Tag Archives: turvaviga

Olulisemad turvanõrkused 2024. aasta 37. nädalal

Kriitilist SonicWalli tulemüüride viga kasutatakse rünnete läbiviimisel

Turvaviga tähisega CVE-2024-40766 (CVSS skoor 9.3/10) mõjutab SonicWalli Gen 5, Gen 6 ja Gen 7 tulemüüre. Haavatavuse kaudu on võimalik saada ligipääs võrgule ja lunavararühmitused on hakanud seda aktiivselt kuritarvitama. Turvanõrkus on parandatud versioonides 5.9.2.14-13o, 6.5.2.8-2n, 6.5.4.15.116n või 7.0.1-5035.

Ettevõttel on üle 500 000 ärikliendi 215 riigis, nende hulgas on näiteks valitsusasutused ja mõned maailma suurimad ettevõtted (BC, SA).

GitLab paikas mitmeid turvavigasid

GitLab avaldas eelmisel nädalal turvauuenduse, millega parandati 17 haavatavust. Nende hulgas oli ka kriitiline turvaviga tähisega CVE-2024-6678 (CVSS skoor 9.9/10), mis võimaldab ründajal käivitada automatiseeritud protsessi (pipeline) suvalise kasutaja õigustes. Vead on parandatud GitLab Community Edition (CE) ja Enterprise Edition (EE) versioonides 17.3.2, 17.2.5 ja 17.1.7. Hetkel teadaolevalt ei ole neid turvavigasid ära kasutatud (HN).

Adobe paikas kriitilisi vigu oma tarkvarades

Adobe paikas 28 haavatavust, mis mõjutavad tarkvarasid Acrobat ja PDF Reader, Adobe ColdFusion, Adobe Photoshop ja Adobe Media Encoder. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ja osade haavatavuste vastu on olemas eksploitid.

Ohustatud on nii Windowsi kui ka Maci kasutajad (SW).

Microsoft paikas oma toodetes 79 haavatavust

Microsoft parandas kokku 79 haavatavust, mille hulgas oli ka neli nullpäeva turvanõrkust. Paigatud vigadest seitse on hinnatud kriitilise mõjuga veaks ja ettevõtte sõnul on nullpäeva turvanõrkusi juba rünnetes ära kasutatud.

Paigatud turvanõrkused jagunevad:

  • 30 õiguste ülesvallutuse turvanõrkust (Elevation of Privilege Vulnerabilities)
  • 4 turbevahenditest möödapääsu turvanõrkust (Security Feature Bypass Vulnerabilities)
  • 23 koodi kaugkäituse turvanõrkust (Remote Code Execution Vulnerabilities)
  • 11 info avalikustamise turvanõrkust (Information Disclosure Vulnerabilities)
  • 8 teenusetõkestuse turvanõrkust (Denial of Service Vulnerabilities)
  • 3 teesklusrünnakuid võimaldavat turvanõrkust (Spoofing Vulnerabilities)

Täpsema nimekirja parandustest leiab lisatud lingilt (BC, HNS).

Ivanti paikas turvanõrkusi erinevates toodetes

Ivanti paikas kriitilise haavatavuse tähisega CVE-2024-29847 (CVSS skoor 10/10), mis võimaldab autentimata ründajal tarkvaras Endpoint Manager (EPM) koodi käivitada. Lisaks nimetatud veale paigati veel mitmeid SQLi käivitamise vigasid EPMis. Ettevõte paikas ka seitse haavatavust tarkvarades Workspace Control (IWC) ja Cloud Service Appliance (CSA).

Cloud Service Appliance (CSA) versioonile 4.6 (eluea lõpus olev tooteversioon) toimuvad aktiivsed rünnakud, kasutades turvanõrkust CVE-2024-8190 (CVSS skoor 7.2/10), mis võimaldab autentimata ründajal käivitada koodi administraatoriõigustes.

Kõigil Ivanti toodete kasutajatel tuleks esimesel võimalusel tarkvara uuendada (BC, HN, CISA).

Palo Alto Networks paikas hulga turvanõrkusi oma toodetes

Palo Alto Networks andis kolmapäeval teada, et nad on paiganud hulga turvanõrkusi järgmistes toodetes: PAN-OS, Cortex XDR, ActiveMQ Content Pack, and Prisma Access Browser. Paigatud turvanõrkustest kõige tõsisem on PAN-OS’is leitud käsusüsti (command injection) turvanõrkus CVE-2024-8686 (CVSS skoor 8.6/10), mis võimaldab autentimata ründajal käivitada käsklusi juurkasutaja õigustes.

Seoses Google’i eelmise nädala Chromiumi turvauuendustega uuendati ka Chromiumil baseeruvat Prisma Access Browser’it.

Soovitame nende toodete tarkvara uuendada viimasele avaldatud versioonile (SW).

Olulisemad turvanõrkused 2024. aasta 18. nädalal

Habemega mees istub arvuti taga, käed klaviatuuril, monitoril tekstiread, Taamal värviline valgus

Androidi pahavara levitatakse WordPressi veebilehtede kaudu

Uut Androidi pahavara, mida nimetatakse “Wpeeper” levitatakse häkitud WordPressi veebilehtede kaudu. Kasutajale jäetakse näiliselt mulje, et ta laeb tarkvara alla usaldusväärsest rakenduste poest, kuid tegelikult on tegemist pahavaraga. Wpeeperi peamine eesmärk on varastada kasutaja andmeid, kuid lisaks võimaldab see ka palju muid tegevusi – näiteks on võimalik selle abil teada saada info kõigi seadmesse installitud rakenduste kohta. Et vältida selliseid riske nagu Wpeeper, on soovitatav installida rakendusi ainult Androidi ametlikust rakenduste poest Google Play ja samuti veenduda, et Play Protect teenus on aktiveeritud (BC).

Programmeerimiskeele “R” haavatavus võib põhjustada tarneahela rünnakuid

Programmeerimiskeeles “R” olevat turvaviga tähisega CVE-2024-27322 saab ära kasutada suvalise koodi käivitamiseks ja seeläbi kasutada osana tarneahela rünnakust. Avatud lähtekoodiga programmeerimiskeel R toetab andmete visualiseerimist, masinõpet ja statistilist andmetöötlust ning seda kasutatakse laialdaselt statistilise analüüsi tegemiseks erinevates valdkondades.

Turvavea ära kasutamiseks tuleb häkkeril kirjutada fail üle ning tagada koodi automaatne käivitamine pärast faili laadimist. Eduka ründe jaoks peab ohver avama oma seadmes kas RDS (R Data Serialization) või RDX (R package) faili. Kuna taolisi faile jagatakse ja hoitakse tihti GitHubis, siis on see potentsiaalne meetod rünnete läbiviimiseks. Viga on paigatud R Core versioonis 4.4.0 (SW, BC).

Aruba Networking paikas neli kriitilist turvaviga ArubaOS tarkvaras

HPE Aruba Networking paikas kümme haavatavust ArubaOS operatsioonisüsteemis, millest neli olid koodi kaugkäivitamist võimaldavad kriitilised turvavead. Kriitilise mõjuga turvavead on hinnatud CVSS skooriga 9.8/10 ja neid tähistatakse CVE-2024-26305, CVE-2024-26304, CVE-2024-33511 ja CVE-2024-33512. Ülejäänud kuus paigatud viga on keskmise mõjuga haavatavused.

Turvavigadest on mõjutatud mitmed erinevad Aruba Networking tooted ja tarkvarad ning ettevõte soovitab kõigil kasutajatel uuendada ArubaOS kõige värskemale versioonile. Turvavead on paigatud ArubaOS versioonides 10.6.0.0, 10.5.1.1, 10.4.1.1, 8.11.2.2, 8.10.0.11 ja uuemad (BC).

1400 GitLabi serverit on endiselt turvanõrkuse tõttu ohus

USA küberagentuuri CISA sõnul on jaanuaris avalikuks tulnud GitLabi turvavea tähisega CVE-2023-7028 tõttu endiselt ohus 1400 serverit. Samuti on nüüdseks leidnud kinnitust, et haavatavust on õnnestunud kuritarvitada. Nimetatud haavatavus on hinnatud maksimaalse CVSS skooriga 10/10 ning see võimaldab ründajal kasutaja konto üle võtta, saates parooli muutmise lingi suvalisele e-posti aadressile.

Viga paigati juba jaanuaris ning kõigil kasutajatel tuleks üle kontrollida, kas neil on kasutusel tarkvara viimane versioon (SW).

Kanada apteegikett “London Drugs” sulges küberrünnaku tagajärjel kõik apteegid Lääne-Kanadas

Kanada apteegikett sattus küberründe ohvriks ja pidi seetõttu apteegid sulgema. Intsidendi avastamise järel võeti kohe kasutusele vastumeetmed oma võrgu ja andmete kaitsmiseks ning samuti kaasati lahendamisse välised küberjulgeolekueksperdid. London Drugsi sõnul ei ole hetkel põhjust arvata, et nende töötajate või klientide andmed oleksid küberintsidendist mõjutatud. Täpsemat infot intsidendi põhjuste kohta ei ole veel avaldatud.

Küberintsident tuli avalikuks 28. aprillil, misjärel apteegid jäid suletuks kuueks päevaks. Nüüd on hakatud neid järk-järgult uuesti avama, kuid mitmed apteegid on endiselt klientidele suletud. Viimasel ajal on sagenenud tervishoiusektori vastu suunatud ründed. Näiteks tabas aprillis Cannes’is asuvat suurhaiglat küberrünnak ja veebruaris oli häiritud Change Healthcare tarkvara kasutavate apteekide töö üle USA (BC, DR, TR).

Change Healthcare’i häkiti, kasutades varastatud Citrixi kontot, millel puudus mitmikautentimine

Veebruaris tuli avalikuks küberrünnak, mis häiris apteekide tööd üle kogu USA. Apteekidele tarkvara pakkuv Change Healthcare oli sunnitud küberrünnaku järel sulgema osa oma süsteemidest. See tähendas, et mitmed apteegid üle kogu USA ei saanud kontrollida, kas patsientidel on ravikindlustus, kas neil on õigus retseptiravimitele, soodustustele jmt. Intsident põhjustas hinnanguliselt 872 miljoni suuruse kahju.

Nüüd selgus, et ründe taga oli BlackCati-nimeline lunavararühmitus, kes said ligipääsu varastatud kasutajaõiguste kaudu, millega siseneti ettevõtte Citrixi kaugtöölauateenusesse. Change Healthcare ei olnud seadistanud mitmefaktorilist autentimist. Ei ole teada, kas kasutajaõiguste info varastati andmepüügirünnaku või teavet varastava pahavara kaudu (BC).

Olulisemad turvanõrkused 2024. aasta 11. nädalal

Illustratsioon: palju pisikesi tehnilisi detaile, keskel suuremalt avatud ekraaniga sülearvuti ning monitor

100 000 WordPressi veebilehte on turvanõrkuse tõttu ohus

Kõrge mõjuga turvanõrkus CVE-2024-2123 mõjutab pistikprogrammi “Ultimate member” ning eduka ründe korral on võimalik haavatud veebilehele pahaloomulisi skripte sisestada. Turvaauku on võimalik ära kasutada ründajal, kellel ei ole lehel õigusi. Ründe läbiviimisel saab ta endale administraatoriõigused lisada.

“Ultimate member” võimaldab WordPressi administraatoril hallata kasutajate registreeringuid, sisselogimisi, profiile ja rolle.

Pistikprogrammi kasutab umbes 200 000 WordPressi veebilehte ja eeldatavasti on pooled neist paikamata versiooniga. Viga on parandatud tarkvara versioonis 2.8.4. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme ja teemasid regulaarselt uuendada (SW).

Microsoft paikas oma toodetes 60 haavatavust

Microsoft parandas kokku 60 haavatavust, mille hulgas oli 18 koodi kaugkäivitamist võimaldavat turvaviga. Parandatud turvavigadest on vaid kaks haavatavust hinnatud kriitilise mõjuga veaks – need mõlemad mõjutavad Microsoft Hyper-V virtualiseerimislahendust.  Turvavead tähistega CVE-2024-21407 ja CVE-2024-21408 võivad eduka ründe korral kaasa tuua koodi käivitamise ja teenuste tõkestamise. Lisaks paigati ka neli turvaviga Microsoft Edge veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud linkidelt. Ükski parandatud turvavigadest ei olnud nullpäeva turvanõrkus (BCSA).

TeamCity turvanõrkuseid kasutatakse ära lunavararünnete läbiviimisel

Märtsi alguses tulid avalikuks turvavead TeamCity tarkvaras, mille kaudu on võimalik autentimisest mööda minna ja saada ohvri serveris administraatoriõigused. Kirjutasime neist haavatavustest ka siin blogis.

Turvavea avastasid Rapid7 teadurid, kes avalikustasid haavatavuste täpsema tehnilise info vaid paar tundi pärast seda, kui tarkvaratootja JetBrains oli jõudnud vead paigata. See aga tõi kaasa ründelaine – kohe pärast vea avalikustamist võtsid ründajad need sihikule ja hakkasid otsima turvapaikamata tarkvarasid.

LeakIX-nimeline projekt, mis otsib veebist haavatavaid ja valesti konfigureeritud süsteeme, nägi massilist turvavigade ärakasutamist. Nende hinnangul lõid petturid kontosid vähemalt 1400 korral. Lisaks kasutas TeamCity haavatavust tähisega CVE-2024-27198 ligipääsu saamiseks ka lunavararühmitus nimega BianLian, kes on varem rünnanud kriitilise infrastruktuuri taristut.

JetBrains on ka ise öelnud, et mitmed nende kliendid on teavitanud kompromiteeritud serveritest ja krüpteeritud failidest (SW, GS, TR).

QNAP paikas NAS-seadmete kriitilise mõjuga turvanõrkuse

QNAP paikas kriitilise turvavea tähisega CVE-2024-21899, mille kaudu on ründajal võimalik saada ligipääs NAS-seadmele. Ettevõtte sõnul mõjutab haavatavus QTS, QuTS hero ja QuTScloud tooteid. Lisaks paigati ka turvavead tähistega CVE-2024-21900 ja CVE-2024-21901, mis võivad kaasa tuua pahaloomulise koodi käivitamise. QNAP ei maini oma teavituses, et turvanõrkusi oleks õnnestunud rünnete läbiviimisel ära kasutada, kuid QNAP-toodete turvavead on varem olnud rünnete all ja seetõttu on kõigil kasutajatel soovitatav tarkvara uuendada (SW).

Fortinet paikas taas oma toodetes kriitilisi haavatavusi

Fortinet avaldas turvauuenduse, millega paigatakse FortiOSi, FortiProxy ja FortiClientEMSi tarkvarades olevad kriitilised koodi käitamise haavatavused. Turvaviga tähisega CVE-2023-42789 on hinnatud kriitilise CVSS skooriga 9.3/10 ja selle kaudu on võimalik saata kompromiteeritud seadmele pahaloomulisi HTTP-päringuid. Viga mõjutab Fortineti FortiOSi versioone 7.4.0 kuni 7.4.1, 7.2.0 kuni 7.2.5, 7.0.0 kuni 7.0.12, 6.4.0 kuni 6.4.14, 6.2.0 kuni 6.2.15 ning FortiProxy versioone 7.4.0, 7.2.0 kuni 7.2.6, 7.0.0 kuni 7.0.12, 2.0.0 kuni 2.0.13.

Lisaks paigati ka teine kriitiline turvaviga CVE-2023-48788, mis võimaldab ründajal käivitada SQLi käske. Viga mõjutab FortiClientEMS versioone 7.2 ja 7.0. Kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada. Fortineti haavatavusi on ära kasutatud nii lunavararünnakute kui ka küberspionaaži läbiviimisel. Näiteks avaldas Fortinet veebruaris, et Hiina päritolu rühmitus on kasutanud just FortiOSi turvavigasid ning saanud nende abil ligipääsu Hollandi kaitseministeeriumi võrgule (SA, BC).

Cisco paikas ruuterite turvavead

Cisco paikas mitmeid haavatavusi ruuterite tarkvaras. Nende hulgas oli kolm kõrge mõjuga turvaviga, mis mõjutavad Cisco IOS XR tarkvara ja võivad kaasa tuua nii õigustega manipuleerimise kui ka teenuste tõkestamise.

Kõrge mõjuga turvavead on tähistega CVE-2024-20318, CVE-2024-20320 ja CVE-2024-20327. Vead mõjutavad erinevaid Cisco ruuterite seeriaid – näiteks Cisco 8000 ja 5700 seeria, NCS 540 ja ASR 9000. Turvavead on parandatud IOS XR tarkvara uues versioonis (SA, Cisco).