Tag Archives: VPN

Olulisemad turvanõrkused 2024. aasta 19. nädalal

Androidi Xiaomi seadmetes avastati mitu turvaauku

Androidi kasutavate Xiaomi seadmete erinevates rakendustes ja süsteemikomponentides leiti 20 turvaviga. Turvaaukude ärakasutamine võib kaasa tuua erinevad pahaloomulised tegevused ja ligipääsu seadmes olevatele failidele ning kontoandmetele.

Turvavead mõjuvad järgmisi rakendusi ja komponente:

  • Gallery (com.miui.gallery)
  • GetApps (com.xiaomi.mipicks)
  • Mi Video (com.miui.videoplayer)
  • MIUI Bluetooth (com.xiaomi.bluetooth)
  • Phone Services (com.android.phone)
  • Print Spooler (com.android.printspooler)
  • Security (com.miui.securitycenter)
  • Security Core Component (com.miui.securitycore)
  • Settings (com.android.settings)
  • ShareMe (com.xiaomi.midrop)
  • System Tracing (com.android.traceur)
  • Xiaomi Cloud (com.miui.cloudservice)

Xiaomi seadmete kasutajatel soovitatakse uuendada tarkvara (HN, OS).

Citrix paikas kõrge mõjuga turvanõrkuse

Citrix parandas turvanõrkuse, mis mõjutab NetScaler ADC ja Gateway seadmeid. Uut turvaviga võrreldakse eelmisel aastal avalikuks tulnud haavatavusega, mida nimetati “CitrixBleed”, kuna ka selle kaudu on võimalik autentimata ründajal saada ligipääs tundlikule infole. Küll aga ei ole uus turvaviga nii suure mõjuga. Kõigil kasutajatel soovitatakse NetScaler uuendada versioonile 13.1-51.15 või veel värskemale (DR, BF).

Häkkerid on võtnud sihikule WordPressi pistikprogrammi

Turvanõrkus (CVE-2023-40000) mõjutab pistikprogrammi Litespeed Cache ja selle kaudu on võimalik saada administraatoriõigused ning kontroll veebilehe üle. Viga on paigatud juba eelmisel aastal, kuid endiselt kasutab ligi kaks miljonit veebilehte turvanõrkusega versiooni.

Viimasel ajal on näha olnud mitmeid katseid nimetatud turvavea kuritarvitamiseks – häkkerid skaneerivad võrku ja otsivad veebilehti, mis kasutavad pistikprogrammi turvapaikamata versiooni. Ohus on kõik veebilehed, mis kasutavad Litespeed Cache’i versiooni 5.7.0.1 või vanemat.

Soovitame kõigil WordPressi veebilehtede administraatoritel pistikprogramme regulaarselt uuendada. Samuti tasuks jälgida, et lehele ei oleks loodud uusi administraatorikontosid ja mittevajalikud komponendid oleks eemaldatud (BC).

Enam kui 50 000 Tinyproxy serverit on ohus kriitilise turvavea tõttu

Ligikaudu 52 000 internetile avatud Tinyproxy serverit on haavatavad turvavea tõttu, mis võimaldab pahaloomulist koodi kaugkäivitada. Haavatavus tähisega CVE-2023-49606 on hinnatud kriitilise CVSS skooriga 9.8/10 ning see mõjutab Tinyproxy versioone 1.11.1 ja 1.10.0. Viga on paigatud versioonis 1.11.2. Kasutajatel soovitatakse tarkvara uuendada ja jälgida, et Tinyproxy teenus ei oleks internetis avalikult kättesaadav (BC, HN).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 26 turvaviga, nende hulgas oli kriitiline haavatavus tähisega CVE-2024-23706, mis võib kaasa tuua õigustega manipuleerimise. Lisaks paigati ka haavatavusi Pixeli seadmetes. Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel. Hetkel teadaolevalt ei ole õnnestunud haavatavusi kuritarvitada (SW, Android).

VPNi rakendused on haavatavad turvanõrkusele TunnelVision

Teadurid avastasid uue ründemeetodi, mis sai nimeks TunnelVision ja mille tõttu on pea kõik VPNi teenuste pakkujad ohus. TunnelVisioni abil suunatakse kogu võrguliiklus ümber ründaja kaudu, kes saab võrgus toimuvat liiklust nii jälgida, muuta kui ka katkestada. Teadurite sõnul mõjutab see kõiki VPNi rakendusi, juhul kui kasutaja ei tööta Linuxi või Androidiga. Ründetehnikat on olnud võimalik kasutada juba alates 2002. aastast. Leviathan Security veebilehele on lisatud nii ründemeetodit tutvustav video kui ka leevendavad meetmed (AT, LS).

Wichita linna tabas lunavararünnak

USAs asuvat Wichita linna tabas lunavararünnak, mistõttu oli linn sunnitud osa oma võrkudest lahti ühendama. 5. mail rünnati linna IT-süsteeme ja krüpteeriti need lunavaraga. Linna teatel läksid elutähtsad teenused, nagu politsei ja tuletõrje, üle „paberi ja pastakaga“ töötamisele. Rünnak mõjutas ka maksetega seotud teenuseid – internetis ei olnud võimalik maksta veearvete, kohtutrahvide ega ühistranspordi piletite eest. Hiljem selgus, et mõjutatud olid ka mitmed teised teenused, näiteks avalikud WiFi võrgud.

Rünnaku eest võttis vastutuse LockBiti-nimeline rühmitus, kes nõuab linnalt lunaraha maksmist 15. maiks. Vastasel juhul ähvardatakse varastatud andmed avalikustada (BC, BC).

Google paikas Chrome’i nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-4671 rünnetes juba ära kasutatud. Tegemist on viienda Chrome’i nullpäeva turvanõrkusega sel aastal. Soovitame uuendada Chrome’i uuele versioonile 124.0.6367.201 esimesel võimalusel (BC, Chrome).

Olulised turvanõrkused 2023. aasta 35. nädalal

  • Küberrünnakud ohustavad avatud Microsoft SQL Serveri andmebaase

Hiljuti avalikustati raport, mis käsitleb küberrünnakuid avatud Microsoft SQL Serveri (MSSQL) andmebaaside vastu. Küberrünnakutele on antud koodnimetus DB#JAMMER. Raporti põhjal alustavad ründajad jõuründega internetist kättesaadavate MSSQL andmebaaside suunas. Kui sellega õnnestub ründajatel andmebaasidele ligipääs saada, üritavad nad kompromiteeritud süsteemis seda ka kindlustada. Lisaks paigaldatakse kompromiteeritud süsteemi erinevat tüüpi pahavara, luuakse ühendusi ründajate kontrollitud infrastruktuuriga, et vajalikke tööriistu andmete varastamiseks alla laadida ning krüpteeritakse võimalusel kogu ülevõetud süsteem. Raporti autorite hinnangul on tegu kõrgetasemeliste rünnetega, arvestades kasutatud pahavara, infrastruktuuri ja rünnete ülesehitust laiemalt.

Kuna rünnakud sihivad eelkõige avatud MSSQL servereid, tuleks avalik ligipääs neile võimalusel piirata. Samuti soovitatakse veenduda, et kasutajakontod kasutaksid piisavalt tugevaid paroole, sest nõrgad kasutajatunnused teevad ründajate elu palju lihtsamaks. Lisaks soovitatakse raportis organisatsioonidel monitoorida levinumaid pahavara paigaldamisega seotud katalooge („C:\Windows\Temp“) ja juurutada täiendavat protsessitasemel logimist (Sysmoni ja PowerShelli logimine), et logimise katvust laiendada (Securonix, DR).

  • WordPressi pistikprogrammi turvaviga võib kaasa tuua andmete lekkimise

Pistikprogrammil nimetusega All-In-One WP Migration avastati turvaviga, mis võib lubada ründajatel  ligi pääseda haavatava veebilehe tundlikele andmetele. Antud pistikprogrammi kasutab umbes viis miljonit WordPressi veebilehte. Viga, mida tähistatakse tähisega CVE-2023-40004, võimaldab autentimata kasutajatel suunata potentsiaalselt haavatava veebilehega seotud andmed kolmanda osapoole pilveteenustega seotud kontodele või kasutada pahaloomulisi varukoopiaid. Turvaprobleemi leevendab mõnevõrra asjaolu, et pistikprogrammi kasutatakse üldjuhul ainult veebilehe migratsiooniprojektide ajal ja see ei tohiks tavaliselt olla muul ajal aktiivselt kasutuses (BP).

Mõjutatud tasuliste kolmanda osapoole laienduste kasutajatel soovitatakse minna üle järgmistele fikseeritud versioonidele:

Box-nimeline laiendus: v1.54

Google Drive’i laiendus: v2.80

OneDrive’i laiendus: v1.67

Dropboxi laiendus: v3.76

Samuti soovitatakse kasutajatel kasutada pistikprogrammi All-in-One WP Migration uusimat versiooni v7.78.

  • Unarusse jäetud DNS-kirjeid on võimalik kasutada alamdomeenide kaaperdamiseks

IT-turbe konsultatsioonifirma töötajad viisid läbi uurimuse, et kaardistada unarusse jäetud DNS-kirjetega seonduvaid ohte. Täpsemalt keskenduti olukorrale, kui DNSi CNAME kirje osutab alamdomeenile, mida enam ei eksisteeri. Uurimistöö autorite sõnul õnnestus neil selliste DNS-kirjete abil üle võtta enam kui tosina suurorganisatsiooni alamdomeenid. Uurimistöö keskendus USA, Kanada, Ühendkuningriigi ja Austraalia valitsusorganisatsioonide alamdomeenidele, samuti uuriti erasektori ettevõtete kasutatavaid DNS-kirjeid. Tõenäoliselt on haavatavaid organisatsioone üle tuhande, selgub uurimusest (Certitude).

Pärast konfiguratsioonivea leidmist konfigureerisid autorid kaaperdatud alamdomeenid nii, et need suunaksid külastajad turvateadlikkuse teatise lehele, kus selgitatakse, kes nad on, mida nad on teinud ja kuidas nad seda tegid. Samuti andis leht juhised alamdomeeni kaaperdamise ärahoidmiseks ja alamdomeeni taastamiseks. Pahatahtlik osapool oleks võinud seda DNS-i konfiguratsiooniviga ära kasutada aga pahavara levitamiseks, valeinformatsiooni levitamiseks ja andmepüügirünnakuteks (Certitude).

Uurimuses kajastatud DNS-kirjetega seotud probleem tekib tihti pilveteenustega. Organisatsioonid seostavad kolmandate osapoolte pakutavaid pilvepõhiseid teenuseid DNS-kirjetega oma DNS-serveris. Kui aga pilveteenusest mingil hetkel loobutakse, võivad DNS-kirjed jätkuvalt jääda osutama sidusdomeenile (Certitude).

  • Lunavararühmitused ründavad mitmefaktorilise autentimiseta Cisco VPNe

Alates 2023. aasta märtsist on Akira ja LockBiti küberrühmitused rünnanud organisatsioone haavatavate Cisco ASA SSL VPN kaudu. Rünnakute õnnestumine on olnud tingitud nõrkadest või vaikeparoolidest, kuid samuti asjaolust, et tihti ei ole VPNide puhul rakendatud mitmefaktorilist autentimist (MFA) (Rapid7).

Analüüsist selgub, et kompromiteeritud Cisco VPNid on olnud erinevate versioonidega, rünnakud on olnud automatiseeritud ning sisse on üritatud saada erinevaid laialt levinud kasutajanimesid proovides. Analüüsi autorite sõnul ei olnud 40% kompromiteeritud VPNidest MFA-d rakendatud (Rapid7).

Selliste intsidentide vältimiseks ärgitatakse organisatsioone kasutama unikaalseid ja tugevaid paroole, uuendama tarkvara esimesel võimalusel ja analüüsima logisid, et tuvastada jõurünnete teostamist. Samuti tuleks alati võimalusel rakendada MFA-d (Rapid7). 

  • VMware’i virtualiseerimiskeskkondade haldustarkvara SSH-autentimisest on võimalik mööda pääseda

VMware Aria Operations for Networks (endine vRealize Network Insight) on haavatav kriitilise turvavea suhtes (tähisega CVE-2023-34039, kriitilisuse hinnang 9.8/10.0), mis võib võimaldada ründajatel haavatava süsteemi SSH-autentimisest mööda minna ja ligi pääseda privaatsetele lõpp-punktidele (private end-points).

CVE-2023-34039 kasutamine võib viia andmelekkeni või andmete muutmiseni mõjutatud süsteemis. Olenevalt konfiguratsioonist võib ründajal olla võimalik tekitada võrguhäireid, muuta süsteemi konfiguratsiooni, paigaldada pahavara või liikuda teistesse seotud süsteemidesse edasi.

Turvaviga mõjutab kõiki Aria tarkvara 6.x versioone. Hetkel on ainus viis kriitilise vea parandamiseks minna üle versioonile 6.11 või rakendada varasematele versioonidele turvapaika tähisega KB94152. Täpsemat infot saab viidatud linkidelt (VMware, BP).