Tag Archives: Samsung

Olulised turvanõrkused 2023. aasta 26. nädalal

200 000 WordPressi veebilehte on pistikprogrammi nõrkuse tõttu haavatavad

Rohkem kui 200 000 WordPressi veebilehte üle maailma on haavatavad Ultimate Member nimelises pistikprogrammis leitud turvanõrkuse tõttu. Turvanõrkus tähisega CVE-2023-3460 võimaldab ründajatel lisada haavatavale veebilehele uue administraatorikonto. Sellise konto abil on ründajal võimalik teha ükskõik milliseid pahaloomulisi tegevusi, näiteks lisada veebilehele pahavara, kustutada teisi kontosid jms (SW).

Kes ja mida peaks tegema?

Kui te seda pistikprogrammi enda veebilehel kasutate, on soovitatav selle kasutamine ajutiselt lõpetada, sest hetkel puudub turvanõrkusele toimiv parandus. Lisaks on soovitatav üle vaadata kõik veebilehega seotud halduskontod ning veenduda, et ühtegi tundmatut kontot ei oleks lisatud administraatorite gruppi (SW).

Avaldati tänavuse aasta 25 kõige ohtlikumat tarkvaradega seotud turvanõrkust

Eelmisel nädalal avalikustati nimekiri 25 kõige ohtlikumast tarkvaradega seotud turvanõrkusest 2023. aastal. Nimekiri tutvustab üldisi turvavigu ning see koostati analüüsides konkreetsete haavatavustega seotud avalikke andmeid ja nende algpõhjuseid eelmise kahe kalendriaasta jooksul. Esimese koha hõivas turvaviga, mis lubab pahaloomulisel programmil ette antud mälupuhvrist välja kirjutada. Selliselt on võimalik haavatava süsteemi tavapärast tööd häirida või seal pahatahtlikku koodi käivitada. Lisaks sisaldab nimekiri teisi tuntud üldisi haavatavusi nagu näiteks failide piiramatu üleslaadimise võimalus või ebakorrektse autoriseerimisega seotud probleemid (CISA). Nimekirjaga on võimalik tutvuda siin

Uue meetodiga suudetakse häälautentimisest mööda pääseda maksimaalselt kuue katse järel

Waterloo ülikooli teadlased avastasid meetodi, mille abil on nende hinnangul võimalik maksimaalselt kuue katse abil 99% tõenäosusega häälautentimisest mööda pääseda (UW). Avastus on oluline, sest häälautentimise kasutamine on muutumas üha populaarsemaks, seda näiteks  jaekaubanduses, pangandussektoris ja autotööstuses.

Kuidas häälautentimine toimib?

Häälautentimise registreerimisel palutakse kasutajal teatud fraasi oma häälega korrata. Seejärel eraldab süsteem sellest ainulaadse häälesignatuuri (hääljälje) ja salvestab selle serverisse. Edaspidiste autentimiskatsete jaoks palutakse kasutajal korrata teist fraasi ja sellest eraldatud funktsioone võrreldakse süsteemi salvestatud häälejäljega, et teha kindlaks, kas juurdepääs tuleks anda või mitte (UW).

Ent üsna kiiresti taibati, et masinõppe toega arendatud tarkvara abil on võimalik luua ohvri häälest veenvaid koopiaid. Vastumeetmena võtsid arendajad kasutusele kontrollmehhanismid, mis suudavad kõnenäidist uurida ja teha kindlaks, kas selle on loonud inimene või masin (UW).

Mida leidsid teadlased?

Waterloo ülikooli teadlased avastasid aga meetodi, mis läheb võltsimise tuvastamiseks loodud vastumeetmetest mööda ja suudab maksimaalselt kuue katsega petta enamiku häälautentimissüsteemidest (UW).

Hiljuti testisid nad näiteks üht populaarset häälautentimissüsteemi ning neil õnnestus ühe neljasekundilise rünnakuga saavutada 10-protsendiline edukus, mis vähem kui kolmekümne sekundilise rünnakuga tõusis üle 40 protsendi. Mõne vähem keeruka hääle autentimissüsteemiga saavutasid nad pärast kuut katset aga 99-protsendilise edukuse (UW).

Samsungi nutitelefonide vanu haavatavusi kasutatakse aktiivselt ära

USA küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) lisas hiljuti ära kasutatud nõrkuste nimekirja kuus haavatavust. Kõiki sinna nimekirja lisatud nõrkusi kasutatakse CISA hinnangul aktiivselt ära ja need ohustavad USA valitsusasutusi. Turvavead on seotud Samsungi nutitelefonidega. Kuigi need avalikustati juba kaks aastat tagasi ja Samsung parandas need ka samal aastal, ei ole tavatu, et vanu haavatavusi uuesti kasutusele võetakse. Sarnaseid turvavigu on varem ära kasutatud nuhkvara levitamiseks, seega võib ka praegusel juhul olla tegu nuhkvara jaoks kasutust leidnud turvavigadega (SW, CISA).

Kes ja mida peaks tegema?

Kuna turvavead paigati juba 2021. aastal, siis on kõikidel uuematel Androidi operatsioonisüsteemidel juba vastavad vead parandatud.

Olulised turvanõrkused 2023. aasta 20. nädalal

Apple parandas kolm nullpäeva turvanõrkust

Apple avalikustas 18. mail turvaparandused erinevatele tarkvaradele (iOS, macOS, tvOS, watchOS ja Safari), mis paikavad kolm nullpäeva turvanõrkust (CVE-2023-32409, CVE-2023-28204 ja CVE-2023-32373). Haavatavused on seotud WebKit-nimelise komponendiga. Turvanõrkuste abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või pääseda ligi tundlikele andmetele. Apple’i sõnul on vähemalt ühte turvanõrkust üritatud kaaktiivselt ära kasutada, kuid rohkem detaile ei ole ettevõte haavatavuste kohta jaganud (BC, SA, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS/iPadOS 16.5, Safari 16.5, tvOS 16.5, watchOS 9.5 ja macOS Ventura 13.4 versioonides.

Kui sinu Apple’i nutitelefon, tahvelarvuti, arvuti või muu nutiseade on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, tee seda esimesel võimalusel.

KeePassi mõjutava turvavea abil saab varastada paroolihalduri salasõna

KeePassi tarkvara mõjutava turvavea (CVE-2023-32784) abil on ründajal võimalik teada saada paroolihaldurisse sisenemiseks vajalik salasõna. Probleem on seotud tarkvara tekstikastiga, kuhu vastav salasõna sisestatakse. Siiski peab ründajal esmalt olema süsteemile ligipääs, et turvaviga kuritarvitada. Haavatavuse jaoks on avalikult kättesaadav kontseptsiooni tõendus (PoC) ning sellele ei ole hetkel olemas parandust (avalikustatakse suure tõenäosusega juulis). Haavatavus mõjutab KeePass 2.X versioone, KeepassXC pole veast mõjutatud (HNS).

Kes ja mida peaks tegema?

Kuna hetkel turvanõrkusele parandus puudub, soovitame järgida üldisi küberturvalisuse põhimõtteid (vt RIA kodulehelt). Kui turvaparandus eeldatavalt juulis avalikustatakse, uuendage KeePassi tarkvara esimesel võimalusel.

Chrome’i kriitiline turvanõrkus ohustab selle kasutajaid

Google avaldas uue Chrome’i versiooni 113.0.5672.126 Windowsi, macOSi ja Linuxi operatsioonisüsteemidele, millega paigati 12 turvaviga. Parandatud turvanõrkuste seas on üks kriitilise ja neli kõrge mõjuga haavatavust. Kriitiline turvanõrkus on tähisega CVE-2023-2721 ja selle kaudu on ründajal teoreetiliselt võimalik käivitada pahatahtlikku koodi või mõjutada süsteemi tavapärast tööd (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Samsungi nutitelefonide turvafunktsioonist on võimalik mööda pääseda

USA küberturvalisuse ja infrastruktuuri turvalisuse agentuur (CISA) hoiatab USA riiklikke asutusi turvanõrkuse eest, mille kaudu on võimalik Androidi turvafunktsioonist (ASLR ehk Android address space layout randomizationi) mööda pääseda. Turvafunktsiooni ülesandeks on määrata juhuslikult mäluaadressid, kus peamised rakendused ja OS-i komponendid seadme mällu laaditakse. See raskendab ründajatel mäluga seotud haavatavuste kuritarvitamist ja takistab erinevaid mälupõhised rünnakuid ellu viimast (nt puhvri ületäitumine) (BP, CISA).

Turvaviga (CVE-2023-21492) mõjutab Samsungi mobiilseadmeid, mis töötavad operatsioonisüsteemidega Android 11, 12 ja 13, ning selle põhjuseks on tundliku teabe sisestamine logifailidesse. Seda teavet saavad kõrgete õigustega ründajad kasutada ASLR-ist möödapääsemiseks. Kuigi Samsung ei ole öelnud, et seda turvanõrkust oleks ära kasutatud, kuritarvitatakse selliseid turvaauke sageli keeruliste sihitud rünnakute korraldamiseks.

Kes ja mida peaks tegema?

Kui teie Samsungi nutiseade pakub turvauuendusi, rakendage need esimesel võimalusel.


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 44. nädalal

OpenSSLi teegis parandati kaks kõrge tasemega haavatavust

1. novembril avalikustasid OpenSSLi arendajad enda teegist versiooni 3.0.7, millega parandati kaks kõrge tasemega turvanõrkust (CVE-2022-3602 ja CVE-2022-3786). Algselt hinnati esimest nõrkust kriitiliseks, kuid OpenSSLi loojad alandasid kriitilisuse taset pärast arutelusid eri osapooltega (BP, OpenSSL, Tenable, RIA).

OpenSSL on avaliku lähtekoodiga tarkvara, mida kasutatakse laialdaselt muuhulgas võrguliikluse krüpteerimiseks (sealhulgas VPNi lahenduste või HTTPSi protokolli puhul). OpenSSLi arendajad on varem hinnanud vaid üht nõrkust kriitilise tasemega (HeartBleed-nimeline haavatavus 2014. aastal). Tol korral oli ründajatel võimalik nõrkuse abiga varastada sessiooniküpsiseid, paroole ja muud tundlikku informatsiooni.

RIA kirjutas pikemalt nendest turvanõrkustest enda blogis.

Kes ja mida peaks tegema?

Turvanõrkuste vastu on haavatavad rakendused, mis kasutavad OpenSSLi versioone 3.0.0 -3.0.6. Selleks, et organisatsiooni paremini kaitsta, tuleks infoturbejuhtidel/süsteemihalduritel talitleda järgnevalt:

1. Tuvasta, kas teie ettevõtte süsteemid on haavatavad siin kajastatud turvanõrkuste vastu. Kasulik on koostada nimekiri haavatavatest tarkvaradest ja plaan, millal ja kuidas mõjutatud komponendid paigata. Samuti tuleks veenduda, et ettevõtte partnerid, kellel on ligipääs teie süsteemidele, ei ole haavatavad nende turvanõrkuste vastu. Halbade asjaolude kokkulangemisel võib partneri süsteem mõjutada ka teie süsteemi.

2. Uuenda haavatavaid OpenSSLi versioone kasutavad rakendused esimesel võimalusel nii, et need kasutaksid vähemalt teegi versiooni 3.0.7. Kui uuendamine ei ole võimalik, soovitab arendaja ühe lahendusena TLS-serverite haldajatele keelata võimalusel TLS-kliendi autentimine seniks, kuni uuendused on rakendatud1.

3. Vaata üle, kas mõjutatud on teenused, mis on interneti kaudu ligipääsetavad. Kui jah, tuleks infoturbejuhtidel või süsteemihalduritel vajadusel hinnata, kas on võimalik ajutise meetmena (kuni paigatud versiooni või alternatiivsete lahenduste rakendamiseni) ligipääsu neile teenustele piirata (need internetist eemaldada, kui kübeintsidendi toimumise risk on suur).

Fortinet avaldas turvapaigad oma toodetele

Fortinet parandas kokku 16 turvaviga, millest 6 olid kõrge mõjuga haavatavused. Need mõjutavad erinevaid Fortineti lahendusi nagu FortiTester, FortiSIEM, FortiADC, FortiDeceptor, FortiManager ja FortiAnalyzer (SW, Fortinet).

FortiTesterit mõjutav nõrkus võimaldab autentitud ründajal käivitada pahaloomulisi käske.

FortiSIEMi tarkvara mõjutab nõrkus, mille abil on lokaalsel ründajal, kellel on ligipääs käsuaknale, võimalik teostada toiminguid Glassfishi serveris.

Ülejäänud kõrge tasemega turvanõrkused on seotud XSS-rünnet lubavate haavatavustega ja mõnda neist on võimalik autentimiseta kuritarvitada.

Samuti parandati keskmise ja madala tasemega turvavigu. Neid auke saaks ründajad kasutada õiguste suurendamiseks, XSS-rünneteks, informatsiooni kogumiseks, teenusetõkestusrünneteks ja teisteks rünneteks.

Kes ja mida peaks tegema?

Mõjutatud versioonid on välja toodud ettevõtte kodulehel. Kui te mõjutatud tooteid kasutate, külastage viidatud veebilehte ja lähtuge tootjapoolsetest juhistest.

Samsungi rakenduste poes parandati turvaviga

Samsungi rakenduste poes Galaxy Store oli turvaviga, mis lubas ründajatel ohvrite seadmetesse rakendusi installeerida (HN). Ründe õnnestumiseks oleks sihtmärk pidanud külastama pahaloomulist veebilehte, millel oli spetsiifiline veebilink. Klikkides lingil, oleksid ründajad seejärel kasutanud XSS-rünnet. XSS-rünne on veebis väga levinud rünne, mille puhul õnnestub pahalastel käivitada pahaloomulist koodi. 

Kes ja mida peaks tegema?

Turvanõrkus mõjutab versiooni 4.5.32.4. Ettevõte on haavatavuse parandanud. Selleks, et kontrollida, millist versiooni te rakendusest kasutate, tuleb teil minna nutitelefoni operatsioonisüsteemi seadetesse ja valida sealt õige alammenüü (tavaliselt Seaded – > Rakendused -> Galaxy Store).

Cisco paikas kuus kõrge tasemega haavatavust

Turvavead mõjutavad erinevaid Cisco tooteid nagu Identity Services Engine, BroadWorks CommPilot, Email Security Appliance, Secure Email and Web Manager ning Secure Web Appliance (Cisco).

Nimetus Mõjutatud toode Mõju Kriitilisuse skoor
CVE-2022-20956 Identity Services Engine Autentitud ründajal on võimalik nõrkuse abil alla laadida või kustutada faile, millele tal ei tohiks olla ligipääsu. 7.1/10.0
CVE-2022-20961 Identity Services Engine Ründaja saab seda turvanõrkust ära kasutada, et teostada pahaloomulisi toiminguid kompromiteeritud kasutaja õigustes. 8.8/10.0
CVE-2022-20951; CVE-2022-20958 BroadWorks CommPilot Application Võimaldab autentitud ründajal käivitada pahaloomulist koodi või varastada konfidentsiaalset informatsiooni Cisco BroadWorks serverist. 8.3/10.0
CVE-2022-20867; CVE-2022-20868 Email Security Appliance, Secure Email and Web Manager, and Cisco Secure Web Appliance Next Generation Management Vulnerabilities Ründajal on võimalik haavatavates süsteemides enda õiguseid suurendada. 5.4/10.0

Kes ja mida tegema peaks?

Kõikidele haavatavustele (väljaarvatud nõrkusele CVE-2022-20956) on olemas turvaparandus. Kui kasutate mainitud tooteid, tutvuge tootjapoolse informatsiooniga ja rakendage vajadusel turvapaigad. Tabelis on viidatud veebilehekülgedele, millelt leiate lisainformatsiooni, kuidas paigad rakendada.

RIA analüüsi- ja ennetusosakond