Fortinet paikas kõrge mõjuga haavatavuse

Fortinet teavitas eelmisel nädalal, et paikas mitu turvanõrkust enda toodetes. Kõige kõrgema kriitilisuse tasemega hinnati haavatavust CVE-2022-35843 (7.7/10.0). Turvaviga mõjutab FortiOSi SSH sisselogimisfunktsiooni, kuid seda saab ründaja ainult kasutada siis, kui sihtmärk kasutab ka Radiuse autentimislahendust. Haavatavuse abil on ründajal potentsiaalselt võimalik haavatava seadme süsteemi sisse logida. FortiOSi üritatakse sageli rünnata, kuna seda kasutatakse maailmas nii erasektoris kui ka avalikus sektoris (SW, Fortinet).

Kes ja mida peaks tegema?

Fortineti hinnangul mõjutab turvanõrkus CVE-2022-35843 FortiOSi versioone 7.2.x, 7.0.x, 6.4.x, 6.2.x ja 6.0.x ning FortiProxy versioone 7.0.x, 2.0.x ja 1.2.x.
Haavatavus on parandatud FortiOSi versioonides 7.2.2, 7.0.8 ja 6.4.10 ning FortiProxy versioonides 7.0.7 ja 2.0.11.
Haavatava tarkvara kasutamise korral soovitame see uuendada esimesel võimalusel.

Sophose tulemüüri tarkvaras avastati mitu olulist turvaviga

Sophos avalikustas, et tulemüüri tarkvarale tuli uus versioon 19.5, millega paigati mitu haavatavust. Versiooniuuendus parandab kokku seitse turvanõrkust, millest ühte hindas ettevõte kriitilise tõsidusastmega ning kolme haavatavust kõrge tõsidusastmega (SW, Sophos).

CVE-2022-3236 (9.8/10.0) on kriitiline turvanõrkus, mida on tootja hinnangul kasutatud küberrünnakutes septembrist alates. Peamiselt on sihtmärkideks olnud organisatsioonid, mis asuvad Lõuna-Aasias. Nõrkuse abil on ründajal võimalik teostada koodi kaugkäitust. Sophos on turvanõrkusest täpsemalt kirjutanud enda veebilehel.

Kolme kõrge kriitilisuse tasemega haavatavuse puhul on vaja ärakasutamiseks kõrgendatud õiguseid, kuid need võimaldavad ründajal samuti käivitada pahaloomulist koodi erinevates Sophose toodete komponentides. Ettevõte on detailsema nimekirja parandatud turvavigadest avalikustanud siin.

Kes ja mida peaks tegema?

Kui te kasutate ettevõtte tooteid, mis on turvanõrkustest mõjutatud, soovitame tutvuda tootjapoolsete juhistega siin ja rakendada versioon 19.5 esimesel võimalusel.

Androidi operatsioonisüsteemil paigati üle 80 turvanõrkuse

Google avalikustas, et Androidi operatsioonisüsteemil parandati üle 80 haavatavuse.. Nendest neli on hinnatud kriitiliseks ja need mõjutavad Androidi versioone 10 kuni 13 (ZDNET, Android).

Kaks kriitilist nõrkust neljast (CVE-2022-20411 ja CVE-2022-20498) mõjutavad Androidi süsteemikomponenti ning ülejäänud kaks (CVE-2022-20472 ja CVE-2022-20473) Androidi raamistikku. Kolm turvanõrkust neljast lubavad ründajal teostada koodi kaugkäitust, nendest CVE-2022-20411 üle Bluetoothi, ning üks turvanõrkus neljast võimaldab ründajal lekitada informatsiooni haavatavast süsteemist. Google ei ole avalikkusega jaganud täpsemaid turvavigadega seotud tehnilisi detaile.

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga nutitelefone, veenduge, et teil oleksid alati kõik pakutavad uuendused esimesel võimalusel rakendatud.

Cisco IP-telefonidel avastati kõrge mõjuga nullpäeva turvanõrkus

Turvanõrkus (CVE-2022-20968) mõjutab Cisco 7800 ja 8800 seeria IP-telefone. Turvaviga on seotud sisendi ebapiisava kontrollimisega, mille abil on võimalik teostada koodi kaugkäitust või sooritada teenusetõkestusründeid (BP, Cisco).

Kes ja mida peaks tegema?

Haavatavus mõjutab Cisco 7800 ja 8800 seeria IP-telefone, mis kasutavad tarkvaraversiooni 14.2 või varasemat. Turvanõrkusele ei ole hetkel väljastatud turvapaika, kuid Cisco sõnul avalikustatakse see 2023. aasta jaanuaris. Siiski on Cisco avaldanud mõned juhised, kuidas haavatavaid seadmeid turvavea ärakasutamise eest kaitsta. Nendega saate vajadusel tutvuda siin.

RIA analüüsi- ja ennetusosakond

Veebruaris paigatud Magento 2 tarkvara kriitilist turvanõrkust tähisega CVE-2022-24086 (9.8/10.0) on hakatud taas rünnakutes aktiivselt ära kasutama. Magento on vabavaraline platvorm, mida kasutatakse e-poodide osana Eestis ja kõikjal maailmas. Turvanõrkus võimaldab autentimata kasutajal käivitada pahatahtlikku koodi paikamata veebilehtedel. Turvanõrkuse eemaldamiseks tuleb Magento tarkvara uuendada (BP).

Veebruaris avaldamise ajal levis info, et seda turvanõrkust on juba aktiivselt ära kasutatud. Mõni päev hiljem avaldati turvanõrkuse kohta avalik ründe tõendus (PoC), mille tagajärjel ennustati suuremat turvanõrkuse ära kasutamist.

CVE-2022-24086-nimelise turvanõrkuse abil saab autentimata ründaja veebilehe kompromiteerida ja kasutada seda edasiseks pahatahtlikuks tegevuseks – näiteks on võimalik veebilehele lisada pahaloomulist koodi, mis suunab külastaja edasi petulehtedele. Samuti on oht andmelekkeks.

Hiljuti, 22. septembril avaldati raport, mis tõi välja, et turvanõrkus kogub küberkurjategijate seas aina populaarsust. Ülevaade kirjeldab kolme ründeviisi, mida on hiljuti kasutatud. Ründeviiside puhul ei ole tuvastatud automatiseeritud tegevust, kuna Magento tarkvara ülesehituse loogika muudab kirjutajate hinnangul sellised ründed pigem keeruliseks. Täpsemalt saab raportiga tutvuda siin.

Kes ja mida peaks tegema?

Kuna turvanõrkus on kriitiline, potentsiaalne mõju suur ja seda üritatakse aktiivselt ära kasutada, tuleb mõjutatud veebilehtede halduritel uuendada haavatavad lehed esimesel võimalusel!

Tootja informatsiooni kohaselt on haavatavad järgmised versioonid:

Adobe Commerce ja Magento Open Source 2.3.3-p1 kuni 2.3.7-p2 ning 2.4.0 kuni 2.4.3-p1

Selleks, et haavatavus paigata, tuleb veebihalduril rakendada kaks turvapaika – esmalt turvapaik nimega MDVA-43395 ning siis MDVA-43443. Paikamiseks mõeldud juhised leiab tootja veebilehelt.

Sophose tulemüüri tarkvaras avastati kriitiline turvaviga

Sophose tulemüüri tarkvarast leiti nullpäeva turvanõrkus (9.8/10.0), mida tähistatakse koodiga CVE-2022-3236. Turvaviga mõjutab Sophose tulemüüri v19.0 MR1 (19.0.1) ja vanemaid versioone ning võimaldab ründajal pahaloomulist koodi kaugkäivitada. Veale on olemas parandus ning soovitame mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel (HN, Sophos).

Tootja sõnul on selle turvanõrkusega seni rünnatud peamiselt Lõuna-Aasias paiknevaid organisatsioone.

Kes ja mida peaks tegema?

Turvanõrkus on parandatud järgnevates Sophose tulemüüri versioonides:

v19.5 GA
v19.0 MR2 (19.0.2)
v19.0 GA, MR1 ja MR1-1
v18.5 MR5 (18.5.5)
v18.5 GA, MR1, MR1-1, MR2, MR3 ja MR4
v18.0 MR3, MR4, MR5 ja MR6
v17.5 MR12, MR13, MR14, MR15, MR16 ja MR17
v17.0 MR10

Kui uuendusi ei ole mingil põhjusel võimalik teha, soovitab tootja alternatiivse lahendusena veenduda, et tulemüüri kasutus- ja administeerimisliides ei oleks laivõrgust (WAN) kättesaadav. Juhend, kuidas seda teha, on siin. RIA soovitab alati turvapaiku sisaldavad uuendused paigaldada.

Parandati kuus kõrge tasemega turvanõrkust BIND DNSi tarkvaras

ICS (Internet Systems Consortium) avalikustas turvauuendused kuuele haavatavusele BIND DNSi tarkvaras. Neist neli võimaldavad ründajatel teoreetiliselt teenusetõkestusründeid sooritada. ICS ei ole teadlik, et neid puudusi oleks jõutud ära kasutada. Haavatavustele on väljastatud turvapaigad, mis soovitame vajadusel rakendada (SA).

Natuke lähemalt kõrge tasemega turvanõrkustest:

CVE-2022-2906 (7.5/10.0) – Diffie-Hellmani meetodil baseeruva võtmekehtestusprotsessi käigus põhjustatakse mäluleke, kui kasutatakse TKEY-kirjeid OpenSSL 3.0.0 või hilisema versiooniga.

Ründaja saab seda viga kasutada, et järk-järgult kasutusel olev mälu üle koormata kuni mälu puudumise tõttu peatub BINDi “named” daemoni töö. Selle taaskäivitamisel peaks ründaja rünnet kordama, kuid sellegipoolest on oht teenusetõkestusründele taas olemas, kui turvapaika ei ole rakendatud.  

Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit. Tootja on turvapaigad väljastanud.

CVE-2022-38177 (7.5/10.0) – ECDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud ECDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

CVE-2022-3080  (7.5/10.0) – BIND 9 resolveri töö võib peatuda, kui stale cache ja stale answers on lubatud, stale-answer-client-timeout on väärtus 0 ja vahemälus on vananenud CNAME-kirje sissetuleva päringu jaoks. Kui ründajal õnnestub saata spetsiifiline päring, võib “named” daemoni töö peatuda.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

CVE-2022-38178 (7.5/10.0) – EdDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud EdDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.

Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.

Kes ja mida peaks tegema?

BINDi DNSi tarkvara kasutajad peaksid järgima tootja avaldatud juhiseid ja paikama vajadusel haavatava BINDi tarkvara versiooni või kasutama tootja soovitatud alternatiivseid lahendusi turvanõrkuste eemaldamiseks.

Mitmed Ubuntu LibTIFF teegi turvanõrkused on saanud parandused

Haavatavused võimaldavad ründajal teostada nii teenusekatkestusi kui ka saada ligipääs tundlikule infole. Erinevad LibTIFFi teegi turvanõrkused mõjutavad Ubuntu 14.04, 16.04, 18.04, 20.04 kui ka 22.04 versioone. Soovitame tutvuda tootjapoolse informatsiooniga ja uuendada vajadusel mõjutatud tarkvara (Ubuntu).

Ubuntu avaldas koondülevaate seitsmest LibTIFF teegiga seotud turvanõrkusest. LibTIFF teek võimaldab töödelda TIFF formaadis pildifaile. Erinevad turvanõrkused mõjutavad nii 14.04, 16.04, 18.04, 20.04 kui ka 22.04 Ubuntu versioone.

CVE-2020-19131 (7.5/10.0) – Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.

CVE-2020-19144 (6.5/10.0) –  Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.

CVE-2022-1354 (5.5/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF-faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne. Turvanõrkus mõjutab ainult Ubuntu 20.04 LTSi ja 22.04 LTSi.

CVE-2022-1355 (6.1/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne.

CVE-2022-2056 (6.5/10.0), CVE-2022-2057 (6.5/10.0), CVE-2022-2058 (6.5/10.0) – Ründajal on teoreetiliselt võimalik kasutada turvanõrkust teenusetõkestusründe sooritamiseks.

Kes ja mida peaks tegema?

Soovitame tutvuda ametlike juhistega tootja kodulehel ja rakendada vajadusel vastavad uuendused, kui te ei ole seda juba teinud.  

RIA analüüsi- ja ennetusosakond