Tag Archives: VMware

Olulised turvanõrkused 2023. aasta 24. nädalal

Adobe paikas enda toodetel mitmed haavatavused

Adobe avalikustas enda toodetele juunikuu turvauuendused. Turvauuendustega parandas ettevõte näiteks Adobe Commerce’i ja Magento platvormidel 12 turvanõrkust. Eduka ärakasutamise korral on ründajatel võimalik käivitada nende turvavigade kaudu suvalist koodi, lugeda haavatavaid failisüsteeme või hiilida erinevatest turvafunktsioonidest mööda. Adobe väljastas turvaparandused samuti ka Animate’i ja Adobe Substance 3D Designer tarkvaradele. Nendes tarkvarades peituvad turvavead võimaldavad ründajatel samuti suvalist koodi käivitada. Ettevõte ei ole siiani siiski märganud, et konkreetseid turvanõrkuseid oleks suudetud kuritarvitada (SW).


Kes ja mida peaks tegema? Kui te Adobe tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.

Microsoft parandas uuendustega kuus kriitilist haavatavust

Microsoft avalikustas eelmisel nädalal enda erinevatele toodetele juunikuu turvauuendused. Kokku parandati 78 turvaviga, millest 38 märgitakse koodi kaugkäitust (Remote Code Execution ehkRCE) võimaldavateks haavatavusteks. 78 turvanõrkusest kuus said kriitilise hinnangu. Kaks mõneti olulisemat turvaviga on seotud Microsoft SharePointi ja Exchange’iga. Esimese abil (CVE-2023-29357) oleks ründajal võimalik haavatavas SharePointi serveris enda õiguseid suurendada, teise abil on aga Exchange’i serveris (CVE-2023-32031) võimalik käivitada pahaloomulist koodi (BP).  

Kes ja mida peaks tegema?

Kui te Microsofti tooteid kasutate, veenduge, et teil oleks kõige hiljutisemad turvauuendused rakendatud. Kui ei, soovitame seda esimesel võimalusel teha.  Nimekirja paigatud turvanõrkustest leiate siit.

Riikliku taustaga küberrühmitus kasutas VMware’i nullpäeva turvanõrkust pahavara paigaldamiseks

VMware paikas eelmisel nädalal VMware ESXi nullpäeva haavatavuse, mida riikliku taustaga küberrühmitus kasutas Windowsi ja Linuxi virtuaalmasinatesse pahavara paigaldamiseks ja andmete varastamiseks. Rühmitus, mida tuntakse nimetusega UNC3886, kuritarvitas turvaviga CVE-2023-20867, et paigaldada virtuaalmasinatesse pahavara. Pahavara abil loodi süsteemidele püsiv juurdepääs. Rünnakuid analüüsinud küberturbeettevõtte sõnul on tegu tehniliselt võimeka rühmitusega, millel on laialdased teadmised rünnatavatest tarkvaradest (nt ESXi, vCenter jpm). Rühmitus sihib peamiselt tarkvarasid ja seadmeid, millel puuduvad traditsioonliselt lõpppunkti turbelahendused (Endpoint Detection and Response) ning millel on nullpäeva turvanõrkused (Mandiant, BP).

Kes ja mida peaks tegema?

Kui te haavatavat VMware ESXi tarkvara kasutate, uuendage see esimesel võimalusel.

Chrome’il paigati kriitiline turvanõrkus

Google Chrome’i uues versioonis 114.0.5735.133/134 (Windows) ja 14.0.5735.133 (Linux, macOS) on parandatud lisaks teistele haavatavustele kriitiline turvanõrkus tähisega CVE-2023-3214. Haavatavus mõjutab Chrome’i lahendust, mida kasutatakse automaatseks makseandmete sisestamiseks. Ründajal tuleb turvanõrkuse ärakasutamiseks luua spetsiaalne HTMLi lehekülg.

Kes ja mida peaks tegema?

Soovitame uuendada veebilehitseja esimesel võimalusel. Juhised selleks leiate siit.

Uued turvanõrkused MOVEit tarkvaral

Kahe nädala eest kirjutasime, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning sinna ka tagauks. Praeguseks on maailmas üritatud laialdaselt antud nõrkust ka ära kasutada, ründeid on seni seostatud Clop-nimelise küberrühmitusega.

Nüüdseks on konkreetsel tarkvaral avastatud veel kaks turvanõrkust, mille abil on võimalik andmeid varastada. MOVEit tarkvara arendava ettevõtte sõnul uusi turvanõrkuseid kuritarvitatud veel ei ole (HN).

Kes ja mida peaks tegema?

Turvavead on kõrvaldatud MOVEit Transferi versioonides 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1). .6) ja 2023.0.2 (15.0.2) ning haavatavused tarkvara pilveversioonidele ohtu ei kujuta. Soovitame tarkvara uuendada esimesel võimalusel ja tutvuda ka tootja poolt avalikustatud informatsiooniga nende kodulehel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 17. nädalal

DDoS-rünnakute võimendamiseks kasutatakse uut turvaviga

Eelmisel nädalal avaldati, et ummistusrünnakute ehk DDoS-rünnakute intensiivsuse tõstmiseks on võimalik kasutada üht uut turvaauku, mis peitub SLP-nimelises teenuses. SLP teenusest kirjutas RIA ka veebruaris, kui seda kasutati lunavararünnakute sooritamiseks (RIA).  Nüüd selgub, et antud teenust on võimalik ründajatel kasutada ka mahukate ummistusrünnakute teostamiseks. Selliste ummistusrünnakute puhul saadab ründaja haavatavale serverile päringu võltsitud IP-aadressiga (ohvri IP-aadress). Haavatav server saadab omakorda tagasi vastuse ohvri IP-aadressile, sealjuures on vastuse päringu maht aga palju suurem kui algselt haavatavale serverile saadetud ründaja päringu maht. Nii on teoreetiliselt võimalik ohvri veebiserver suhteliselt vähese ressursiga üle koormata.  Konkreetne turvanõrkus mõjutab rohkem kui 2000 organisatsiooni üle maailma ja enam kui 54000 SLP teenust, mis on internetist kättesaadavad (Bitsight).

Kes ja mida peaks tegema?

Kõikidel internetiga ühendatud süsteemidel, mis SLP teenust kasutavad, tuleks selle kasutamine peatada. Kui see pole võimalik, tuleks tulemüürid konfigureerida selliselt, et need filtreeriksid UDP- ja TCP-pordi 427 liiklust. Nii on võimalik takistada ründajatele juurdepääs SLP-teenusele (SA).

VMware paikas kaks nullpäeva turvanõrkust

VMware avalikustas turvauuendused, mis parandavad kaks nullpäeva haavatavust (CVE-2023-20869 ja CVE-2023-20870). Turvanõrkuseid on ründajal võimalik ära kasutada, et käivitada pahaloomulist koodi haavatavates süsteemides (Workstation ja Fusion). Mõlemad turvavead on seotud Bluetoothi kasutavate funktsioonidega. Lisaks paikas ettevõte turvanõrkuse (CVE-2023-20871), mis lubab haavatavas süsteemis õiguseid suurendada (BP).

Kes ja mida peaks tegema?

Kui te nimetatud tarkvarasid kasutate, soovitame tutvuda tootja infolehega, kus on kõik juhised turvanõrkuste eemaldamiseks välja toodud.

Kriitiline turvanõrkus mõjutab Zyxeli tulemüüre

Zyxel avalikustas eelmisel nädalal turvauuendused enda pakutavatele tulemüüridele. Turvauuendused paikavad kriitilise haavatavuse, mille abil on autentimata ründajal võimalik käivitada operatsioonisüsteemi käske (SW).

Kes ja mida peaks tegema?

Viga mõjutab ATP, USG FLEX ja VPN versioone 4.60–5.35 ja ZyWALL/USG versioone 4.60–4.73. Turvanõrkus on eemaldatud ATP, USG FLEX ja VPN versioonides 5.36 ja ZyWALL/USG versioonis 4.73 Patch 1 (Zyxel). Kuigi seni ei ole teada, et kriitilist turvaviga oleks küberrünnakutes ära kasutatud, on haavatavad tulemüürid sageli ründajatele ahvatlevateks sihtmärkideks. Seetõttu soovitatakse kasutajatel oma Zyxeli tulemüürid uuendada võimalikult kiiresti.  

Mirai robotvõrgustikuga liidetakse aktiivselt haavatavaid TP-Link ruutereid

Ründajad üritavad aktiivselt kompromiteerida TP-Linki ruutereid, mida ei ole paigatud hiljuti avalikustatud turvanõrkuse vastu. Ründajate eesmärgiks on liita kompromiteeritud seadmed Mirai robotvõrgustikuga, mida kasutatakse ummistusrünnakute teostamiseks. Haavatavus CVE-2023-1389 avastati algselt möödunud aasta detsembris TP-Link Archer AX21 WiFi-ruuteris ning see paigati märtsis. Seni on üritatud eelkõige rünnata Ida-Euroopas olevaid haavatavaid seadmeid, kuid üha rohkem üritatakse kompromiteerida haavatavaid ruutereid ka teistest maailma piirkondadest (ZDI, Duo).

Kes ja mida peaks tegema?

Turvanõrkuse vastu on haavatavad kõik TP-Link Archer AX21 (AX1800) ruuterid, mis kasutavad vanemat tarkvaraversiooni kui 1.1.4 Build 20230219. Kui te sellist ruuterit kasutate, uuendage see esimesel võimalusel (NVD).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 16. nädalal

Hikvisioni toodetel parandati kriitiline turvanõrkus

Hikvision teatas eelmisel nädalal, et on parandanud ühe kriitilise haavatavuse tähisega CVE-2023-28808. Haavatavus on seotud andmete salvestamiseks mõeldud süsteemidega. Turvaviga lubab mõjutatud süsteemides omandada administraatori tasemel õigused. Administraatoriõiguseid saab potentsiaalselt kuritarvitada videokaamerate salvestistele ja teistele andmetele ligipääsemiseks. Nii võib ründaja avaldada seadmete kasutajatele märgatavat mõju (SW, Hikvision). 

Kes ja mida peaks tegema?

Kui te kasutate Hikvisioni seadmeid, tutvuge tootja infolehega, kus on mõjutatud tooted ja parandusega tarkvaraversioonid välja toodud ning uuendage süsteemide tarkvara esimesel võimalusel. Infoleht asub siin.

Taaskasutusse antud võrguseadmed võivad sisaldada tundlikke andmeid

Ringlusesse antud võrguseadmed võivad tihti sisaldada varasemate kasutajate tundlikke andmeid, näiteks erinevat konfiguratsiooniteavet, kasutajatunnused või klientide andmeid. Eksperdid avastasid, et 16-st järelturult ostetud võrguseadmest üheksa sisaldasid andmeid, mille abil oli sisuliselt võimalik koostada võrguplaane varasemate seadmete omanike võrkude kohta. Lisaks leiti, et võrguseadmed sisaldasid virtuaalsete privaatvõrkude (VPN) kasutajatunnuseid või räsitud juurparoole. Ekspertide sõnul on nähtus murettekitav, kuna selliste seadmete kaudu on pahaloomuliste kavatsustega isikutel suhteliselt lihtsalt võimalik tundlikele andmetele ligi pääseda (DR).

Tegu ei ole siiski uue avastusega. Aastate jooksul on tihti leitud, et kõvakettad, mobiilseadmed ja printerid sisaldavad erisuguseid andmeid. 2019. aastal tõdeti ühes uuringus, et vaid kaks seadest 85-st olid korralikult andmetest puhastatud, enne kui need anti edasi kasutatud asjade müüjatele. Siiski võivad taaskasutusse antud ruuterid kujutada endast suuremat turvariski võrreldes teiste seadmetega nendes peituvate andmete eripära tõttu (DR).

Chrome’il paigati nullpäeva turvanõrkus

Google parandas Chrome’i uue versiooniga 112.0.5615.137 sel aastal teise nullpäeva turvanõrkuse (CVE-2023-2136), mida on rünnakutes juba ka ära kasutatud. Turvanõrkus mõjutab Windowsile, macOSile ja Linuxile mõeldud Chrome’i sirvikuid. Kokku paikas Google Chrome’il kaheksa viga, millest neli olid kõrge mõjuga (SA, Chrome).

Kes ja mida peaks tegema?

Kui te Chrome’i kasutate, uuendage see esimesel võimalusel. Juhised selleks leiate siit.

VMware paikas logide analüüsimiseks kasutatavas tööriistas kriitilised turvavead

VMware parandas vRealize Log Insighti (tuntud ka kui VMware Aria Operations for Logs) tarkvaras kriitilised turvavead (CVE-2023-20864 ja CVE-2023-20865), mille abil on ründajal võimalik käivitada juurõigustega haavatavates seadmetes pahaloomulist koodi. Neid turvanõrkuseid on ründajatel võimalik ka suhteliselt lihtsalt kuritarvitada.  

Kes ja mida peaks tegema?

CVE-2023-20864 turvavea vastu on haavatav ainult vRealize Log Insighti versioon 8.10.2. Kõik teised versioonid on haavatavad nõrkuse CVE-2023-20865 vastu, mida hinnatakse veidi vähem kriitiliseks. Soovitame kõigil, kes antud tarkvara kasutavad, lugeda tootja infolehte, kus on kõik kasulikud juhised kättesaadavad.

Oracle paikas 433 turvanõrkust

Parandatud turvanõrkuste hulgas oli üle 70 kriitilise haavatavuse ja 250 turvaviga, mille jaoks ei pea ründaja end sihtmärgiks valitud süsteemis autentima. See tähendab, et ründajatel on lihtsam haavatavusi kuritarvitada. Turvavead mõjutavad mitmeid erinevaid ettevõtte tooteid, näiteks Oracle Communications, Oracle Financial Services, Fusion Middleware, MySQL ja teised. Täpsema nimekirja leiab lisatud linkidelt. Kui te selliseid tarkvarasid kasutate, soovitame need uuendada esimesel võimalusel (SW, Oracle).

Avalikustati veel üks VM2 teegi kriitilise turvavea kontseptsiooni tõendus

Viimastel nädalatel on teavitatud mitmest kriitilisest VM2-e nõrkusest, millele on olemas ka kontseptsiooni tõendused (PoC). PoCide abil on ründajatel lihtsam turvanõrkuseid kuritarvitada. Antud turvanõrkus võimaldab ründajatel VM2-e keskkonnast  välja pääseda ning käivitada tarkvara kasutavas seadmes pahaloomulist koodi. VM2 on lahendus, mille abil testitakse tarkvarasid. See takistab testitaval tarkvaral volitamata juurdepääsu süsteemiressurssidele või välistele andmetele. VM2-te laetakse igakuiselt alla rohkem kui 16 miljonit korda ning seda kasutavad integreeritud arenduskeskkonnad (IDE) ja koodiredaktorid, turbetööriistad ja mitmesugused teised JavaScriptiga seotud lahendused (BP).

Kes ja mida peaks tegema?

Kõikidel VM2-e kasutajatel soovitatakse see esimesel võimalusel uuendada versioonile 3.9.17. Sellisel juhul antud turvanõrkus teile ohtu ei kujuta. 


RIA analüüsi- ja ennetusosakond