Tag Archives: Samba

Olulised turvanõrkused 2022. aasta 50. nädalal

Fortinet paikas FortiOSi SSL-VPNi turvanõrkuse

Fortinet teavitas, et paikas FortiOSi SSL-VPNi turvanõrkuse. Turvaviga on hinnatud kriitiliseks skooriga 9.3/10.0 ja tähistatakse CVE-2022-42475. Turvaviga võimaldab autentimata ründajal pahatahtlikku koodi kaugkäivitada. Kuna FortiOSi tarkvara kasutatakse maailmas laialdaselt, siis pakuvad need haavatavused ka küberkurjategijatele huvi ja neid kasutatakse tihti rünnete läbiviimiseks. Ettevõtte kinnitusel on ka turvaviga CVE-2022-42475 rünnetes ära kasutatud (SA, BP, Fortinet).  

Kes ja mida peaks tegema?

Fortineti hinnangul mõjutab turvanõrkus CVE-2022-42475 FortiOSi versioone 7.2.0 kuni 7.2.2, 7.0.0 kuni 7.0.8, 6.4.0 kuni 6.4.10, 6.2.0 kuni 6.2.11 ning FortiOS-6K7K versioone 7.0.0 kuni 7.0.7, 6.4.0 kuni 6.4.9, 6.2.0 kuni 6.2.11 ja 6.0.0 kuni 6.0.14

Haavatavus on parandatud FortiOSi tarkvara versioonides 7.2.3, 7.0.9, 6.4.11, 6.2.12 ja 6.0.16. Soovitame FortiOS tarkvara uuendada esimesel võimalusel.

Apple paikas Webkiti nullpäeva turvanõrkuse

Apple paikas selle aasta kümnenda nullpäeva turvanõrkuse (CVE-2022-42856), mida on kasutatud iPhone’ide vastu suunatud rünnetes. Viga mõjutab Apple Webkiti veebibrauseri mootorit ja võib kaasa tuua pahatahtliku koodi käivitamise, kui kasutaja avab ründaja loodud veebilehe. Apple Webkiti funktsionaalisust kasutavad kõik kolmandate osapoolte veebilehitsejad, nende hulgas Google Chrome, Mozilla Firefox ja Microsoft Edge (BP, HN, SW).

Kes ja mida peaks tegema?

Ettevõtte sõnul mõjutab turvanõrkus kõiki järgnevaid Apple’i seadmeid: iPhone 6s , iPhone 7, iPhone SE, iPad Pro, iPad Air 2 ja uuemad, iPad viies generatsioon ja uuemad, iPad mini 4 ja uuemad ning iPod touch (seitsmes generatsioon). Kui Sa kasutad mõnd veebilehitsejat Apple’i seadmes, siis oled juba potsentsiaalselt ohus.

Kõik nende seadmete kasutajad peaks iOS tarkvara uuendama. Turvaviga on parandatud tarkvara versioonides iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 ja macOS Ventura 13.1. Täpsema Apple’i turvauuenduste infot leiab siit.

Microsoft paikas kaks nullpäeva turvanõrkust ja 49 haavatavust

Parandatud vigadest kuus on hinnatud kriitiliseks, kuna need võimaldavad koodi kaugkäivitamist. Parandati kaks nullpäeva turvanõrkust (CVE-2022-44698 ja CVE-2022-44710), millest ühte (CVE-2022-44698)  on juba rünnetes ära kasutatud. Turvanõrkust (CVE-2022-44698) on hinnatud keskmise skooriga 5.4/10 (BP).

Kes ja mida peaks tegema?

Kõik Microsofti toodete kasutajad peaks üle kontrollima, kas mõni neil kasutusel olev tarkvara sai turvapaiga ja esimesel võimalusel tarkvara uuendama.

Turvaviga (CVE-2022-44698) mõjutab Microsofti tarkvarasid Windows 10, Windows 11, Windows Server 2016, Windows Server 2019, Windows Server 2022 ja Windows Server 2022 Datacenter Azure Edition.

Turvaiga (CVE-2022-44710) mõjutab Microsofti tarkvara Windows 11.

Mitmed turvauuendused avaldati veebilehitsejale Microsoft Edge.

Täielikku raportit parandatud vigadest näeb siin.

Mozilla parandas turvanõrkused Firefoxi veebilehitsejas ja meiliprogrammis Thunderbird

Vead on paigatud Firefoxi versioonis 108, Firefox ESR versioonis 102.6 ja Thunderbirdi versioonis 102.6. Mitmed paigatud haavatavused võimaldavad ründajal saada ligipääs komporomiteeritud süsteemidele ja seetõttu on need hinnatud kõrge mõjuga turvavigadeks (Mozilla, CISA).

Kes ja mida peaks tegema?

Mozilla tarkvarade Firefox, Firefox ESR ja Thunderbird kasutajad peaks turvapaigad rakendama esimesel võimalusel.

Adobe paikas 38 turvanõrkust

Adobe parandas 38 turvanõrkust, mõned neist võimaldavad ründajal koodi käivitada ja õigustega manipuleerida (SW).

Kes ja mida peaks tegema?

Turvavead mõjutavad Adobe Experience Manager (AEM), Adobe Campaign Classic (ACC) ja Illustrator tarkvarasid. Nende tarkvarade kasutajad peaks uuendused paigaldama esimesel võimalusel.

Samba paikas mitu kriitilist turvanõrkust

Samba tarkvaras parandati neli turvanõrkust, mis võimaldavad ründajal saada nakatunud süsteemid enda kontrolli alla. Kõrge mõjuga haavatavused (CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 ja CVE-2022-45141) on parandatud Samba versioonides 4.17.4, 4.16.8 ja 4.15.13 (HN, SA).

Turvaviga CVE-2022-38023 (8.1/10.0) võimaldab kasutada nõrka RC4-HMAC Kerberose krüpteerimise tüüpi.

Turvaviga CVE-2022-37966 (8.1/10.0) võimaldab Windows Kerberose RC4-HMAC õigustega manipuleerida.

Turvaviga CVE-2022-37967 (7.2/10.0) võimaldab Windows Kerberose õigustega manipuleerida.

Turvavea CVE-2022-45141 (8.1/10.0) võimaldab Samba AD (active directory) domeenikontrolleril kasutada nõrka RC4-HMAC krüpteeringut.

Kes ja mida peaks tegema?

Kõik Samba tarkvara kasutajad peaksid tarkvara uuendama versioonidele 4.17.4, 4.16.8 ja 4.15.13, mis avalikustati 15. detsembril. Täpsem info ja tarkvara uuendused on Samba kodulehel.

RIA analüüsi- ja ennetusosakond

mastodoni ja Atlassiani logod kõrvuti-

Olulised turvanõrkused 2022. aasta 46. nädalal

Mozilla paikas Firefoxi veebilehitsejal mitu turvaviga

Eelmisel nädalal avalikustas Mozilla Firefoxi veebilehitseja uue versiooni, milles on parandatud 19 turvaviga, k.a üheksa kõrge mõjuga haavatavust (SW). Nende üheksa haavatavuse abil võib ründajal õnnestuda hankida teatud laadi teavet kasutaja kohta ja häirida rakenduse tööd. Nimekirja parandatud vigadest leiate siit.

Kes ja mida peaks tegema?

Turvavead on paigatud Firefoxi versioonis 107. Kui te Firefoxi kasutate, on soovituslik uuendada veebilehitseja esimesel võimalusel. Juhised, kuidas seda teha, leiate siit.

Atlassian parandas kriitilised turvavead

Atlassian parandas oma toodetes Crowd Server and Data Center ja Bitbucket Server and Data Center kriitilised turvavead CVE-2022-43782 (9.0/10.0) ja CVE-2022-43781 (9.0/10.0) (BP).

CVE-2022-43782 põhineb konfiguratsiooniveal, mis võimaldab ründajal kõrvale hiilida parooli kontrollmehhanismidest. Nõrkuse kuritarvitamine on siiski võimalik ainult teatud tingimustel.

Näiteks, kui te uuendasite Crowdi süsteemi versioonilt 2.9.1 versioonini 3.0.0 või uuemale, siis see ei ole haavatav. Kui te paigaldasite kohe haavatava versiooni 3.0.0 või sellest uuema versiooni ning varem ühtegi vanemat versiooni tarkvarast ei kasutanud, on teie Crowdi tarkvara siiski mõjutatud. Samuti on nõrkuse ärakasutamise jaoks vajalik, et ründaja IP-aadress oleks lisatud rakenduse Remote Address konfiguratsiooni (versioonide 3.0.0 ja uuemate puhul ei ole vaikimisi seal ühtegi IP-aadressi). Haavatavus mõjutab Crowd Serveri versioone 3.0.0 kuni 3.7.2, 4.0.0 kuni 4.4.3 ja 5.0.0 kuni 5.0.2.

CVE-2022-43781 mõjutab seevastu Bitbucket Server and Data Center tarkvara ja võimaldab ründajatel potentsiaalselt käivitada pahaloomulist koodi haavatavates süsteemides. Turvanõrkuse vastu on mõjutatud süsteemid, mis kasutavad tarkvaraversiooni 7.0-7.21 või teatud eelduse korral (kui mesh.enabled=false) versiooni 8.0-8.4.

Kes ja mida peaks tegema?

Kui te kasutate neid mõjutatud versiooniga tarkvarasid, lähtuge tootjapoolsetest juhistest siin ja siin ning rakendage vajalikud uuendused ja/või kaitsemeetmed.

Infoturbeteemasid kajastavas Mastodoni keskkonnas oli tõsine turvaviga

Novembris avastati, et populaarsust koguvas infoturbeteemasid käsitlevas Mastodoni keskkonnas oli nõrkus, mille põhjustas ebaefektiivne HTML-sisendi filtreerimine. Nõrkuse abil saanuks varastada näiteks keskkonna kasutajate kasutajatunnuseid (Portswigger).

Mastodoni hinnangul oli nõrkus ainult selle keskkonna põhine, kuid sellest hoolimata väljastati uued tarkvara versioonid 4.0.1, 3.5.5 ja 3.4.10, milles on vajalikud parandused tehtud.

Pikemalt saab nõrkuse üksikasjade kohta lugeda siit.

Samba paikas koodi käivitamist võimaldava turvavea

Turvaviga CVE-2022-42898 mõjutab erinevaid Samba versioone ja peitub S4U2proxy teenuses. Nõrkus võimaldab ründajal viia mõjutatud süsteem spetsiifilise olukorrani (integer overflow), mille tõttu lakkab süsteem töötamast või õnnestub ründajal seal käivitada pahaloomulist koodi. Haavatavad on ainult 32-bitised süsteemid. Tootja hinnangul on enim ohustatud KDC (Key Distribution Center) serverid. Mõjutatud on kõik Samba versioonid, mis on vanemad kui 4.15.12, 4.16.7 või 4.17.3 (SW).

Kes ja mida peaks tegema?

Samba kasutajad peaksid tutvuma tootjapoolse informatsiooniga siin ja rakendama vajalikud turvapaigad. 

RIA analüüsi- ja ennetusosakond

Samba tarkvaras leiti kaugsissemurdmist võimaldav turvaviga

Linux Samba

Autor: CERT-EE

Sel nädalal avalikustati Samba failiserveri kriitiline turvaviga, mis ohustab paljusid asutusi ja organisatsioone. Viga kannab registreerimisnumbrit CVE-2017-7494 ning on 7 aastat vana, mõjutades kõiki Samba failiserveri versioone alates versioonist 3.5.0.

Samba on Linuxi serveri juurde kuuluv programm võrguketaste väljajagamiseks. Ka Eestis kasutatakse Linuxit ja Sambat väga sageli võrguketaste väljajagamiseks Windowsi tööjaamadele. Muuhulgas võib Samba olla kasutuses võrguketaste väljajagamiseks tehnoloogilistele seadmetele, tööpinkidele, meditsiiniseadmetele jne.

Turvaviga CVE-2017-7494 võimaldab mõne mitte ülearu keerulise tingimuse olemasolul tungida kaugelt serverisse ning käivitada selles programme (näiteks programme, mis otsivad serveris järgmisi turvavigu või hakkavad serverit kasutama sillapeana sissemurdmiseks järgmistesse arvutitesse, BitCoini arvutamiseks vms). Kriitilist haavatavust saab ära kasutada vaid ühe koodirea sisestamisega.

Hetkeseisuga on turvavea lappimiseks väljastatud paik, Linuxi administraatorid peaksid selle võimalikult kiiresti paigaldama.

Kes ja miks on haavatavad?

Samba server osutub rünnatavaks, kui Sinu arvutivõrgu installatsioonis esinevad järgmised iseärasused:

    • On teada mingi konto andmed, mille puhul on lubatud võrgukettale kirjutamine – siis saab ründaja sinna üles laadida ründeprogrammi.
    • Katalooginimed on näha või teada, teisisõnu, tegu on kergesti äraarvatavate serveriteekondadega (server paths), näiteks \\FILESERVER\TMP.
    • Lisaks, juhul kui failide ja printerite jagamise port 445 on nähtav ja ligipääsetav ka Internetist, on rünne võimalik kogu maailmast, mitte üksnes sisevõrgust.

Ründe käigus ründaja:

  • arvab ära või saab teada serveri nime ja võrguketta nime (kerge),
  • hangib suvalise kasutajatunnuse ning ühendub mõne võrgukettaga, kuhu tal on kirjutusõigus, seejärel laadib sinna üles ründeprogrammi,
  • käivitab ühe rea koodi, mis – oops! –  võtabki kogu serveri üle. See on eriti ohtlik, kuivõrd platvormist olenevalt võib ründaja kohe saada juurkasutaja (administraatori) õigused.

Kaitsemeetmed

Kõige esmane kaitsemeede on ikka ja alati sama: paigalda värsked uuendused! Praegusel juhul tuleb paigaldada Samba versioonid 4.6.4, 4.5.10 või 4.4.14.

Kui uuendamine pole võimalik, siis alternatiivne kaitsemeede on lisada Samba konfiguratsiooni parameeter (täpsustatud 26.5.2017):

nt pipe support = no

NB! Ülalmainitud parameetri muutmine võib mõjutada Windowsi klientide suutlikkust võrguketaste kasutamisel.

Kindlasti kontrolli internetist, kas Sinu kodune kettaserver (nt Synology) vajab samuti uuendamist.

Synology DiskStation DS213 plus

Allikad