Tag Archives: VMware

Olulisemad turvanõrkused 2023. aasta 43. nädalal

  • Apple avaldas turvauuendused iOSi ja macOSi tarkvaradele

Apple avaldas eelmisel nädalal turvauuendused iOSi ja macOSi tarkvaradele. iOSi tarkvaras paigati 21 ja macOSi tarkvaras 44 haavatavust. Turvanõrkused lubavad ründajatel potentsiaalselt käivitada pahaloomulist koodi, haavatavates süsteemides õigusi suurendada või varastada süsteemidest tundlikku informatsiooni. Hetkel ei ole haavatavusi teadaolevalt rünnetes ära kasutatud. RIA soovitab nõrkustega seotud Apple’i seadmed uuendada iOS 17.1, iPadOS 17 ja macOS Sonoma 14.1 (SW, Apple, Apple).

  • Firefoxil ja Chrome’il paigati kõrge mõjuga turvanõrkused

Mozilla avaldas Firefoxi uue versiooni tähisega 119, milles on parandatud 11 turvanõrkust, nende hulgas kolm kõrge mõjuga haavatavust. Vigade tõttu võib haavatava sirviku kasutaja sattuda ohvriks clickjacking-nimelisele rünnakule. Samuti parandavad turvauuendused kaks haavatavust, mis lubavad ründajal potentsiaalselt käivitada pahaloomulist koodi. Lisaks avaldati ka turvapaigad tarkvaradele Firefox ESR 115.4 ja Thunderbird 115.4.1. Teisipäeval teavitas ka Google, et on paiganud Chrome’i veebilehitseja versioonis 118.0.5993.117 kaks turvanõrkust. RIA soovitab nii Firefoxi kui ka Chrome’i veebilehitsejad uuendada esimesel võimalusel (SW, Mozilla, Chrome).

  • Citrix hoiatab kriitilise turvanõrkuse eest

Citrix hoiatas eelmisel nädalal turvanõrkuse (CVE-2023-4966) eest, mis mõjutab NetScaler ADC ja Gateway seadmeid ning mida on juba rünnete läbiviimisel kuritarvitatud. Veale avalikustati turvaparandus kaks nädalat tagasi. Rünnakute suhtes haavatavad NetScaleri seadmed peavad olema konfigureeritud lüüsina (VPN virtuaalserver, ICA puhverserver, CVPN, RDP puhverserver) või AAA virtuaalserverina. Nõrkust on võimalik autentimata ründajal kaugelt ära kasutada.

Hiljuti avaldatud ülevaatest selgus, et ründajad on haavatavust kuritarvitanud sessioonide varastamiseks, et kaheastmelisest autentimisest mööda pääseda. Tootja soovitab haavatavad seadmed paigata esimesel võimalusel (BC, Netscaler, Mandiant).

  • VMware’i tarkvaras olev viga laseb autentimisest mööda minna

VMware’i hoiatas kliente Aria Operations for Logs nimelises tarkvaras peituva turvanõrkuse (CVE-2023-34051) eest, mis võimaldab ründajal autentimisest mööda minna ja käivitada pahatahtlikku koodi. Veale on avaldatud ka kontseptsiooni tõendus, mis võib kaasa tuua rünnete kasvu. Viga on parandatud Aria Operations for Logs versioonis 8.14 (SA, VMware). RIA soovitab kõigil mõjutatud tarkvara kasutajatel uuendada see esimesel võimalusel.

  • Riikliku taustaga küberrühmitus kuritarvitab Roundcube’i meiliteenuse turvanõrkust

Hiljuti avaldatud raportist selgus, et küberspionaaži poolest tuntud riikliku taustaga küberrühmitus on oktoobris kuritarvitanud XSS-i turvanõrkust, mis peitub Roundcube’i meiliserveri tarkvaras. Raport kajastab, kuidas antud rühmitus on sihtinud Euroopa valitsusasutusi ja erinevaid mõttekodasid. Ründajatel on võimalik spetsiaalselt koostatud e-kirja abil käivitada Roundcube’i kasutaja brauseris suvalist JavaScripti koodi.

Raporti autorite hinnangul on küberrühmitus üritanud turvanõrkust ära kasutada selleks, et ligi pääseda haavatavat tarkvara kasutava kasutaja e-kirjadele. Turvanõrkus on paigatud Roundcube’i versioonides 1.4.15, 1.5.5 ja 1.6.4 (ESET, SW).

Olulised turvanõrkused 2023. aasta 35. nädalal

  • Küberrünnakud ohustavad avatud Microsoft SQL Serveri andmebaase

Hiljuti avalikustati raport, mis käsitleb küberrünnakuid avatud Microsoft SQL Serveri (MSSQL) andmebaaside vastu. Küberrünnakutele on antud koodnimetus DB#JAMMER. Raporti põhjal alustavad ründajad jõuründega internetist kättesaadavate MSSQL andmebaaside suunas. Kui sellega õnnestub ründajatel andmebaasidele ligipääs saada, üritavad nad kompromiteeritud süsteemis seda ka kindlustada. Lisaks paigaldatakse kompromiteeritud süsteemi erinevat tüüpi pahavara, luuakse ühendusi ründajate kontrollitud infrastruktuuriga, et vajalikke tööriistu andmete varastamiseks alla laadida ning krüpteeritakse võimalusel kogu ülevõetud süsteem. Raporti autorite hinnangul on tegu kõrgetasemeliste rünnetega, arvestades kasutatud pahavara, infrastruktuuri ja rünnete ülesehitust laiemalt.

Kuna rünnakud sihivad eelkõige avatud MSSQL servereid, tuleks avalik ligipääs neile võimalusel piirata. Samuti soovitatakse veenduda, et kasutajakontod kasutaksid piisavalt tugevaid paroole, sest nõrgad kasutajatunnused teevad ründajate elu palju lihtsamaks. Lisaks soovitatakse raportis organisatsioonidel monitoorida levinumaid pahavara paigaldamisega seotud katalooge („C:\Windows\Temp“) ja juurutada täiendavat protsessitasemel logimist (Sysmoni ja PowerShelli logimine), et logimise katvust laiendada (Securonix, DR).

  • WordPressi pistikprogrammi turvaviga võib kaasa tuua andmete lekkimise

Pistikprogrammil nimetusega All-In-One WP Migration avastati turvaviga, mis võib lubada ründajatel  ligi pääseda haavatava veebilehe tundlikele andmetele. Antud pistikprogrammi kasutab umbes viis miljonit WordPressi veebilehte. Viga, mida tähistatakse tähisega CVE-2023-40004, võimaldab autentimata kasutajatel suunata potentsiaalselt haavatava veebilehega seotud andmed kolmanda osapoole pilveteenustega seotud kontodele või kasutada pahaloomulisi varukoopiaid. Turvaprobleemi leevendab mõnevõrra asjaolu, et pistikprogrammi kasutatakse üldjuhul ainult veebilehe migratsiooniprojektide ajal ja see ei tohiks tavaliselt olla muul ajal aktiivselt kasutuses (BP).

Mõjutatud tasuliste kolmanda osapoole laienduste kasutajatel soovitatakse minna üle järgmistele fikseeritud versioonidele:

Box-nimeline laiendus: v1.54

Google Drive’i laiendus: v2.80

OneDrive’i laiendus: v1.67

Dropboxi laiendus: v3.76

Samuti soovitatakse kasutajatel kasutada pistikprogrammi All-in-One WP Migration uusimat versiooni v7.78.

  • Unarusse jäetud DNS-kirjeid on võimalik kasutada alamdomeenide kaaperdamiseks

IT-turbe konsultatsioonifirma töötajad viisid läbi uurimuse, et kaardistada unarusse jäetud DNS-kirjetega seonduvaid ohte. Täpsemalt keskenduti olukorrale, kui DNSi CNAME kirje osutab alamdomeenile, mida enam ei eksisteeri. Uurimistöö autorite sõnul õnnestus neil selliste DNS-kirjete abil üle võtta enam kui tosina suurorganisatsiooni alamdomeenid. Uurimistöö keskendus USA, Kanada, Ühendkuningriigi ja Austraalia valitsusorganisatsioonide alamdomeenidele, samuti uuriti erasektori ettevõtete kasutatavaid DNS-kirjeid. Tõenäoliselt on haavatavaid organisatsioone üle tuhande, selgub uurimusest (Certitude).

Pärast konfiguratsioonivea leidmist konfigureerisid autorid kaaperdatud alamdomeenid nii, et need suunaksid külastajad turvateadlikkuse teatise lehele, kus selgitatakse, kes nad on, mida nad on teinud ja kuidas nad seda tegid. Samuti andis leht juhised alamdomeeni kaaperdamise ärahoidmiseks ja alamdomeeni taastamiseks. Pahatahtlik osapool oleks võinud seda DNS-i konfiguratsiooniviga ära kasutada aga pahavara levitamiseks, valeinformatsiooni levitamiseks ja andmepüügirünnakuteks (Certitude).

Uurimuses kajastatud DNS-kirjetega seotud probleem tekib tihti pilveteenustega. Organisatsioonid seostavad kolmandate osapoolte pakutavaid pilvepõhiseid teenuseid DNS-kirjetega oma DNS-serveris. Kui aga pilveteenusest mingil hetkel loobutakse, võivad DNS-kirjed jätkuvalt jääda osutama sidusdomeenile (Certitude).

  • Lunavararühmitused ründavad mitmefaktorilise autentimiseta Cisco VPNe

Alates 2023. aasta märtsist on Akira ja LockBiti küberrühmitused rünnanud organisatsioone haavatavate Cisco ASA SSL VPN kaudu. Rünnakute õnnestumine on olnud tingitud nõrkadest või vaikeparoolidest, kuid samuti asjaolust, et tihti ei ole VPNide puhul rakendatud mitmefaktorilist autentimist (MFA) (Rapid7).

Analüüsist selgub, et kompromiteeritud Cisco VPNid on olnud erinevate versioonidega, rünnakud on olnud automatiseeritud ning sisse on üritatud saada erinevaid laialt levinud kasutajanimesid proovides. Analüüsi autorite sõnul ei olnud 40% kompromiteeritud VPNidest MFA-d rakendatud (Rapid7).

Selliste intsidentide vältimiseks ärgitatakse organisatsioone kasutama unikaalseid ja tugevaid paroole, uuendama tarkvara esimesel võimalusel ja analüüsima logisid, et tuvastada jõurünnete teostamist. Samuti tuleks alati võimalusel rakendada MFA-d (Rapid7). 

  • VMware’i virtualiseerimiskeskkondade haldustarkvara SSH-autentimisest on võimalik mööda pääseda

VMware Aria Operations for Networks (endine vRealize Network Insight) on haavatav kriitilise turvavea suhtes (tähisega CVE-2023-34039, kriitilisuse hinnang 9.8/10.0), mis võib võimaldada ründajatel haavatava süsteemi SSH-autentimisest mööda minna ja ligi pääseda privaatsetele lõpp-punktidele (private end-points).

CVE-2023-34039 kasutamine võib viia andmelekkeni või andmete muutmiseni mõjutatud süsteemis. Olenevalt konfiguratsioonist võib ründajal olla võimalik tekitada võrguhäireid, muuta süsteemi konfiguratsiooni, paigaldada pahavara või liikuda teistesse seotud süsteemidesse edasi.

Turvaviga mõjutab kõiki Aria tarkvara 6.x versioone. Hetkel on ainus viis kriitilise vea parandamiseks minna üle versioonile 6.11 või rakendada varasematele versioonidele turvapaika tähisega KB94152. Täpsemat infot saab viidatud linkidelt (VMware, BP).

Olulised turvanõrkused 2023. aasta 24. nädalal

Adobe paikas enda toodetel mitmed haavatavused

Adobe avalikustas enda toodetele juunikuu turvauuendused. Turvauuendustega parandas ettevõte näiteks Adobe Commerce’i ja Magento platvormidel 12 turvanõrkust. Eduka ärakasutamise korral on ründajatel võimalik käivitada nende turvavigade kaudu suvalist koodi, lugeda haavatavaid failisüsteeme või hiilida erinevatest turvafunktsioonidest mööda. Adobe väljastas turvaparandused samuti ka Animate’i ja Adobe Substance 3D Designer tarkvaradele. Nendes tarkvarades peituvad turvavead võimaldavad ründajatel samuti suvalist koodi käivitada. Ettevõte ei ole siiani siiski märganud, et konkreetseid turvanõrkuseid oleks suudetud kuritarvitada (SW).


Kes ja mida peaks tegema? Kui te Adobe tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.

Microsoft parandas uuendustega kuus kriitilist haavatavust

Microsoft avalikustas eelmisel nädalal enda erinevatele toodetele juunikuu turvauuendused. Kokku parandati 78 turvaviga, millest 38 märgitakse koodi kaugkäitust (Remote Code Execution ehkRCE) võimaldavateks haavatavusteks. 78 turvanõrkusest kuus said kriitilise hinnangu. Kaks mõneti olulisemat turvaviga on seotud Microsoft SharePointi ja Exchange’iga. Esimese abil (CVE-2023-29357) oleks ründajal võimalik haavatavas SharePointi serveris enda õiguseid suurendada, teise abil on aga Exchange’i serveris (CVE-2023-32031) võimalik käivitada pahaloomulist koodi (BP).  

Kes ja mida peaks tegema?

Kui te Microsofti tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.  Nimekirja paigatud turvanõrkustest leiate siit.

Riikliku taustaga küberrühmitus kasutas VMware’i nullpäeva turvanõrkust pahavara paigaldamiseks

VMware paikas eelmisel nädalal VMware ESXi nullpäeva haavatavuse, mida riikliku taustaga küberrühmitus kasutas Windowsi ja Linuxi virtuaalmasinatesse pahavara paigaldamiseks ja andmete varastamiseks. Rühmitus, mida tuntakse nimetusega UNC3886, kuritarvitas turvaviga CVE-2023-20867, et paigaldada virtuaalmasinatesse pahavara. Pahavara abil loodi süsteemidele püsiv juurdepääs. Rünnakuid analüüsinud küberturbeettevõtte sõnul on tegu tehniliselt võimeka rühmitusega, millel on laialdased teadmised rünnatavatest tarkvaradest (nt ESXi, vCenter jpm). Rühmitus sihib peamiselt tarkvarasid ja seadmeid, millel puuduvad traditsioonliselt lõpppunkti turbelahendused (Endpoint Detection and Response) ning millel on nullpäeva turvanõrkused (Mandiant, BP).

Kes ja mida peaks tegema?

Kui te haavatavat VMware ESXi tarkvara kasutate, uuendage see esimesel võimalusel.

Chrome’il paigati kriitiline turvanõrkus

Google Chrome’i uues versioonis 114.0.5735.133/134 (Windows) ja 14.0.5735.133 (Linux, macOS) on parandatud lisaks teistele haavatavustele kriitiline turvanõrkus tähisega CVE-2023-3214. Haavatavus mõjutab Chrome’i lahendust, mida kasutatakse automaatseks makseandmete sisestamiseks. Ründajal tuleb turvanõrkuse ärakasutamiseks luua spetsiaalne HTMLi lehekülg.

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Uued turvanõrkused MOVEit tarkvaral

Kahe nädala eest kirjutasime, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning sinna ka tagauks. Praeguseks on maailmas üritatud laialdaselt antud nõrkust ka ära kasutada, ründeid on seni seostatud Clop-nimelise küberrühmitusega.

Nüüdseks on konkreetsel tarkvaral avastatud veel kaks turvanõrkust, mille abil on võimalik andmeid varastada. MOVEit tarkvara arendava ettevõtte sõnul uusi turvanõrkuseid kuritarvitatud veel ei ole (HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1). .6) ja 2023.0.2 (15.0.2) ning haavatavused tarkvara pilveversioonidele ohtu ei kujuta. Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.

RIA analüüsi- ja ennetusosakond