Tag Archives: SAP

Olulisemad turvanõrkused 2024. aasta 33. nädalal

Microsoft hoiatab OpenVPNi haavatavuste eest

Microsoft hoiatas Black Hati turvalisuse konverentsil kasutajaid nelja turvavea eest (CVE-2024-27459, CVE-2024-24974, CVE-2024-27903, CVE-2024-1305), mis võimaldavad läbi viia koodi kaugkäivitamise ründeid. Ehkki vigu tutvustati kui nullpäeva turvanõrkusi, siis teadaolevalt ei ole õnnestunud neid kuritarvitada. Microsofti sõnul nõuab nende vigade ärakasutamine nii autentimist kui ka väga head arusaamist OpenVPN-i sisemisest tööst.

Vead on parandatud OpenVPN versioonis 2.6.10 ja ettevõte kutsub kõiki kasutajaid tarkvara uuendama esimesel võimalusel (SW).

Microsoft paikas oma toodetes 89 haavatavust

Microsoft parandas oma toodetes kokku 89 haavatavust, mille hulgas oli ka üheksa nullpäeva turvanõrkust. Paigatud vigadest kaheksa mõju on hinnatud kriitiliseks ja ettevõtte sõnul on kuut nullpäeva turvanõrkust rünnetes ära kasutatud. Täpsema nimekirja parandustest leiab lisatud lingilt (BC, SW).

Kriitiline turvanõrkus Ivanti Virtual Traffic Manageri tarkvaras

Ivanti paikas Virtual Traffic Manageri (vTM) kriitilise turvavea tähisega CVE-2024-7593 (CVSS skoor 9.8/10), mis võimaldab autentimisest mööda minna ja saada administraatori õigused.

Viga mõjutab järgnevaid vTMi versioone:

  • 22.2 (turvapaigatud versioon on 22.2R1)
  • 22.3 (turvapaigatud versioon on 22.3R3)
  • 22.3R2 (turvapaigatud versioon on 22.3R3)
  • 22.5R1 (turvapaigatud versioon on 22.5R2)
  • 22.6R1 (turvapaigatud versioon on 22.6R2)
  • 22.7R1 (turvapaigatud versioon on 22.7R2)

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada. Kui see ei ole mingil põhjusel võimalik, siis ajutise lahendusena võib ka piirata klientide ligipääsu haldusliidesele või anda ligipääsu ainult usaldusväärsetele IP-aadressidele.

Hetkel teadaoleva info alusel ei ole viga veel õnnestunud ära kasutada, kuid sellele on juba avaldatud kontseptsiooni tõendus. Eelmise aasta detsembrist alates rünnati paljusid organisatsioone Ivanti VPNi seadmete ja nendes olevate turvaaukude kaudu (HN, BC).

Adobe paikas suure hulga turvanõrkusi

Adobe paikas oma toodetes kokku 72 turvaviga ja hoiatab, et turvanõrkuste ära kasutamine võib kaasa tuua koodi käivitamise, mälulekked ja teenuste tõkestamise nii Windowsi kui ka macOSi platvormidel. Näiteks paigati 12 haavatavust populaarses PDFi lugeris Adobe Acrobat and Reader.

Mitmeid vigu paigati ka teistes Adobe’i tarkvarades nagu Adobe Illustrator, Adobe Photoshop, Adobe InDesign, Adobe Commerce ja Dimension. Adobe hoiatab, et kõige tõsisem turvaviga võimaldab ründajatel saada täieliku kontrolli ohvri seadme üle.

Adobe’i sõnul pole haavatavusi rünnete läbiviimiseks veel kuritarvitatud (SW).

SAP paikas oma toodetes kaks kriitilist turvanõrkust

SAP paikas 17 uut turvaviga ning uuendas kaheksat vana turvauuendust. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk CVSS skooriga 9.0/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid BusinessObjects, Business Intelligence ja Build Apps. Esimene neist on tähistatud CVE-2024-41730 (CVSS skoor 9.8/10) ning selle kaudu võib ründaja saada sisselogimiseks vajalikud õigused ja seeläbi kompromiteerida kogu süsteemi. Teine kriitiline turvaviga tähisega CVE-2024-29415 (CVSS skoor 9.1/10) mõjutab Node.js teeki ja Build Apps tarkvara.

SAP on üks maailma suuremaid ERP (Enterprise resource planning) tarkvarade tootjaid ja nende tooteid kasutab oluline osa ettevõtetest ning asutustest. Seetõttu on SAPi tarkvarade haavatavused ka pidevalt küberkurjategijate vaatluse all ja varasemalt on nende toodete kaudu saadud ligipääs paljude organisatsioonide süsteemidele. Soovitame kõigil SAPi tarkvarade kasutajatel tarkvara uuendada (SW, BC, SAP).

Olulised turvanõrkused 2023. aasta 19. nädalal

Microsoft paikas kaks nullpäeva turvanõrkust

Microsoft paikas oma toodetes mitukümmend haavatavust, mille hulgas oli ka kaks nullpäeva turvanõrkust.

Esimene neist tähisega CVE-2023-29336 on seotud Win32k draiveriga ning eduka ründe korral on ründajal võimalik saada selle abil kontroll kogu haavatava süsteemi üle. Microsoft ei ole avaldanud infot selle kohta, et turvaviga oleks rünnetes ära kasutatud. Viga mõjutab Windows 10, Windows Server 2008, 2012 ja 2016 operatsioonisüsteemide kasutajaid.

Teine nullpäeva turvanõrkus tähisega CVE-2023-24932 lubab ründajal aga Secure Booti turvalahendusest mööda pääseda. Seda haavatavust võib ründaja ära kasutada, et kindlustada kompromiteeritud seadme üle püsiv kontroll. CVE-2023-24932 kuritarvitamiseks on vaja kõrgendatud õiguseid või füüsilist ligipääsu haavatavale seadmele. Microsoft on täpsemalt sellest turvanõrkusest ja parandusmeetmetest kirjutanud siin (SW, DR, Microsoft).

Kes ja mida peaks tegema?

Nimekirja kõikidest turvanõrkustest koos mõjutatud tarkvaradega leiate siit. Haavatavad tarkvarad soovitame uuendada esimesel võimalusel.

SAP paikas kaks kriitilist turvanõrkust

SAP paikas 18 turvaviga. Nende hulgas oli kaks turvanõrkust, mis on hinnatud kriitiliseks ehk hindega 9/10 või kõrgemalt. Kriitilised turvavead mõjutavad SAPi tarkvarasid 3D Visual Enterprise License Manager ja BusinessObjects. Kõige kriitilisem turvaviga CVE-2021-44152 võimaldab autentimata ründajal muuta ära mõne teise kasutajakonto parooli. Teine haavatavus tähisega CVE-2023-28762 koondab tegelikult mitut turvaviga, mis on seotud volitamata ligipääsuga erinevat sorti teabele. CVE-2023-28762 mõjutab SAPi tarkvara BusinessObjects Intelligence Platform. Turvavigadele on olemas parandus (SW, SAP).

Kes ja mida peaks tegema?

Uuendage mõjutatud SAPi tarkvarad esimesel võimalusel. Lisainfot maikuu turvaparanduste kohta leiate ettevõtte kodulehelt.

Linuxi Netfilteri viga võimaldab ründajal saada juurõigused

Turvanõrkuse CVE-2023-32233 abil on ründajal võimalik omandada haavatavas süsteemis juurõigused ja saada seeläbi täielik kontroll süsteemi üle. Netfilter on pakettide filtreerimise ja võrguaadresside teisendamise (NAT) raamistik, mis on Linuxi kernelisse integreeritud. Haavatavus mõjutab mitmeid Linuxi kerneli versioone, nende seas ka versiooni 6.3.1. Turvanõrkuse kuritarvitamiseks on ründajal vaja siiski saada esmalt lokaalne ligipääs haavatavale seadmele.

Turvanõrkusele on loodud ka kontseptsiooni tõendus (proof-of-concept ehk PoC), mida on hetkel jagatud vaid Linuxi kerneli arendajatega, kuid mis on lubatud 15. mail avalikustada(BC, SA).

Kes ja mida peaks tegema?

Turvaveast mõjutatud Linuxi kasutajad peaks uuendama tarkvara esimesel võimalusel.

WordPressi Elementor-nimelise pistikprogrammi turvanõrkus ohustab vähemalt ühte miljonit veebilehte

Turvanõrkus CVE-2023-32243 avastati pistikprogrammis Essential Addons for Elementor, mida kasutab vähemalt üks miljon WordPressi veebilehte. Turvavea tõttu võib ründaja saada haavatavas süsteemis kõrgendatud õigused. Turvanõrkus mõjutab pistikprogrammi versioone 5.4.0 kuni 5.7.1 (BC).

Kes ja mida peaks tegema?

Kõik veebilehe haldurid, kes mainitud pistikprogrammi kasutavad, peaksid esimesel võimalusel uuendama selle versioonile 5.7.2, kus viga on parandatud.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 15. nädalal

Microsoft paikas 97 haavatavust

Microsoft paikas uuenduste teisipäeva raames 97 haavatavust, sealhulgas ühe aktiivselt kuritarvitatud nullpäeva turvanõrkuse (CVE-2023-28252). CVE-2023-28252 abil on ründajatel võimalik saada kompromiteeritud süsteemis kõrgendatud õigused. Parandatud haavatavuste seas on seitse koodi kaugkäitust võimaldavat kriitilist turvanõrkust, nendest üks on seotud MSMQ teenusega (CVE-2023-21554). CVE-2023-21554 haavatavust on lihtne ära kasutada ja selle tagajärjed võivad olla tõsised (BP).

Kes ja mida peaks tegema?

Nimekirja kõikidest turvanõrkustest koos mõjutatud tarkvaradega leiate siit. Haavatavad tarkvarad soovitame uuendada esimesel võimalusel.

11. aprillist puudub Exchange Serveri 2013 tootjapoolne tugi

RIA tuletab meelde, et 11. aprillist ei toeta Microsoft enam Exchange Server 2013 tarkvara. See tähendab seda, et see tarkvara ei saa vea- ega turvaparandusi, mille tõttu võib ründajatel ajapikku olla lihtsam Exchange Server 2013 kasutavatele süsteemidele ligi pääseda. Samuti kaotasid 11. aprillil tootjapoolse toe Skype for Business 2015 ja MS Office 2013. Kui te neid tarkvarasid endiselt kasutate, soovitab RIA tungivalt üle minna uuemate lahenduste peale. Täpsemalt saate antud teema kohta lugeda siit ja RIA kodulehelt.

Chrome’il paigati nullpäeva turvanõrkus

Google parandas Chrome’i uue versiooniga 112.0.5615.121 selle aasta esimese nullpäeva turvanõrkuse (CVE-2023-2033), mida on rünnakutes juba ka ära kasutatud. Turvanõrkus mõjutab Windowsile, macOSile ja Linuxile mõeldud Chrome’i sirvikuid. Tavaliselt on võimalik antud tüüpi haavatavusega ainult veebilehitseja töö peatada, kuid teatud juhtudel saab sellega käivitada ohustatud seadmetes ka pahaloomulist koodi (BP, Chrome).

Kes ja mida peaks tegema?

Kui te Chrome’i kasutate, uuendage see esimesel võimalusel. Juhised selleks leiate siit.

Viie aasta jooksul nakatati pahavaraga vähemalt miljon WordPressi veebilehte

Sucuri uurimus paljastas, et viie aasta jooksul kompromiteeriti erinevate pistikprogrammide ja teemade haavatavuste kaudu vähemalt miljon WordPressi veebilehte. Kui ründajatel õnnestus pahaloomuline kood veebilehele lisada, suunas see lehe külastajad ümber erinevatele petulehtedele. Pahaloomulisi skripte kasutati ka veebilehega seotud logide uurimiseks, kasutajatunnuste varastamiseks ja teisteks pahaloomulisteks tegevusteks (Sucuri).

Kes ja mida peaks tegema?

Konkreetne uurimus näitab taas, et tarkvarade uuendamine on väga oluline. Seetõttu soovitab RIA regulaarselt kontrollida, kas tarkvaradele pakutakse uuendusi. Kui jah, rakendage need esimesel võimalusel.

SAP paikas kaks kriitilist turvanõrkust

SAP avalikustas turvauuendused, mis sisaldavad parandusi muuhulgas kahele kriitilisele haavatavusele (CVE-2023-27267, CVE-2023-28765). Need mõjutavad SAP Diagnostics Agenti ja SAP BusinessObjects Business Intelligence platvorme. Nende turvanõrkuste abil on ründajatel võimalik süsteeme ja kasutajakontosid üle võtta (BP).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tooteid, veenduge, et need oleksid uuendatud. Lisainfot leiate ettevõtte kodulehelt.

Adobe paikas enda toodetel 56 haavatavust

Adobe paikas enda toodetes vähemalt 56 turvanõrkust, millest mõne abil on saavad ründajad käivitada pahaloomulist koodi. Kriitilisemad haavatavused mõjutavad Adobe Acrobati ja Readeri tarkvarasid. Turvavead lubavad samuti süsteemis õigusi suurendada ja turvafunktsioonidest mööda pääseda (SW, Adobe).

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvarasid, uuendage need esimesel võimalusel.

Fortineti tarkvara haavatavus võimaldab andmebaasidele ligi pääseda

Eelmisel nädalal teavitas Fortinet, et FortiPresence’i tarkvara mõjutab kriitiline haavatavus (CVE-2022-41331). Turvanõrkuse kaudu võib ründaja teoreetiliselt ligi pääseda andmebaasidega seotud süsteemidele (Redis, MongoDB). Ründajal on võimalik haavatavust ära kasutada kaugelt, samuti ei ole vaja tal end selleks autentida.  Lisaks paikas Fortinet enda erinvatel toodetel ka palju teisi turvanõrkuseid (SW).

Kes ja mida peaks tegema?

CVE-2022-41331 mõjutab FortiPresence’i versioone 1.0, 1.1 ja 1.2 ning see on paigatud versioonis 2.0.0. Nimekirja kõikidest parandatud nõrkustest leiate siit.


RIA analüüsi- ja ennetusosakond