süsteemi pahavara, mille abil üritati erinevaid andmeid koguda ja nii teistesse süsteemidesse edasi liikuda (CISA).

Kes ja mida peaks tegema?

Haavatavus mõjutab NetScaler Application Delivery Controlleri (ADC) ja NetScaler Gateway tooteid.  Haavatavad versioonid on välja toodud tootja kodulehel. Kui te antud tooteid kasutate, veenduge, et need kasutaksid vastavat turvaparandustega tarkvara.

Apache OpenMeetings tarkvarast leiti kõrge mõjuga turvavead

Kokku avalikustati kolm haavatavust, mis lubavad ründajatel käivitada haavatavates süsteemides pahaloomulist koodi. Turvanõrkuseid tähistatakse nimetustega CVE-2023-28936, CVE-2023-29023 ja CVE-2023-29246. OpenMeetings on rakendus, mida saab kasutada näiteks videokõnede või esitluste tegemiseks. Seda on alla laaditud rohkem kui 50 000 korda ja seda pakutakse pistikprogrammina ka sellistele tarkvaradele nagu Jira, Confluence või Drupal. Kõik eelnev ning asjaolu, et seda võidakse kasutada tundlikeks aruteludeks või koosolekuteks, muudavad konkreetsete turvanõrkuste vastu haavatavad süsteemid ründajatele atraktiivseteks sihtmärkideks (Sonar).

Kes ja mida peaks tegema?

Kui te antud tarkvara kasutate, siis veenduge, et teie tarkvara kasutaks vähemalt versiooni 7.1.0. Sellisel juhul haavatavused teile ohtu ei kujuta.

Oracle parandas üle 75 kriitilise turvanõrkuse

Oracle avalikustas erinevatele tarkvaradele juulikuu turvauuendused, mille abil parandati 508 turvanõrkust, nendest vähemalt 75 kriitilist haavatavust. Turvavigade seas on rohkem kui 350 viga, mida saab ründaja kasutada autentimata. Parandused said muuhulgas nii MySQLiga kui ka finantsteenustega seotud tarkvarad (SW, Oracle).

Kes ja mida peaks tegema?

Kõik turvauuendused saanud tarkvarad on välja toodud tootja kodulehel siin. Kui te antud ettevõtte tooteid kasutate, soovitame nimekirjaga tutvuda ja kontrollida, kas teie tarkvarad vajavad uuendamist.

Mitmed robotvõrgustikud üritavad aktiivselt kompromiteerida Zyxeli võrguseadmeid

Lähikuudel on robotvõrgustikud üritanud üha aktiivsemalt kompromiteerida haavatavaid Zyxeli võrguseadmeid (Fortinet, Rapid7, SA). Robotvõrgustikud koosnevad komrpomiteeritud seadmetest, mida kasutatakse erinevatel pahaloomulistel eesmärkidel, sageli ka ummistusrünnakute (DDoS-rünnakute) teostamiseks. Robotvõrgustike haldurid otsivad järjepidevalt aga üha uusi haavatavaid seadmeid, mida võrgustikega liita.

Zyxel avalikustas paar kuud tagasi, et mitmeid nende pakutavaid tulemüüre ohustab kriitiline haavatavus CVE-2023-28771, mille abil on võimalik pahaloomulist koodi käivitada. Haavatavus mõjutab Zyxeli ZyWALL/USG seeria püsivara versioone 4.60 kuni 4.73, VPN-seeria püsivara versioone 4.60 kuni 5.35, USG FLEX seeria püsivara versioone 4.60 kuni 5.35 ja ATP seeria püsivara versioone 4.60 kuni 5.35.

Kuna haavatavuse jaoks on kättesaadav kontseptsiooni tõendus (PoC), siis ongi robotvõrgustikud üritanud leida just selle turvavea vastu haavatavaid seadmeid, eriti Kesk-Ameerikas, Põhja-Ameerikas ja Aasias. Põhjalikumalt on võimalik selle teema kohta lugeda eelmisel nädalal avaldatud analüüsist siin.

Kes ja mida peaks tegema?

Kui te vastavaid Zyxeli võrguseadmeid kasutate ning need kasutavad haavatavat tarkvara, uuendage need esimesel võimalusel. Täpsema ülevaate parandatud versioonidest leiate tootja kodulehelt siit.

Olulised turvanõrkused 2023. aasta 15. nädalal

Microsoft paikas 97 haavatavust

Microsoft paikas uuenduste teisipäeva raames 97 haavatavust, sealhulgas ühe aktiivselt kuritarvitatud nullpäeva turvanõrkuse (CVE-2023-28252). CVE-2023-28252 abil on ründajatel võimalik saada kompromiteeritud süsteemis kõrgendatud õigused. Parandatud haavatavuste seas on seitse koodi kaugkäitust võimaldavat kriitilist turvanõrkust, nendest üks on seotud MSMQ teenusega (CVE-2023-21554). CVE-2023-21554 haavatavust on lihtne ära kasutada ja selle tagajärjed võivad olla tõsised (BP).

Kes ja mida peaks tegema?

Nimekirja kõikidest turvanõrkustest koos mõjutatud tarkvaradega leiate siit. Haavatavad tarkvarad soovitame uuendada esimesel võimalusel.

11. aprillist puudub Exchange Serveri 2013 tootjapoolne tugi

RIA tuletab meelde, et 11. aprillist ei toeta Microsoft enam Exchange Server 2013 tarkvara. See tähendab seda, et see tarkvara ei saa vea- ega turvaparandusi, mille tõttu võib ründajatel ajapikku olla lihtsam Exchange Server 2013 kasutavatele süsteemidele ligi pääseda. Samuti kaotasid 11. aprillil tootjapoolse toe Skype for Business 2015 ja MS Office 2013. Kui te neid tarkvarasid endiselt kasutate, soovitab RIA tungivalt üle minna uuemate lahenduste peale. Täpsemalt saate antud teema kohta lugeda siit ja RIA kodulehelt.

Chrome’il paigati nullpäeva turvanõrkus

Google parandas Chrome’i uue versiooniga 112.0.5615.121 selle aasta esimese nullpäeva turvanõrkuse (CVE-2023-2033), mida on rünnakutes juba ka ära kasutatud. Turvanõrkus mõjutab Windowsile, macOSile ja Linuxile mõeldud Chrome’i sirvikuid. Tavaliselt on võimalik antud tüüpi haavatavusega ainult veebilehitseja töö peatada, kuid teatud juhtudel saab sellega käivitada ohustatud seadmetes ka pahaloomulist koodi (BP, Chrome).

Kes ja mida peaks tegema?

Kui te Chrome’i kasutate, uuendage see esimesel võimalusel. Juhised selleks leiate siit.

Viie aasta jooksul nakatati pahavaraga vähemalt miljon WordPressi veebilehte

Sucuri uurimus paljastas, et viie aasta jooksul kompromiteeriti erinevate pistikprogrammide ja teemade haavatavuste kaudu vähemalt miljon WordPressi veebilehte. Kui ründajatel õnnestus pahaloomuline kood veebilehele lisada, suunas see lehe külastajad ümber erinevatele petulehtedele. Pahaloomulisi skripte kasutati ka veebilehega seotud logide uurimiseks, kasutajatunnuste varastamiseks ja teisteks pahaloomulisteks tegevusteks (Sucuri).

Kes ja mida peaks tegema?

Konkreetne uurimus näitab taas, et tarkvarade uuendamine on väga oluline. Seetõttu soovitab RIA regulaarselt kontrollida, kas tarkvaradele pakutakse uuendusi. Kui jah, rakendage need esimesel võimalusel.

SAP paikas kaks kriitilist turvanõrkust

SAP avalikustas turvauuendused, mis sisaldavad parandusi muuhulgas kahele kriitilisele haavatavusele (CVE-2023-27267, CVE-2023-28765). Need mõjutavad SAP Diagnostics Agenti ja SAP BusinessObjects Business Intelligence platvorme. Nende turvanõrkuste abil on ründajatel võimalik süsteeme ja kasutajakontosid üle võtta (BP).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tooteid, veenduge, et need oleksid uuendatud. Lisainfot leiate ettevõtte kodulehelt.

Adobe paikas enda toodetel 56 haavatavust

Adobe paikas enda toodetes vähemalt 56 turvanõrkust, millest mõne abil on saavad ründajad käivitada pahaloomulist koodi. Kriitilisemad haavatavused mõjutavad Adobe Acrobati ja Readeri tarkvarasid. Turvavead lubavad samuti süsteemis õigusi suurendada ja turvafunktsioonidest mööda pääseda (SW, Adobe).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvarasid, uuendage need esimesel võimalusel.

Fortineti tarkvara haavatavus võimaldab andmebaasidele ligi pääseda

Eelmisel nädalal teavitas Fortinet, et FortiPresence’i tarkvara mõjutab kriitiline haavatavus (CVE-2022-41331). Turvanõrkuse kaudu võib ründaja teoreetiliselt ligi pääseda andmebaasidega seotud süsteemidele (Redis, MongoDB). Ründajal on võimalik haavatavust ära kasutada kaugelt, samuti ei ole vaja tal end selleks autentida.  Lisaks paikas Fortinet enda erinvatel toodetel ka palju teisi turvanõrkuseid (SW).

Kes ja mida peaks tegema?

CVE-2022-41331 mõjutab FortiPresence’i versioone 1.0, 1.1 ja 1.2 ning see on paigatud versioonis 2.0.0. Nimekirja kõikidest parandatud nõrkustest leiate siit.


RIA analüüsi- ja ennetusosakond

RIA juht Margus Noormaa: e-riigi areng sõltub poliitilistest otsustest

Riigikontrolör Janar Holm ütles eelmise nädalal Postimehes, et e-riigi strateegiline eesmärk ei saa olla olemasolevate süsteemide putitamine, vaid progress. Tema nägemus riigist kui arhitektist, mitte sanitaarremondi tegijast, on igati asjakohane ning ka ootuspärane.

Küberruumis on kõik riigid teineteise naabrid, mistõttu tuleb osata kaitsta end mahukate rünnakute eest. FOTO: RIA

Digiriigi eesmärk peab olema ambitsioonikas. Praegu on meie prioriteet hoida ja kaitsta tehtut, kuid soov luua uusi ja paremaid võimalusi ei ole kuskile kadunud. Lihtsalt nende eesmärkide seadmine ja saavutamine eeldab tugevat poliitilist soovi ja tuge.

Oleme 20 aasta jooksul üles ehitanud turvalise ja mugava e-ühiskonna, mille sarnast mujal maailmas ei leia. Selle aja jooksul oleme andnud 1,3 miljardit digiallkirja ning e-teenustesse logitakse e-identiteedi vahendiga ca 5 miljonit korda kuus. Meil on riigi ja eraettevõtluse peale kokku üle 5000 unikaalse e-teenuse ning eesseisva kohalike valimiste ajal saame anda juba 12. korda e-hääle.

E-riigi selgroo X-tee kaudu tehakse kuus juba üle 200 miljoni päringu ning selle turvalise andmevahetuse kiirteega on liitunud üle 600 ettevõtte ja asutuse. Rohkem kui 90% riigiasutustest kasutab turvalist ja kiiret internetiühendust, mida pakub RIA riigivõrk. Võrguliiklust ja seal taga olevaid seadmeid jälgib 24/7 töötav riiklik intsidentide lahendamise tiim CERT-EE, kes registreerib aastas tuhandeid intsidente ning hoiab ära kordades rohkem süsteemidesse pääsemise katseid.

Praegune õigusruum on võrreldes 10 ja 20 aasta taguse ajaga oluliselt muutunud. 2018. aastal vastuvõetud küberturvalisuse seadus andis meile paremad võimalused riigina sekkuda ja aidata ettevõtteid intsidendi korral. Selged nõuded teevad asutuste elu lihtsamaks – neile on teada, mida neilt oodatakse.

Sõltuvus muudab meid haavatavaks

Eesti digiriigi tervis on päris hea. Riik ei ole kannatanud küberrünnakute tagajärjel olulise mõjuga kahjusid nagu USA, Suurbritannia või mõni teine suurriik ning Eesti inimesed usaldavad ja kasutavad e-teenuseid. Meie vähene puutumus ülemaailmsetest küberrünnakutest ei ole tingitud üksnes heast võimekusest süsteemi kaitsta, vaid sellest, et võrreldes suurriikidega ei ole me veel nii ahvatlev saak.

Miks peaks kurjategija murdma maha hästi kaitstud ust, kui on olemas avaus, mille kaudu pääseb lihtsamalt sisse. Kui uksi aga korralikult ei lukustata ega kaitsta, siis varem või hiljem saab meist sihtmärk. Seega on aja küsimus, millal kurjategijad meieni jõuavad ning selleks, et ellu jääda, tuleb ettevalmistusi teha juba täna. Õpime teiste vigadest.

Meie vähene kokkupuutumine ülemaailmsete küberrünnakutega on tingitud ka sellest, et suurriikidega võrreldes ei ole me veel nii ahvatlev saak.

Eesti muudab haavatavaks suur digiteenustest sõltuvus. IT ei ole täna tugiteenus, vaid digitaalsed lahendused on põimunud igasse elu valdkonda, aidates asju teha kiiremini, mugavamalt ja odavamalt. E-pangandus ei ole lihtsalt mugavus, vaid see ongi peamine viis, kuidas pank ja kliendid asju ajavad.  Ilmselt ei ole Eestis ühtegi valdkonda, kus ei oleks kasutusel digitaalseid lahendusi. Seetõttu oleme kogenud e-teenuste kasutajatena muutunud mugavaks ja nõudlikuks. Oleme pahased, kui mobiil-ID teenus on pool tundi häiritud või kirume riigijuht ja -asutusi, kui ei pääse pärast esimesi katseid digiregistratuuri, teades, et seda proovib samal ajal teha pool Eesti elanikkonnast.

Oleme unustanud, milline oli asjaajamine enne digiallkirja ja e-teenuste saabumist. On päris raske ette kujutada, kuidas muu maailm veel tänase päevani allkirjaga dokumente faksiga edastab. Kõik see pahameel on suuresti õigustatud, selline peabki olema nõudliku digiühiskonna suhtumine, sest mistahes digiriigi tagasilöögi puhul saab häiritud paljude inimeste elu. Oleme seda häiritust näinud korduvalt ka tervisekriisi lahendamise ajal.

Poliitilised otsused peavad toetama IT arengut

20 aastaga ehitatud süsteemid vajavad pidevat hoolt ja edasiarendamist. Täna sõltume digiriigi arendustes peaasjalikult Euroopa Liidu erinevateks projektideks ja toetusteks mõeldud rahast. Keeruliseks teeb olukorra see, kui seda raha ei õnnestu planeeritult saada või kui puuduvad võimalused vajaliku omafinantseeringu katmiseks. Rääkimata iga IT-arendusega vältimatult kaasnevatest püsikuludest. Ja rõhutamata infoturvet, mis on tänasel päeval lahutamatu osa kõigis IT-valdkonna tegemistes.

Ettevõtlus- ja infotehnoloogiaministri portfeli on tänavu jaanuarist reformierakondlase Andres Suti hoida. FOTO: Sander Ilvest

Seetõttu on ülimalt oluline, kuidas suhtuvad küberturvalisuse tagamisse meie riigi esindajad, ettevõtete juhid ning poliitika ja avaliku arvamuse kujundajad. Ja kuidas see seisukoht avaldub tegudes – otsustes ja eelarves.

Täna kuulub ettevõtlus- ja IT-ministri portfelli hulka erinevaid olulisi valdkondi alates transpordist kuni energeetikani välja. IKT-ga seotud küsimused on ühed paljude seast. Kui meie eesmärgiks on jätkuvalt edasi arendada e-riigi võimalusi, pakkuda maailma tasemel turvalisust ning olla seejuures teistele riikidele teenäitajaks, siis võib jääda väheks, kui IT on portfelli üks osa, vaatamata portfelli omaniku võimekusele. IT vajab tõhusamat esindatust poliitilisel tasandil valdkondliku ekspertiisi tasemel. Nii oskaksime riigina paremini hinnata otsuste mõju infosüsteemidele, sest suur osa otsustest on seotud IT-lahendustega. Digiriik on meie loodusvara ning see väärib suuremat tähelepanu. IT-ministeerium looks eeldused, et IKT valdkonna teemad on pidevalt ja läbivalt valitsuse tasandil parimal võimalikul moel esindatud.  

Aeg on küsida, kas digiriik saab Eestis sama palju tähelepanu kui väljaspool riigipiire.

Täna oleme veel paljudele riikidele eeskujuks ning meie saadikud on nõutud eksperdid, kes aitavad ehitada küberkogukonda erinevates maailmajagudes. Sügisel avab Dominikaani vabariik meie ekspertide vedamisel Ladina-Ameerika ja Kariibi mere piirkonna küberoivakeskuse. Botswanas aitasime nullist üles ehitada sellist riiklikku küberintsidenntide käsitlemise üksust nagu meie CERT-EE. Need on vaid mõned näited paljude seast, kuhu RIA panustab, rääkimata Eesti riigi kui terviku pingutustest.

Aeg on küsida, kas digiriik saab Eestis sama palju tähelepanu kui väljaspool riigipiire. Turvalise ja areneva e-riigi fassaadi tekivad tasapisi mõrad, kui sisemus jääb tähelepanuta.

Margus Noormaa
Riigi Infosüsteemi Ameti peadirektor

Artikkel ilmus 27. mail 2021 ajalehes Postimees.