Tag Archives: Thunderbird

Olulisemad turvanõrkused 2024. aasta 5. nädalal

Ivanti teatas taas kahest kriitilisest turvaveast

Turvavead (CVE-2024-21888 ja CVE-2024-21893) mõjutavad Ivanti Connect Secure ja Policy Secure tooteid ning ühte neist on juba rünnete läbiviimisel ära kasutatud.

Esimene turvaviga tähisega CVE-2024-21888 on hinnatud CVSS skooriga 8.8/10 ning selle kaudu on võimalik õigustega manipuleerida ning saada administraatori õigused.

Teine turvaviga tähisega CVE-2024-21893 on serveripoolne päringute võltsimise viga, mis on hinnatud CVSS skooriga 8.2/10 ja ründajad on proovinud seda kuritarvitada.

Haavatavused on paigatud Connect Secure tarkvara versioonides 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 ja 22.5R1.1 ning ZTA versioonis 22.6R1.3. Kuna uued turvavead tulid avalikuks, siis hakatakse suure tõenäosusega neid rünnetes kuritarvitama ning seetõttu soovitab ettevõte paigata tarkvara esimesel võimalusel. Lisaks uutele haavatavustele paigati nüüd ka jaanuaris avalikuks tulnud turvanõrkused tähistega CVE-2023-46805 ja CVE-2024-21887.

Shadowserveri monitooringu kohaselt on hetkel internetile avatud enam kui 24 700 Ivanti Connect Secure tarkvaraga serverit ning 460 kompromiteeritud seadet. Erinevate allikate sõnul on ründajad võtnud Ivanti haavatavused sihikule ja neid proovitakse järjepidevalt ära kasutada (HN, BC, SA).

GitLab paikas järjekordse kriitilise turvavea

GitLab parandas taas kriitilise turvavea oma tarkvarades GitLab Community Edition (CE) ja Enterprise Edition (EE). Haavatavus tähisega CVE-2024-0402 on hinnatud kõrge CVSS skooriga 9.9/10 ning see võimaldab ründajal kirjutada faile GitLabi serveris suvalistesse kohtadesse.

Mõned nädalad tagasi tuli avalikuks samuti kriitiline turvaviga GitLabi tarkvaras, mis võimaldas parooli lähtestamise abil konto üle võtta. Sellest kirjutasime ka varasemas blogis.

Lisaks paigati veel neli keskmise mõjuga haavatavust. Turvavead on parandatud GitLabi versioonides 16.8.1, 16.7.4, 16.6.6 ja 16.5.8. Ettevõtte soovitab kõigil kasutajatel rakendada turvapaigad esimesel võimalusel (HN, GitLab).

45 000 Jenkinsi serverit on turvanõrkuse tõttu ohus

Küberturbe teadurite sõnul on umbes 45 000 Jenkinsi serverit ohus kriitilise turvanõrkuse (CVE-2024-23897) tõttu, mis võimaldab ründajal pahaloomulist koodi kaugelt käivitada. Veale on avaldatud ka mitu kontseptsiooni tõendust (proof-of-concept ehk PoC), millest võib eeldada, et rünnete arv kasvab.

Turvaviga on parandatud 24. jaanuaril ning kõik kasutajad peaks tarvara uuendama versioonidele 2.442 ja LTS 2.426.3. Lisaks turvapaikadele on Jenkins avaldanud ka leevendavad meetmed neile, kel ei ole võimalik kohe turvapaikasid rakendada (BC, Jenkins).

AnyDesk teavitas neid tabanud küberründest

2. veebruaril avalikustas AnyDesk, et nad sattusid küberründe ohvriks, mille tagajärjel said häkkerid ligipääsu ettevõtte tootmissüsteemidele. Rünnaku käigus varastati muuhugas ka lähtekood ja koodi signeerimise võtmed.

AnyDesk on kaugligipääsu lahendus, mis võimaldab kasutajatel saada kaugelt juurdepääs arvutile kas võrgu või interneti kaudu. Ettevõttel on enam kui 170 000 klienti üle maailma, nende hulgas näiteks 7-Eleven, Comcast, LG Electronics, Samsung, MIT, NVIDIA, SIEMENS ja ÜRO.

Ettevõte ei ole avaldanud täpsemat infot selle kohta, kuidas ründajad said nende serveritele ligipääsu. Küll aga on nad kinnitanud, et tegemist ei ole lunavararünnakuga.

AnyDeski sõnul ei ole rünne mõjutanud lõppkasutaja seadmeid, kuid kõigil kasutajatel soovitatakse siiski uuendada tarkvara ja kasutada viimast versiooni.

Lisaks on soovitatav AnyDeski parool ära vahetada ning kui sama parool on kasutusel ka mõnes teises keskkonnas, siis tuleks ka seal parooli uuendada. AnyDeski sõnul ei lekkinud ründe käigus kasutajate paroolid, kuid küberturbega tegelev ettevõtte Resecurity avastas AnyDeski kasutajate mandaatide müügi internetis. Seega tuleks kindlasti kõigil kasutajatel parool ära vahetada (BC, HN, Resecurity).

Mozilla paikas oma tarkvarades 15 turvaviga

Mozilla paikas nii Firefox veebilehitsejas kui ka Thunderbird meiliprogrammis kokku 15 turvaviga, mille hulgas oli viis kõrge mõjuga haavatavust. Vead on paigatud Mozilla Firefoxi versioonis 122 ning Thunderbirdi ja Firefox ESRi versioonides 115.7. Soovitame Mozilla tarkvarad uuendada esimesel võimalusel (SW, Mozilla).

Olulised turvanõrkused 2023. aasta 39. nädalal

  • Libwebp teegi turvanõrkus võib mõjutada miljoneid rakendusi

Kui algselt arvati, et turvaviga on seotud ainult Google Chrome’iga, siis nüüdseks on eksperdid arvamust muutnud. Turvanõrkust tuntakse tähisega CVE-2023-4863 ja see on hinnatud kõrgeima CVSS skooriga (10.0/10.0). Haavatavus mõjutab kõiki rakendusi, mis kasutavad WebP piltide töötlemiseks libwebp teeki. Seda teeki kasutavad näiteks mitmed populaarsed tarkvarad nagu Nginx, Python, Joomla, WordPress, Node.js jpt. Ründaja võib haavatavust ära kasutada spetsiaalselt loodud WebP-faili abil, mille kaudu saab käivitada pahaloomulist koodi. Haavatavad on libwebp versioonid 0.5.0 kuni 1.3.1, turvanõrkus on parandatud versioonis 1.3.2. Soovitame rakenduste sõltuvus sellest teegist üle vaadata ja vajadusel rakendada turvauuendus teegile ja/või rakendustele (HNS, SA).

  • Kriitilisele Sharepointi turvaveale avalikustati kontseptsiooni tõendus

Microsoft SharePoint Serveri kriitilisele turvanõrkusele avalikustati tehniline analüüs. See turvaviga, mida tähistatakse kui CVE-2023-29357, võimaldab autentimata ründajatel omandada administraatori õigusi ilma kasutajapoolse sekkumiseta. Microsoft parandas haavatavuse juba juunis. Turvanõrkuse paikamine on oluline, kuna antud haavatavust on potentsiaalselt võimalik kombineerida ühe teise turvaveaga, et käivitada pahaloomulist koodi haavatavas süsteemis. Turvanõrkus on eemaldatud SharePointi versioonis 16.0.10399.20005 või uuemates versioonides (BP, PS).

  • Kriitilised haavatavused Eximi tarkvaras ohustavad üle 250 000 meiliserveri maailmas

Tuhanded serverid, mis kasutavad Eximi tarkvara, on ohus kriitiliste haavatavuste tõttu, mis võivad kaasa tuua pahatahtliku koodi kaugkäivitamise. Kokku mõjutab tarkvara kuus haavatavust ja Exim on väljastanud turvapaigad kolmele turvanõrkusele. Kuna Eximi tarkvara kasutavad paljud serverid, on haavatavuste paikamise üsna oluline. Samuti on selle tarkvara nõrkuseid varem ära kasutanud riikliku toega küberrühmitused. Näiteks 2020. aastal kirjeldas USA riiklik julgeolekuagentur (NSA), kuidas küberrühmitus nimega Sandworm oli kuritarvitanud 2019. aastast pärit Eximi tarkvara haavatavust (CISA). Soovitame serverite administraatoritel rakendada  turvapaigad esimesel võimalusel, kuna ründajad võivad neid turvaauke ära kasutada (AT).

  • Firefoxile ja Thunderbirdile tulid turvauuendused

Mozilla on välja andnud Firefoxi ja Thunderbirdi turvavärskendused, mis kõrvaldavad kokku üheksa haavatavust. Enamik turvanõrkustest on seotud mäluga ja võivad põhjustada rakenduse töös probleeme või võimaldada ründajal käivitada suvalist koodi. Soovitame paigaldada uuendused esimesel võimalusel (Mozilla, SW).

  • Chrome’il paigati selle aasta viies nullpäeva turvanõrkus, mis mõjutab potentsiaalselt ka paljusid teisi tarkvarasid

Google avalikustas erakorralise turvavärskenduse, et parandada viies Chrome’i nullpäeva haavatavus (CVE-2023-5217) sel aastal. See võib põhjustada rakenduse töös probleeme või viia suvalise koodi käivitumiseni. Väidetavalt on seda varem juba kuritarvitatud nuhkvara paigaldamiseks. Turvanõrkus on kõrvaldatud Google Chrome’i versioonis 117.0.5938.132, mis on saadaval Windowsi, macOSi ja Linuxi operatsioonisüsteemidele (AT).

Chrome’is avastatud kriitiline nullpäeva haavatavus on tekitanud muret, kuna see ei mõjuta mitte ainult Chrome’i, vaid ka paljusid teisi rakendusi, sh Firefoxi. Turvanõrkus peitub libvpx teegis ja seega võib potentsiaalne mõjuulatus olla väga lai, kuna teeki kasutab enamik sirvikuid, samuti Skype, Adobe, VLC ja Android.  Siiski on veel ebaselge, kui paljud tarkvarad on otseselt nõrkusest mõjutatud (AT).

  • Cisco haldustarkvara mõjutab viis turvanõrkust

Cisco on väljastanud hoiatuse viie haavatavuse kohta, mis mõjutavad Catalyst SD-WAN Manageri tarkvara. Kõige olulisem viga võimaldab haavatavale serverile saada autentimata kaugjuurdepääsu. SD-WAN Manageri kasutatakse võrgu haldamiseks. Kõige tõsisem haavatavus on CVE-2023-20252, mille CVSS-i skoor on 9,8. Ründajad saavad seda viga ära kasutada, saates SAML-i API-dele spetsiaalselt koostatud päringuid. Turvanõrkust saab ära kasutada volitamata juurdepääsu saamiseks andmetele, andmete muutmiseks või nende kustutamiseks (BP, Cisco).

Haavatavused mõjutavad Cisco Catalyst SD-WAN Manageri erinevaid versioone. Ettevõte soovitab minna üle paigatud versioonidele esimesel võimalusel, kuna alternatiivseid kaitsemeetmeid hetkel ei ole. IOS XE tarkvara, SD-WAN cEdge ja SD-WAN vEdge ruuterid ei ole turvavigade suhtes haavatavad (BP, Cisco).