Cisco paikas IOS XE tarkvara kriitilised turvanõrkused

Eelmisel nädalal avalikustati turvanõrkus (CVE-2023-20198), mis mõjutab Cisco IOS XE tarkvara veebiliidest (webUI) ja mis on hinnatud kriitilise CVSS skooriga 10.0/10.0, kuna selle kaudu on võimalik saada täielik kontroll ohvri võrguseadme üle. Nädala lõpus avaldati info ka teise nullpäeva turvanõrkuse (CVE-2023-20273) kohta, mida on samuti rünnetes kuritarvitatud.

Nädala jooksul oli üle maailma enam kui 50 000 pahavaraga nakatunud seadet, kuid laupäeval toimus nakatunud seadmete arvu järsk langus. Teadurid arvavad, et ründajad leidsid viisi, kuidas nakatunud seadmete infot võrgu skaneerimisel varjata.

Mõlemale veale on alates 22. oktoobrist olemas parandus ja ettevõtte soovitab turvapaigad rakendada esimesel võimalusel. Viga on paigatud Cisco IOS XE tarkvara versioonis 17.9.4a. Kui mingil põhjusel ei ole võimalik tarkvara uuendada, siis tuleks HTTP-serveri funktsioon kõigis internetiühendusega seadmetes keelata (SW, BC, BC, Cisco, RIA).

Oracle paikas 387 turvanõrkust oma toodetes

Parandatud turvanõrkuste hulgas oli üle 40 kriitilise haavatavuse. Kokku paigati üle 200 turvavea, mida on võimalik kuritarvitada kaugelt ja ilma autentimata. Turvavead mõjutavad mitmeid erinevaid Oracle tooteid, näiteks Oracle Financial Services, Oracle Communications, Fusion Middleware ja MySQL.

Kõige enam vigasid ehk kokku 103 haavatavust paigati tarkvaras Oracle Financial Services. Lisaks avaldati ka Oracle’i Linuxi turvapaigad 61 veale (Oracle).

Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ja Oracle soovitab kõigil kasutajatel tarkvara uuendada. Ettevõtte sõnul saavad nad aeg-ajalt teateid oma klientidelt, kes ei ole tarkvara uuendanud ja on seetõttu langenud küberrünnaku ohvriks (SW, Oracle).

Signal eitab väiteid nullpäeva turvanõrkuse kohta oma platvormil

Oktoobri keskpaigas hakkas erinevatel platvormidel liikuma info, et Signali tarkvaras on nullpäeva turvanõrkus. Viga mõjutab väidetavalt „Generate Link Previews“ erifunktsiooni ja võimaldab võtta üle nakatanud seade.

Signali meeskond uuris väidet ja nende sõnul see ei vasta tõele. Ka USA küberturvalilisuse agentuur CISA teatas, et neil ei ole infot Signali nullpäeva turvanõrkuse olemasolu kohta.

Kuna tegemist on väga populaarse sõnumivahetustarkvaraga, siis Signali turvanõrkused on atraktiivseks sihtmärgiks küberkurjategijatele. Signalit kasutavad lisaks eraisikutele ka paljud asutused ja seetõttu võib seadme kompromiteerimine võimaldada ligipääsu tundlikule infole (BC, SA, Twitter).

Küberkurjategijad kasutavad ära kriitilist turvaviga WordPressi pistikprogrammis

Turvanõrkus (CVE-2023-5360) leiti pistikprogrammis “Royal Elementor“, mida kasutab enam kui 200 000 WordPressi veebilehte. Haavatavuse tõttu võib autentimata ründaja laadida veebilehele pahaloomulise sisuga faile ja see on hinnatud kriitilise CVSS skooriga 9.8/10.0. Haavatavust kuritarvitades võib lisaks faili üleslaadimisele ka pahatahtlikku koodi käivitada ja selle tulemusel veebilehe kompromiteerida.

Küberturbe ettevõtete Wordfence and WPScan sõnul on turvaviga rünnete läbiviimisel kasutatud juba alates augustikuust ja alates 3. oktoobrist on rünnete maht kasvanud.

Turvanõrkus mõjutab pistikprogrammi versioone kuni 1.3.78. Kõik kasutajad peaksid uuendama tarkvara versioonile 1.3.79, kus viga on parandatud. Lisaks tarkvara uuendamisele peaks ka üle kontrollima, ega veebilehele ole lisatud nakatunud faile (BC).