Veebruaris avaldatud kriitilist Magento turvanõrkust kasutatakse aktiivselt ära
Veebruaris paigatud Magento 2 tarkvara kriitilist turvanõrkust tähisega CVE-2022-24086 (9.8/10.0) on hakatud taas rünnakutes aktiivselt ära kasutama. Magento on vabavaraline platvorm, mida kasutatakse e-poodide osana Eestis ja kõikjal maailmas. Turvanõrkus võimaldab autentimata kasutajal käivitada pahatahtlikku koodi paikamata veebilehtedel. Turvanõrkuse eemaldamiseks tuleb Magento tarkvara uuendada (BP).
Veebruaris avaldamise ajal levis info, et seda turvanõrkust on juba aktiivselt ära kasutatud. Mõni päev hiljem avaldati turvanõrkuse kohta avalik ründe tõendus (PoC), mille tagajärjel ennustati suuremat turvanõrkuse ära kasutamist.
CVE-2022-24086-nimelise turvanõrkuse abil saab autentimata ründaja veebilehe kompromiteerida ja kasutada seda edasiseks pahatahtlikuks tegevuseks – näiteks on võimalik veebilehele lisada pahaloomulist koodi, mis suunab külastaja edasi petulehtedele. Samuti on oht andmelekkeks.
Hiljuti, 22. septembril avaldati raport, mis tõi välja, et turvanõrkus kogub küberkurjategijate seas aina populaarsust. Ülevaade kirjeldab kolme ründeviisi, mida on hiljuti kasutatud. Ründeviiside puhul ei ole tuvastatud automatiseeritud tegevust, kuna Magento tarkvara ülesehituse loogika muudab kirjutajate hinnangul sellised ründed pigem keeruliseks. Täpsemalt saab raportiga tutvuda siin.
Kes ja mida peaks tegema?
Kuna turvanõrkus on kriitiline, potentsiaalne mõju suur ja seda üritatakse aktiivselt ära kasutada, tuleb mõjutatud veebilehtede halduritel uuendada haavatavad lehed esimesel võimalusel!
Tootja informatsiooni kohaselt on haavatavad järgmised versioonid:
Adobe Commerce ja Magento Open Source 2.3.3-p1 kuni 2.3.7-p2 ning 2.4.0 kuni 2.4.3-p1
Selleks, et haavatavus paigata, tuleb veebihalduril rakendada kaks turvapaika – esmalt turvapaik nimega MDVA-43395 ning siis MDVA-43443. Paikamiseks mõeldud juhised leiab tootja veebilehelt.
Sophose tulemüüri tarkvaras avastati kriitiline turvaviga
Sophose tulemüüri tarkvarast leiti nullpäeva turvanõrkus (9.8/10.0), mida tähistatakse koodiga CVE-2022-3236. Turvaviga mõjutab Sophose tulemüüri v19.0 MR1 (19.0.1) ja vanemaid versioone ning võimaldab ründajal pahaloomulist koodi kaugkäivitada. Veale on olemas parandus ning soovitame mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel (HN, Sophos).
Tootja sõnul on selle turvanõrkusega seni rünnatud peamiselt Lõuna-Aasias paiknevaid organisatsioone.
Kes ja mida peaks tegema?
Turvanõrkus on parandatud järgnevates Sophose tulemüüri versioonides:
v19.5 GA
v19.0 MR2 (19.0.2)
v19.0 GA, MR1 ja MR1-1
v18.5 MR5 (18.5.5)
v18.5 GA, MR1, MR1-1, MR2, MR3 ja MR4
v18.0 MR3, MR4, MR5 ja MR6
v17.5 MR12, MR13, MR14, MR15, MR16 ja MR17
v17.0 MR10
Kui uuendusi ei ole mingil põhjusel võimalik teha, soovitab tootja alternatiivse lahendusena veenduda, et tulemüüri kasutus- ja administeerimisliides ei oleks laivõrgust (WAN) kättesaadav. Juhend, kuidas seda teha, on siin. RIA soovitab alati turvapaiku sisaldavad uuendused paigaldada.
Parandati kuus kõrge tasemega turvanõrkust BIND DNSi tarkvaras
ICS (Internet Systems Consortium) avalikustas turvauuendused kuuele haavatavusele BIND DNSi tarkvaras. Neist neli võimaldavad ründajatel teoreetiliselt teenusetõkestusründeid sooritada. ICS ei ole teadlik, et neid puudusi oleks jõutud ära kasutada. Haavatavustele on väljastatud turvapaigad, mis soovitame vajadusel rakendada (SA).
Natuke lähemalt kõrge tasemega turvanõrkustest:
CVE-2022-2906 (7.5/10.0) – Diffie-Hellmani meetodil baseeruva võtmekehtestusprotsessi käigus põhjustatakse mäluleke, kui kasutatakse TKEY-kirjeid OpenSSL 3.0.0 või hilisema versiooniga.
Ründaja saab seda viga kasutada, et järk-järgult kasutusel olev mälu üle koormata kuni mälu puudumise tõttu peatub BINDi “named” daemoni töö. Selle taaskäivitamisel peaks ründaja rünnet kordama, kuid sellegipoolest on oht teenusetõkestusründele taas olemas, kui turvapaika ei ole rakendatud.
Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit. Tootja on turvapaigad väljastanud.
CVE-2022-38177 (7.5/10.0) – ECDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud ECDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.
Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.
CVE-2022-3080 (7.5/10.0) – BIND 9 resolveri töö võib peatuda, kui stale cache ja stale answers on lubatud, stale-answer-client-timeout on väärtus 0 ja vahemälus on vananenud CNAME-kirje sissetuleva päringu jaoks. Kui ründajal õnnestub saata spetsiifiline päring, võib “named” daemoni töö peatuda.
Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.
CVE-2022-38178 (7.5/10.0) – EdDSA algoritmi DNSSECi kinnituskood põhjustab mälulekke, kui allkirja pikkus ei ühti. Kui ründajal õnnestub sihtmärgiks valitud resolverile saata vastus, mis sisaldab valesti vormindatud EdDSA allkirja, on tal võimalik põhjustada mäluleke. Saadaolevat mälu on võimalik tal siis järk-järgult vähendada kuni punktini, kus ressursside puudumise tõttu ei tööta enam “named” daemon ja tekib teenusekatkestus.
Tootja väljastas paigad ning vajadusel saab rakendada ka alternatiivseid lahendusi, kui uuendatud versioonide paigaldamine ei ole võimalik. Täpsemalt saab mõjutatud BINDi tarkvara versioonidest lugeda siit.
Kes ja mida peaks tegema?
BINDi DNSi tarkvara kasutajad peaksid järgima tootja avaldatud juhiseid ja paikama vajadusel haavatava BINDi tarkvara versiooni või kasutama tootja soovitatud alternatiivseid lahendusi turvanõrkuste eemaldamiseks.
Mitmed Ubuntu LibTIFF teegi turvanõrkused on saanud parandused
Haavatavused võimaldavad ründajal teostada nii teenusekatkestusi kui ka saada ligipääs tundlikule infole. Erinevad LibTIFFi teegi turvanõrkused mõjutavad Ubuntu 14.04, 16.04, 18.04, 20.04 kui ka 22.04 versioone. Soovitame tutvuda tootjapoolse informatsiooniga ja uuendada vajadusel mõjutatud tarkvara (Ubuntu).
Ubuntu avaldas koondülevaate seitsmest LibTIFF teegiga seotud turvanõrkusest. LibTIFF teek võimaldab töödelda TIFF formaadis pildifaile. Erinevad turvanõrkused mõjutavad nii 14.04, 16.04, 18.04, 20.04 kui ka 22.04 Ubuntu versioone.
CVE-2020-19131 (7.5/10.0) – Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.
CVE-2020-19144 (6.5/10.0) – Selle turvanõrkuse abiga on võimalik ründajal teostada teenusetõkestusrünne või saada ligipääs tundlikule informatsioonile. Haavatavus mõjutab ainult Ubuntu 18.04 LTSi.
CVE-2022-1354 (5.5/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF-faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne. Turvanõrkus mõjutab ainult Ubuntu 20.04 LTSi ja 22.04 LTSi.
CVE-2022-1355 (6.1/10.0) – Kui kasutaja avab tiffinfo tööriista kasutades pahaloomulise TIFF faili, on ründajal võimalik potentsiaalselt teostada teenusetõkestusrünne.
CVE-2022-2056 (6.5/10.0), CVE-2022-2057 (6.5/10.0), CVE-2022-2058 (6.5/10.0) – Ründajal on teoreetiliselt võimalik kasutada turvanõrkust teenusetõkestusründe sooritamiseks.
Kes ja mida peaks tegema?
Soovitame tutvuda ametlike juhistega tootja kodulehel ja rakendada vajadusel vastavad uuendused, kui te ei ole seda juba teinud.
RIA analüüsi- ja ennetusosakond
