Tag Archives: turvaviga

Olulisemad turvanõrkused 2024. aasta 18. nädalal

Habemega mees istub arvuti taga, käed klaviatuuril, monitoril tekstiread, Taamal värviline valgus

Androidi pahavara levitatakse WordPressi veebilehtede kaudu

Uut Androidi pahavara, mida nimetatakse “Wpeeper” levitatakse häkitud WordPressi veebilehtede kaudu. Kasutajale jäetakse näiliselt mulje, et ta laeb tarkvara alla usaldusväärsest rakenduste poest, kuid tegelikult on tegemist pahavaraga. Wpeeperi peamine eesmärk on varastada kasutaja andmeid, kuid lisaks võimaldab see ka palju muid tegevusi – näiteks on võimalik selle abil teada saada info kõigi seadmesse installitud rakenduste kohta. Et vältida selliseid riske nagu Wpeeper, on soovitatav installida rakendusi ainult Androidi ametlikust rakenduste poest Google Play ja samuti veenduda, et Play Protect teenus on aktiveeritud (BC).

Programmeerimiskeele “R” haavatavus võib põhjustada tarneahela rünnakuid

Programmeerimiskeeles “R” olevat turvaviga tähisega CVE-2024-27322 saab ära kasutada suvalise koodi käivitamiseks ja seeläbi kasutada osana tarneahela rünnakust. Avatud lähtekoodiga programmeerimiskeel R toetab andmete visualiseerimist, masinõpet ja statistilist andmetöötlust ning seda kasutatakse laialdaselt statistilise analüüsi tegemiseks erinevates valdkondades.

Turvavea ära kasutamiseks tuleb häkkeril kirjutada fail üle ning tagada koodi automaatne käivitamine pärast faili laadimist. Eduka ründe jaoks peab ohver avama oma seadmes kas RDS (R Data Serialization) või RDX (R package) faili. Kuna taolisi faile jagatakse ja hoitakse tihti GitHubis, siis on see potentsiaalne meetod rünnete läbiviimiseks. Viga on paigatud R Core versioonis 4.4.0 (SW, BC).

Aruba Networking paikas neli kriitilist turvaviga ArubaOS tarkvaras

HPE Aruba Networking paikas kümme haavatavust ArubaOS operatsioonisüsteemis, millest neli olid koodi kaugkäivitamist võimaldavad kriitilised turvavead. Kriitilise mõjuga turvavead on hinnatud CVSS skooriga 9.8/10 ja neid tähistatakse CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 ja CVE-2024-33512. Ülejäänud kuus paigatud viga on keskmise mõjuga haavatavused.

Turvavigadest on mõjutatud mitmed erinevad Aruba Networking tooted ja tarkvarad ning ettevõte soovitab kõigil kasutajatel uuendada ArubaOS kõige värskemale versioonile. Turvavead on paigatud ArubaOS versioonides 10.6.0.0, 10.5.1.1, 10.4.1.1, 8.11.2.2, 8.10.0.11 ja uuemad (BC).

1400 GitLabi serverit on endiselt turvanõrkuse tõttu ohus

USA küberagentuuri CISA sõnul on jaanuaris avalikuks tulnud GitLabi turvavea tähisega CVE-2023-7028 tõttu endiselt ohus 1400 serverit. Samuti on nüüdseks leidnud kinnitust, et haavatavust on õnnestunud kuritarvitada. Nimetatud haavatavus on hinnatud maksimaalse CVSS skooriga 10/10 ning see võimaldab ründajal kasutaja konto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile.

Viga paigati juba jaanuaris ning kõigil kasutajatel tuleks üle kontrollida, kas neil on kasutusel tarkvara viimane versioon (SW).

Kanada apteegikett “London Drugs” sulges küberrünnaku tagajärjel kõik apteegid Lääne-Kanadas

Kanada apteegikett sattus küberründe ohvriks ja pidi seetõttu apteegid sulgema. Intsidendi avastamise järel võeti kohe kasutusele vastumeetmed oma võrgu ja andmete kaitsmiseks ning samuti kaasati lahendamisse välised küberjulgeolekueksperdid. London Drugsi sõnul ei ole hetkel põhjust arvata, et nende töötajate või klientide andmed oleksid küberintsidendist mõjutatud. Täpsemat infot intsidendi põhjuste kohta ei ole veel avaldatud.

Küberintsident tuli avalikuks 28. aprillil, misjärel apteegid jäid suletuks kuueks päevaks. Nüüd on hakatud neid järk-järgult uuesti avama, kuid mitmed apteegid on endiselt klientidele suletud. Viimasel ajal on sagenenud tervishoiusektori vastu suunatud ründed. Näiteks tabas aprillis Cannes’is asuvat suurhaiglat küberrünnak ja veebruaris oli häiritud Change Healthcare tarkvara kasutavate apteekide töö üle USA (BC, DR, TR).

Change Healthcare’i häkiti, kasutades varastatud Citrixi kontot, millel puudus mitmikautentimine

Veebruaris tuli avalikuks küberrünnak, mis häiris apteekide tööd üle kogu USA. Apteekidele tarkvara pakkuv Change Healthcare oli sunnitud küberrünnaku järel sulgema osa oma süsteemidest. See tähendas, et mitmed apteegid üle kogu USA ei saanud kontrollida, kas patsientidel on ravikindlustus, kas neil on õigus retseptiravimitele, soodustustele jmt. Intsident põhjustas hinnanguliselt 872 miljoni suuruse kahju.

Nüüd selgus, et ründe taga oli BlackCati-nimeline lunavararühmitus, kes said ligipääsu varastatud kasutajaõiguste kaudu, millega siseneti ettevõtte Citrixi kaugtöölauateenusesse. Change Healthcare ei olnud seadistanud mitmefaktorilist autentimist. Ei ole teada, kas kasutajaõiguste info varastati andmepüügirünnaku või teavet varastava pahavara kaudu (BC).

Olulisemad turvanõrkused 2024. aasta 11. nädalal

Illustratsioon: palju pisikesi tehnilisi detaile, keskel suuremalt avatud ekraaniga sülearvuti ning monitor

100 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kõrge mõjuga turvanõrkus CVE-2024-2123 mõjutab pistikprogrammi “Ultimate member” ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi skripte sisestada. Turvaauku on võimalik ära kasutada ründajal, kellel ei ole lehel õigusi. Ründe läbiviimisel saab ta endale administraatoriõigused lisada.

“Ultimate member” võimaldab WordPressi administraatoril hallata kasutajate registreeringuid, sisselogimisi, profiile ja rolle.

Pistikprogrammi kasutab umbes 200 000 WordPressi veebilehte ja eeldatavasti on pooled neist paikamata versiooniga. Viga on parandatud tarkvara versioonis 2.8.4. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW).

Microsoft paikas oma toodetes 60 haavatavust

Microsoft parandas kokku 60 haavatavust, mille hulgas oli 18 koodi kaugkäivitamist võimaldavat turvaviga. Parandatud turvavigadest on vaid kaks haavatavust hinnatud kriitilise mõjuga veaks – need mõlemad mõjutavad Microsoft Hyper-V virtualiseerimislahendust.  Turvavead tähistega CVE-2024-21407 ja CVE-2024-21408 võivad eduka ründe korral kaasa tuua koodi käivitamise ja teenuste tõkestamise. Lisaks paigati ka neli turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud linkidelt. Ükski parandatud turvavigadest ei olnud nullpäeva turvanõrkus (BCSA).

TeamCity turvanõrkuseid kasutatakse ära lunavararünnete läbiviimisel

Märtsi alguses tulid avalikuks turvavead TeamCity tarkvaras, mille kaudu on võimalik autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Kirjutasime neist haavatavustest ka siin blogis.

Turvavea avastasid Rapid7 teadurid, kes avalikustasid haavatavuste täpsema tehnilise info vaid paar tundi pärast seda, kui tarkvaratootja JetBrains oli jõudnud vead paigata. See aga tõi kaasa ründelaine – kohe pärast vea avalikustamist võtsid ründajad need sihikule ja hakkasid otsima turvapaikamata tarkvarasid.

LeakIX-nimeline projekt, mis otsib veebist haavatavaid ja valesti konfigureeritud süsteeme, nägi massilist turvavigade ärakasutamist. Nende hinnangul lõid petturid kontosid vähemalt 1400 korral. Lisaks kasutas TeamCity haavatavust tähisega CVE-2024-27198 ligipääsu saamiseks ka lunavararühmitus nimega BianLian, kes on varem rünnanud kriitilise infrastruktuuri taristut.

JetBrains on ka ise öelnud, et mitmed nende kliendid on teavitanud kompromiteeritud serveritest ja krüpteeritud failidest (SW, GS, TR).

QNAP paikas NAS-seadmete kriitilise mõjuga turvanõrkuse

QNAP paikas kriitilise turvavea tähisega CVE-2024-21899, mille kaudu on ründajal võimalik saada ligipääs NAS-seadmele. Ettevõtte sõnul mõjutab haavatavus QTS, QuTS hero ja QuTScloud tooteid. Lisaks paigati ka turvavead tähistega CVE-2024-21900 ja CVE-2024-21901, mis võivad kaasa tuua pahaloomulise koodi käivitamise. QNAP ei maini oma teavituses, et turvanõrkusi oleks õnnestunud rünnete läbiviimisel ära kasutada, kuid QNAP-toodete turvavead on varem olnud rünnete all ja seetõttu on kõigil kasutajatel soovitatav tarkvara uuendada (SW).

Fortinet paikas taas oma toodetes kriitilisi haavatavusi

Fortinet avaldas turvauuenduse, millega paigatakse FortiOSi, FortiProxy ja FortiClientEMSi tarkvarades olevad kriitilised koodi käitamise haavatavused. Turvaviga tähisega CVE-2023-42789 on hinnatud kriitilise CVSS skooriga 9.3/10 ja selle kaudu on võimalik saata kompromiteeritud seadmele pahaloomulisi HTTP-päringuid. Viga mõjutab Fortineti FortiOSi versioone 7.4.0 kuni 7.4.1, 7.2.0 kuni 7.2.5, 7.0.0 kuni 7.0.12, 6.4.0 kuni 6.4.14, 6.2.0 kuni 6.2.15 ning FortiProxy versioone 7.4.0, 7.2.0 kuni 7.2.6, 7.0.0 kuni 7.0.12, 2.0.0 kuni 2.0.13.

Lisaks paigati ka teine kriitiline turvaviga CVE-2023-48788, mis võimaldab ründajal käivitada SQLi käske. Viga mõjutab FortiClientEMS versioone 7.2 ja 7.0. Kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada. Fortineti haavatavusi on ära kasutatud nii lunavararünnakute kui ka küberspionaaži läbiviimisel. Näiteks avaldas Fortinet veebruaris, et Hiina päritolu rühmitus on kasutanud just FortiOSi turvavigasid ning saanud nende abil ligipääsu Hollandi kaitseministeeriumi võrgule (SA, BC).

Cisco paikas ruuterite turvavead

Cisco paikas mitmeid haavatavusi ruuterite tarkvaras. Nende hulgas oli kolm kõrge mõjuga turvaviga, mis mõjutavad Cisco IOS XR tarkvara ja võivad kaasa tuua nii õigustega manipuleerimise kui ka teenuste tõkestamise.

Kõrge mõjuga turvavead on tähistega CVE-2024-20318, CVE-2024-20320 ja CVE-2024-20327. Vead mõjutavad erinevaid Cisco ruuterite seeriaid – näiteks Cisco 8000 ja 5700 seeria, NCS 540 ja ASR 9000. Turvavead on parandatud IOS XR tarkvara uues versioonis (SA, Cisco).

Log4j Java turvanõrkuse kokkuvõte

9. detsembril 2021 avalikustati Log4j Java logimisfunktsioonis kriitiline nullpäeva turvanõrkus CVE-2021-44228. Turvanõrkuse tõsidus hinnati rahvusvahelise standardi järgi võimalikust kõrgeimaks (10 punkti 10st), sest see võimaldab ründajal haavatavas seadmes jooksutada vabalt valitud koodi. Nõrkus mõjutab lugematut hulka ettevõtteid ja asutusi, sealhulgas avaliku sektori asutusi ja teenuseid.

17. detsembril tuli välja, et seni Java 8 või uuemale Java versioonile mõeldud Log4j versioon 2.15 ei ole enam turvaline ning soovitus oli uuendada Java 8 või uuema kasutamisel Log4j versiooninile 2.16. Kolm päeva hiljem selgus täiendavalt, et uuendada tuleks hoopis versioon 2.17 peale https://amp.thehackernews.com/thn/2021/12/new-local-attack-vector-expands-attack.html.

Turvanõrkuse olemus

CVE-2021-44228 turvanõrkust on ründajal võimalik ära kasutada nii, et ta saadab haavatavale serverile, seadmele või süsteemile kindla formaadiga käsu ja lisab viite pahavarale, mis võib asuda kuskil kolmandas serveris. Haavatav server loob käskluse, Log4j otsib viidatud pahavara üles, laeb alla ja käitab selle. Pahavara iseloomust sõltuvalt võib see anda kolmandale osapoolele ligipääsu seadmele.

Intsidendi mõju

Kui mõjutatud seadmete ja süsteemide uuendused jäävad venima või kui uuendusi nende valmides kiiresti ei paigaldata, võib potentsiaalne kahju olla globaalselt seninägematu.

Turvanõrkuse massilist ärakasutamist Eestis seni näha ei ole. 20.12 seisuga on RIA küberintsidentide käsitlemise osakonnale (CERT-EE) teada mõnest juhtumist, kus nõrkuse kaudu on süsteem kompromiteeritud või testitud turvanõrkuse olemasolu. See info täieneb pidevalt.

Kompromiteerimise tagajärjel toimunud tõsiste tagajärgedega rünnakutest, andmeleketest või lunavarajuhtumitest, mis oleks mõjutanud kriitiliste teenuste osutamist, seni teateid ei ole.

Täielikku ülevaadet mõjutatud seadmetest või süsteemidest on keeruline kokku panna, sest Java programmeerimiskeel on laialt levinud. Näiteks kui asutuses on kasutusel Java platvormil programmeeritud teenused, on neil võimalik uuendada Log4j logimisfunktsioon ise. Kuid samas võib asutuses olla kasutuses hulk nn karbitooteid (võrguseadmed, antiviiruse keskhaldus, veebiteenuste taristuteenused vms), milles on samuti kasutusel Log4j ja mille kaudu võib tekkida ründajal ligipääs asutuste võrkudele. Need tooted peaks saama uuenduse tootjate kaudu.

Kõik seadmed ja rakendused, mis kasutavad log4j logimisfunktsiooni teatud versioone (2.0-beta9 kuni 2.16.0, väljaarvatud 2.12.2), on potentsiaalselt haavatavad ning need tuleb uuendada versioonile 2.17.0. Kõikide versioonide jaoks ei ole veel turvapaiku välja töötatud. Lisaks ei ole kõik kasutajad veel jõudnud rakendada turvapaiku versioonidele, millele on see avaldatud.

Mõju lõppkasutajatele

Log4j turvanõrkusel on hetkel mõju pigem ettevõtetele ja asutustele, kelle süsteemidesse on võimalik potentsiaalselt sisse murda. Kui turvanõrkust hakkavad ära kasutama aga kurjategijad, kel õnnestub paigaldada pahavara laialt kasutatavatesse teenustesse, võib sellel olla mõju ka tavakasutajatele. Praegu ei ole võimalik öelda, milline on nõrkuse mõju lõppkasutaja seadmetele, st arvutitele ja nutiseadmetele. On väga tõenäoline, et on vaja ka uuendused välja töötada Java platvormi kasutavatele asjade interneti seadmetele ja masinatele.

Meetmed

Ettevõtted ja asutused peaksid üle vaatama oma IT-taristu ja tegema endale selgeks, millistes kasutatavates toodetes ja teenustes võib vastav haavatavus peituda. Kui tootja tuleb välja uuendusega, tuleks paigata need nii kiiresti kui võimalik. Samal ajal peaks ettevõtted ja asutused aktiivselt otsima võimalikke sissetungikatseid. Toodete puhul, kus uuendused puuduvad, on rahvusvaheline küberturvalisuse kogukond välja pakkunud hulga meetmeid, mis aitaks vähendada rünnakute edukust.

Versioon ja skoor: 2.0-beta9 kuni 2.14.1 – kriitiline
CVE: CVE-2021-44228
Nõrkus: Kaugkoodikäivitus
CVSS: 10

Versioon ja skoor: 2.0-beta9 kuni 2.15 (v.a 2.12.2) – kriitiline
CVE: CVE-2021-45046
Nõrkus: Kaugkoodikäivitus ja infoleke
CVSS: 9

Versioon ja skoor: 2.0-beta9 kuni 2.16 – kõrge
CVE: CVE-2021-45105
Nõrkus: Teenusetõkestus
CVSS: 7.5

Versioon ja skoor: 1.2 – kõrge
CVE: CVE-2021-4104
Nõrkus: Untrusted deserialization
CVSS: 8.1

Parim lahendus on uuendada haavatavates süsteemides Log4j versioonile 2.17.
Kui uuendamine ei ole võimalik, siis tuleb hinnata riski ning rakendada vastavalt riskihindamise tulemusele leevendusmeetmeid:

  • Java käivitamisel kasutada parameetrit -Dlog4j2.formatMsgNoLookups=true või seada keskkonnamuutuja LOG4J_FORMAT_MSG_NO_LOOKUPS=”true” (ei lahenda CVE-2021-44228 nõrkust)
  • Eemaldada JndiLookup class classpathist

Täiendavad leevendusmeetmed:

  • (Potentsiaalselt) haavatavate süsteemide eraldamine võrkude segmenteerimise või tulemüüride abil.
  • (Potentsiaalselt) haavatavate süsteemidel internetti pöördumise algatamise keelamine
  • IDS/IPS süsteemides vastava kaitse sisse lülitamine.
  • Süsteemide automaatne või sage manuaalne monitoorimine rünnete või muude kahtlaste tegevuste tuvastamiseks.

Täiendavaid leevendusmeetmeid on soovitav rakendada ka teadaolevalt mitte haavatavate süsteemide puhul võimaliku tulevase ohu vähendamiseks.

Küberrünnaku kahtluse korral tuleks esimesel võimalusel pöörduda CERT-EE poole aadressil cert[@]cert.ee.

RIA tegevused ja kronoloogia

  • 10.12 – RIA edastas esimese teavituse turvanõrkuse kohta koos tegutsemisjuhistega RIA tiimidele ja teistele riigiasutustele, sh turvajuhtide.
  • 10.12–17.12 – RIA kaardistab nii enda teenustes haavatavad komponendid (need kas uuendatud või leidnud võimaluse piirata ründevektorit) ning kogub infot partneritelt.
  • 13.12 – RIA edastas hoiatused ja soovitused avaliku sektori turvajuhtidele ja elutähtsate teenuste osutajatele.
  • 13.12 – RIA on tuvastanud rünnakukatseid riigivõrku kasutavate asutuste suunas ning andnud neist märku vastavatele asutustele koos suunistega, kuidas oma taristut kaitsta.
  • 17.12 ja 20.12 – RIA edastas täiendava teavituse turvanõrkuse kohta elutähtsate ja oluliste teenuste osutajatele (ETOd ja OTOd) ning turvajuhtidele.

RIA jätkab asutustega suhtlemist, olukorra kaardistamist ja annab jooksvalt soovitusi nii asutustele kui ka teenuse pakkujatele.