200 000 WordPressi veebilehte on pistikprogrammi nõrkuse tõttu haavatavad
Rohkem kui 200 000 WordPressi veebilehte üle maailma on haavatavad Ultimate Member nimelises pistikprogrammis leitud turvanõrkuse tõttu. Turvanõrkus tähisega CVE-2023-3460 võimaldab ründajatel lisada haavatavale veebilehele uue administraatorikonto. Sellise konto abil on ründajal võimalik teha ükskõik milliseid pahaloomulisi tegevusi, näiteks lisada veebilehele pahavara, kustutada teisi kontosid jms (SW).
Kes ja mida peaks tegema?
Kui te seda pistikprogrammi enda veebilehel kasutate, on soovitatav selle kasutamine ajutiselt lõpetada, sest hetkel puudub turvanõrkusele toimiv parandus. Lisaks on soovitatav üle vaadata kõik veebilehega seotud halduskontod ning veenduda, et ühtegi tundmatut kontot ei oleks lisatud administraatorite gruppi (SW).
Avaldati tänavuse aasta 25 kõige ohtlikumat tarkvaradega seotud turvanõrkust
Eelmisel nädalal avalikustati nimekiri 25 kõige ohtlikumast tarkvaradega seotud turvanõrkusest 2023. aastal. Nimekiri tutvustab üldisi turvavigu ning see koostati analüüsides konkreetsete haavatavustega seotud avalikke andmeid ja nende algpõhjuseid eelmise kahe kalendriaasta jooksul. Esimese koha hõivas turvaviga, mis lubab pahaloomulisel programmil ette antud mälupuhvrist välja kirjutada. Selliselt on võimalik haavatava süsteemi tavapärast tööd häirida või seal pahatahtlikku koodi käivitada. Lisaks sisaldab nimekiri teisi tuntud üldisi haavatavusi nagu näiteks failide piiramatu üleslaadimise võimalus või ebakorrektse autoriseerimisega seotud probleemid (CISA). Nimekirjaga on võimalik tutvuda siin.
Uue meetodiga suudetakse häälautentimisest mööda pääseda maksimaalselt kuue katse järel
Waterloo ülikooli teadlased avastasid meetodi, mille abil on nende hinnangul võimalik maksimaalselt kuue katse abil 99% tõenäosusega häälautentimisest mööda pääseda (UW). Avastus on oluline, sest häälautentimise kasutamine on muutumas üha populaarsemaks, seda näiteks jaekaubanduses, pangandussektoris ja autotööstuses.
Kuidas häälautentimine toimib?
Häälautentimise registreerimisel palutakse kasutajal teatud fraasi oma häälega korrata. Seejärel eraldab süsteem sellest ainulaadse häälesignatuuri (hääljälje) ja salvestab selle serverisse. Edaspidiste autentimiskatsete jaoks palutakse kasutajal korrata teist fraasi ja sellest eraldatud funktsioone võrreldakse süsteemi salvestatud häälejäljega, et teha kindlaks, kas juurdepääs tuleks anda või mitte (UW).
Ent üsna kiiresti taibati, et masinõppe toega arendatud tarkvara abil on võimalik luua ohvri häälest veenvaid koopiaid. Vastumeetmena võtsid arendajad kasutusele kontrollmehhanismid, mis suudavad kõnenäidist uurida ja teha kindlaks, kas selle on loonud inimene või masin (UW).
Mida leidsid teadlased?
Waterloo ülikooli teadlased avastasid aga meetodi, mis läheb võltsimise tuvastamiseks loodud vastumeetmetest mööda ja suudab maksimaalselt kuue katsega petta enamiku häälautentimissüsteemidest (UW).
Hiljuti testisid nad näiteks üht populaarset häälautentimissüsteemi ning neil õnnestus ühe neljasekundilise rünnakuga saavutada 10-protsendiline edukus, mis vähem kui kolmekümne sekundilise rünnakuga tõusis üle 40 protsendi. Mõne vähem keeruka hääle autentimissüsteemiga saavutasid nad pärast kuut katset aga 99-protsendilise edukuse (UW).
Samsungi nutitelefonide vanu haavatavusi kasutatakse aktiivselt ära
USA küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) lisas hiljuti ära kasutatud nõrkuste nimekirja kuus haavatavust. Kõiki sinna nimekirja lisatud nõrkusi kasutatakse CISA hinnangul aktiivselt ära ja need ohustavad USA valitsusasutusi. Turvavead on seotud Samsungi nutitelefonidega. Kuigi need avalikustati juba kaks aastat tagasi ja Samsung parandas need ka samal aastal, ei ole tavatu, et vanu haavatavusi uuesti kasutusele võetakse. Sarnaseid turvavigu on varem ära kasutatud nuhkvara levitamiseks, seega võib ka praegusel juhul olla tegu nuhkvara jaoks kasutust leidnud turvavigadega (SW, CISA).
Kes ja mida peaks tegema?
Kuna turvavead paigati juba 2021. aastal, siis on kõikidel uuematel Androidi operatsioonisüsteemidel juba vastavad vead parandatud.