Tag Archives: VM2

Olulised turvanõrkused 2023. aasta 16. nädalal

Hikvisioni toodetel parandati kriitiline turvanõrkus

Hikvision teatas eelmisel nädalal, et on parandanud ühe kriitilise haavatavuse tähisega CVE-2023-28808. Haavatavus on seotud andmete salvestamiseks mõeldud süsteemidega. Turvaviga lubab mõjutatud süsteemides omandada administraatori tasemel õigused. Administraatoriõiguseid saab potentsiaalselt kuritarvitada videokaamerate salvestistele ja teistele andmetele ligipääsemiseks. Nii võib ründaja avaldada seadmete kasutajatele märgatavat mõju (SW, Hikvision). 

Kes ja mida peaks tegema?

Kui te kasutate Hikvisioni seadmeid, tutvuge tootja infolehega, kus on mõjutatud tooted ja parandusega tarkvaraversioonid välja toodud ning uuendage süsteemide tarkvara esimesel võimalusel. Infoleht asub siin.

Taaskasutusse antud võrguseadmed võivad sisaldada tundlikke andmeid

Ringlusesse antud võrguseadmed võivad tihti sisaldada varasemate kasutajate tundlikke andmeid, näiteks erinevat konfiguratsiooniteavet, kasutajatunnused või klientide andmeid. Eksperdid avastasid, et 16-st järelturult ostetud võrguseadmest üheksa sisaldasid andmeid, mille abil oli sisuliselt võimalik koostada võrguplaane varasemate seadmete omanike võrkude kohta. Lisaks leiti, et võrguseadmed sisaldasid virtuaalsete privaatvõrkude (VPN) kasutajatunnuseid või räsitud juurparoole. Ekspertide sõnul on nähtus murettekitav, kuna selliste seadmete kaudu on pahaloomuliste kavatsustega isikutel suhteliselt lihtsalt võimalik tundlikele andmetele ligi pääseda (DR).

Tegu ei ole siiski uue avastusega. Aastate jooksul on tihti leitud, et kõvakettad, mobiilseadmed ja printerid sisaldavad erisuguseid andmeid. 2019. aastal tõdeti ühes uuringus, et vaid kaks seadest 85-st olid korralikult andmetest puhastatud, enne kui need anti edasi kasutatud asjade müüjatele. Siiski võivad taaskasutusse antud ruuterid kujutada endast suuremat turvariski võrreldes teiste seadmetega nendes peituvate andmete eripära tõttu (DR).

Chrome’il paigati nullpäeva turvanõrkus

Google parandas Chrome’i uue versiooniga 112.0.5615.137 sel aastal teise nullpäeva turvanõrkuse (CVE-2023-2136), mida on rünnakutes juba ka ära kasutatud. Turvanõrkus mõjutab Windowsile, macOSile ja Linuxile mõeldud Chrome’i sirvikuid. Kokku paikas Google Chrome’il kaheksa viga, millest neli olid kõrge mõjuga (SA, Chrome).

Kes ja mida peaks tegema?

Kui te Chrome’i kasutate, uuendage see esimesel võimalusel. Juhised selleks leiate siit.

VMware paikas logide analüüsimiseks kasutatavas tööriistas kriitilised turvavead

VMware parandas vRealize Log Insighti (tuntud ka kui VMware Aria Operations for Logs) tarkvaras kriitilised turvavead (CVE-2023-20864 ja CVE-2023-20865), mille abil on ründajal võimalik käivitada juurõigustega haavatavates seadmetes pahaloomulist koodi. Neid turvanõrkuseid on ründajatel võimalik ka suhteliselt lihtsalt kuritarvitada.  

Kes ja mida peaks tegema?

CVE-2023-20864 turvavea vastu on haavatav ainult vRealize Log Insighti versioon 8.10.2. Kõik teised versioonid on haavatavad nõrkuse CVE-2023-20865 vastu, mida hinnatakse veidi vähem kriitiliseks. Soovitame kõigil, kes antud tarkvara kasutavad, lugeda tootja infolehte, kus on kõik kasulikud juhised kättesaadavad.

Oracle paikas 433 turvanõrkust

Parandatud turvanõrkuste hulgas oli üle 70 kriitilise haavatavuse ja 250 turvaviga, mille jaoks ei pea ründaja end sihtmärgiks valitud süsteemis autentima. See tähendab, et ründajatel on lihtsam haavatavusi kuritarvitada. Turvavead mõjutavad mitmeid erinevaid ettevõtte tooteid, näiteks Oracle Communications, Oracle Financial Services, Fusion Middleware, MySQL ja teised. Täpsema nimekirja leiab lisatud linkidelt. Kui te selliseid tarkvarasid kasutate, soovitame need uuendada esimesel võimalusel (SW, Oracle).

Avalikustati veel üks VM2 teegi kriitilise turvavea kontseptsiooni tõendus

Viimastel nädalatel on teavitatud mitmest kriitilisest VM2-e nõrkusest, millele on olemas ka kontseptsiooni tõendused (PoC). PoCide abil on ründajatel lihtsam turvanõrkuseid kuritarvitada. Antud turvanõrkus võimaldab ründajatel VM2-e keskkonnast  välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi. VM2 on lahendus, mille abil testitakse tarkvarasid. See takistab testitaval tarkvaral volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused (BP).

Kes ja mida peaks tegema?

Kõikidel VM2-e kasutajatel soovitatakse see esimesel võimalusel uuendada versioonile 3.9.17. Sellisel juhul antud turvanõrkus teile ohtu ei kujuta. 


RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 14. nädalal

Androidile avalikustatud turvauuendused paikavad 16 kriitilist turvaviga

Google avalikustas Androidi operatsioonisüsteemile turvauuendused, mis paikavad kokku 65 haavatavust, millest 16 on hinnatud kriitiliseks. Enamik turvanõrkusi võimaldavad haavatavas süsteemis õigusi suurendada või teabele ligi pääseda. Kõige murettekitavamad nõrkused on CVE-2023-21085 ja CVE-2023-21096. Haavatavused lubavad ründajal kõrgendatud õigusteta potentsiaalselt koodi kaugkäitada. Sealjuures ei ole ründajal vaja selleks kasutajapoolset sekkumist (SW).

Kes ja mida peaks tegema?

Kui te kasutate Androidi operatsioonisüsteemiga seadet, kontrollige, kas süsteem pakub teile uuendusi. Kui jah, rakendage need esimesel võimalusel. Uuenduste kättesaadavus võib sõltuda tootjate lõikes.

Apple paikas kaks kriitilist nullpäeva turvanõrkust

Apple avalikustas 7. aprillil iOSi, iPadOSi ja macOSi uued versioonid, mis paikavad kaks nullpäeva turvanõrkust tähistega CVE-2023-28205 ja CVE-2023-28206. Esimest haavatavust on ründajal võimalik ära kasutada pahaloomuliste rakenduste kaudu, teist haavatavust aga siis, kui ohver külastab selleks spetsiaalselt loodud veebilehte. Mõlema nõrkuse abil on ründajal võimalik käivitada ohvri seadmes pahatahtlikku koodi või segada seadme tavapärast tööd. Apple’i sõnul on üritatud turvanõrkuseid aktiivselt ka ära kasutada, kuid täpsemaid detaile ei ole ettevõte jaganud (BP, Apple).

Kes ja mida peaks tegema?

Turvanõrkused on paigatud iOS 16.4.1, iPadOS 16.4.1 ja macOS Ventura 13.3.1 versioonides. MacOS Big Sur ja Monterey kasutajad saavad enda seadmeid hetkel ainult ühe nullpäeva turvanõrkuse eest kaitsta (CVE-2023-28205). Selleks on vaja uuendada Safari veebilehitseja versioonile 16.4.1 (Apple).

iOS 16.4.1 või iPadOS 16.4.1 on rakendatavad järgmistele mudelitele:

•             iPhone 8 ja uuemad mudelid;

•             iPad Pro (kõik mudelid);

•             iPad Air 3 ja uuemad mudelid;

•             iPadi viies generatsioon ja uuemad mudelid;

•             iPad mini 5 ja uuemad mudelid.

Kui sinu Apple’i nutitelefon, tahvelarvuti või arvuti on andnud märku ülal mainitud versioonide rakendamise võimalikkusest, palun tee seda esimesel võimalusel!

Kõikide Apple’i turvahoiatustega saate tutvuda veebileheküljel https://support.apple.com/en-us/HT201222.

Avalikustati kriitilise VM2 teegi turvavea kontseptsiooni tõendus

Hiljuti avalikustatud VM2 teegi kriitilisele turvaveale on nüüd avalikult kättesaadav kontseptsiooni tõendus (PoC). VM2 on sandbox, mida kasutatakse koodi testimiseks turvalises keskkonnas. Selle abil on võimalik koodi osaliselt käivitada ja samuti takistab VM2 vajadusel käivitatud koodil volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused. Turvanõrkuse abil on võimalik VM2-e keskkonnast välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi (BP).

Kes ja mida peaks tegema?

Turvanõrkus mõjutab kõiki VM2 tarkvara versioone, mis on versiooninumbriga 3.9.14 või vanem. Haavatavus on parandatud versioonis 3.9.15. Soovitame kõikidel teenuse- ja/või süsteemihalduritel kontrollida, kas haavatavat VM2 tarkvara kasutatakse. Kui jah, tuleks tarkvara uuendada esimesel võimalusel versioonini 3.9.15.

Autode varastamiseks kasutati uudset lähenemisviisi

Autode küberturvalisuse uurimisega seotud eksperdid avastasid uudse meetodi, kuidas saab autodesse sisse murda ja need potentsiaalselt varastada. Haavatavus on seotud ühe siini standardiga (Controller Area Network ehk CAN). CAN võimaldab sõidukis olevatel mikrokontrolleritel ja seadmetel omavahel juhtarvuti abita andmeid vahetada. Põhimõtteliselt on autos nii-öelda kohalik võrk, kuhu küberründajad saavad sisse tungida, et peatada ja käivitada auto, avada selle uksi ja aknaid, käivitada raadio jpm. 3. aprillil avaldatud blogipostitus kirjeldabki, kuidas ründajatel õnnestus ühe auto elektrooniline juhtseade (ECU) kompromiteerida, kasutades selleks just CANi siini. Siinile pääseti ligi esitulede kaudu. Sellist lähenemisviisi ei olnud eksperdid varem näinud. Täpsemalt saab avastuste kohta lugeda siit.

Internetiga on ühendatud 15 miljonit uuendamata ja haavatavat sihtmärki

Küberekspertide uurimuse kohaselt on internetiga ühendatud kokku rohkem kui 15 miljonit haavatavat arvutit, teenust kui ka muid seadmeid (nii virtuaalseid kui füüsilisi). Näiteks 2014. aastal avalikustatud Heartbleedi nime kandva turvanõrkuse vastu on haavatavad endiselt ligi 190 000 süsteemi. Eksperdid toonitasid taas üldlevinud tõde, et regulaarne uuendamine on äärmiselt oluline, sest haavatavaid süsteeme üritatakse pidevalt leida ning kompromiteerida. Täpsema ülevaate saate viidatud artiklist (DR).


RIA analüüsi- ja ennetusosakond