Tag Archives: WhatsApp

Olulisemad turvanõrkused 2024. aasta 30. nädalal

Ekraan, mille klaas on ämblikuvõrku meenutavalt katki

WhatsAppi Windowsi versioon laseb Pythoni ja PHP skripte ilma hoiatuseta käivitada

Windowsi WhatsAppi viimases versioonis avastatud turvanõrkus võimaldab saata Pythoni ja PHP manuseid, mis ohvri seadmes ilma hoiatuseta käivituvad (BC). Selleks, et rünnak töötaks, peab ohvril olema Python alla laaditud.

Muude manuste puhul (.EXE, .COM, .SCR jms) annab WhatsApp kasutajale kaks valikut – kas manus avada või see alla laadida. Kui kasutaja tahab manust avada, siis tuleb WhatsAppilt veateade ning kasutaja ainsaks võimaluseks jääb manuse alla laadimine. Seevastu Pythoni ja PHP manuste puhul laseb WhatsApp neid kasutajatel käivitada, ilma et neid enne alla laadima peaks. Nõnda saavad pahalased WhatsAppi kaudu levitada pahavara ning käivitada ohvri seadmes pahaloomulisi skripte.

Küberkurjategijad kasutavad ära valesti konfigureeritud Selenium Gridi servereid krüptoraha kaevandamiseks

Küberkurjategijad kasutavad Selenium Gridi vigast konfiguratsiooni krüptokaevurite levitamiseks. Selenium Grid on populaarne avatud lähtekoodiga veebirakenduste testimise raamistik, mis laseb teha automatiseeritud teste mitmes masinas ja veebilehitsejas.

Selenium Gridil puuduvad aga sissehitatud autentimise mehhanismid, mistõttu on avalikult kättesaadavate seadmete puhul võimalik nende testimise instantssidele ligi saada ning samuti ka faile alla laadida ja skripte käivitada. Selenium on oma dokumentatsioonis selle eest hoiatanud ning soovitanud vajadusel rakendada tulemüüripõhiseid piiranguid. Paljud asutused ei arvestanud selle hoiatusega, mistõttu hakkasid pahalased eelmainitud autentimise puudust ära kasutama krüptokaevurite levitamiseks. Õnnestunud kompromiteerimise puhul juurutavad pahalased XMRig tööriista, mis kaevandab Monero-nimelist krüptoraha.

Docker paikas viie aasta vanused turvanõrkused, mis võimaldasid autentimisest mööda minna

Docker avaldas turvauuendused, et parandada Docker Engine tarkvaras kriitiline haavatavus (CVE-2024-41110), mis võimaldab ründajal teatud olukordades mööda minna volituste kontrolli pistikprogrammidest (AuthZ) (BC).

Seda turvanõrkust (tähisega CVE-2024-41110) võib ära kasutada spetsiaalsete API päringute tegemiseks, mis trikitavad Dockeri daemon’it seda autentimata AuthZ pistikprogrammi edastama. Seda saab ära kasutada näiteks kasutajaõiguste eskaleerimiseks.

Turvanõrkus mõjutab Docker Engine’i versioone v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 ja v27.1.0.

Olulised turvanõrkused 2022. aasta 39. nädalal

  • Microsoft Exchange’i uued nullpäeva turvanõrkused

Microsoft avaldas, et nende Exchange Server 2013, 2016 ja 2019 puhul avastati kaks uut (CVE-2022-41040 ja CVE-2022-41082) nullpäeva turvanõrkust. Eduka ärakasutamise korral on võimalik ründajal käivitada serveris pahaloomulist koodi, liikuda lateraalselt edasi või varastada andmeid. Microsoft on teada andnud, et tegeleb hetkel turvapaikade väljatöötamisega ja on pakkunud välja alternatiivsed kaitsemeetmed, kuidas turvanõrkuste vastu end hetkel kaitsta (MSRC, BP, RIA).  

Riigi Infosüsteemi Amet on pikemalt nendest turvanõrkustest kirjutanud eraldi blogipostituses, mille leiate siit. Blogipostitust uuendatakse uue informatsiooni tekkimisel esimesel võimalusel.

  • Kriitilised haavatavused WhatsAppi sõnumirakenduses

Sõnumirakenduses WhatsApp parandati kaks turvanõrkust (CVE-2022-36934 ja CVE-2022-27492), mis võimaldavad ründajal koodi kaugkäivitada. Haavatavused mõjutavad erinevaid WhatsAppi tarkvara versioone (pikemalt kirjeldatud all). Soovitame uuendada WhatsAppi rakendus esimesel võimalusel (SA, MB, WhatsApp).

Nimelt parandas WhatsApp septembris kaks turvanõrkust, mis lubavad õnnestunud ärakasutamise korral koodi kaugkäivitamist haavatavas seadmes. Turvanõrkust CVE-2022-36934 on hinnatud skooriga 9.8/10.0 ja teist turvanõrkust CVE-2022-27492 skooriga 7.8/10.0.

CVE-2022-36934 – Turvaviga peitub spetsiifilisemalt ühes WhatsAppi rakenduse komponendis, mis on seotud videokõnedega. Videkõne ajal on ründajal võimalik selle vea abil tekitada puhvri ületäitumine (buffer overflow) ja saada kontroll WhatsAppi rakenduse üle. Puhvri ületäitumine on olukord, kus ründajal õnnestub tarkvarale eraldatud mälupiirkonda (memory region) ignoreerida ja selle abil käivitada pahaloomuline kood.

CVE-2022-27492 – Ründaja saab seda turvaviga ära kasutada, kui ta saadab sihtmärgile spetsiaalse videofaili, mille ohver peab siis omakorda käivitama. Sellisel juhul on võimalik ründajal teostada koodi kaugkäivitamist haavatavas seadmes. Turvanõrkus tekitab WhatsAppi rakenduses spetsiaalse olukorra (integer underflow), mille puhul on siis võimalik ründajal pahaloomulist koodi kaugkäivitada.

Kes ja mida peaks tegema?

CVE-2022-36934 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.12.
  • WhatsAppi Business rakendus Androidile ja iOSile – Mõjutatud on versioonid, mis on vanemad kui 2.22.16.12.

CVE-2022-27492 – Turvanõrkus mõjutab järgnevaid WhatsAppi rakenduse versioone:

  • WhatsAppi rakendus Androidile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.16.2.
  • WhatsAppi rakendus iOSile – Mõjutatud on versioonid, mis on vanemad kui v 2.22.15.9.

Soovitame haavatava versiooni kasutamise korral uuendada rakendus esimesel võimalusel. Juhised, kuidas rakendust uuendada, leiate tootja kodulehelt.

  • Twitter parandas turvavea, mis jättis kasutajad sisselogituks pärast parooli lähtestamist

Twitteri sõnul parandasid nad vea, mis jättis kasutaja sisselogituks pärast parooli lähtestamist. Pärast turvavea avastamist logiti kõik mõjutatud kasutajad automaatselt välja ja nüüdseks on viga parandatud (MB).

Mitmesse seadmesse sisselogituna jäämine pärast konto parooli vahetamist on tõsine turvarisk. Kui keegi on teie konto juba kompromiteerinud, kuid pärast parooli vahetamist teda välja ei logita, on tal võimalik endiselt kontoga seotud privaatsõnumeid lugeda, vahetada omakorda parool või teha midagi muud pahaloomulist.

Kes ja mida peaks tegema?

Kuna turvaviga on parandatud ja Twitter logis kõik mõjutatud kasutajakontod automaatselt välja, ei tule kasutajatel otseselt täiendavaid kaitsemeetmeid rakendada. Alati soovitame siiski kasutajakontode puhul kasutada kaheastmelist autentimist, kui seda ei ole juba rakendatud.

  • Chrome’i uues versioonis paigati viis kõrge tasemega turvanõrkust

Google avaldas Chrome’i uue versiooni nimetusega Chrome 106, milles on paigatud kokku 22 erinevat turvanõrkust, sealhulgas turvanõrkused, mida oleks saanud teoreetiliselt ära kasutada pahaloomulise koodi käivitamiseks või teenusetõkestusrünnete korraldamiseks. Mõned nendest olid use-after-free nõrkused, mis viitab sellele, et need spetsiifilised haavatavused olid seotud dünaamilise mälu ebakorrektse kasutamisega rakenduse töötamise ajal (SW, CR).

Kes ja mida peaks tegema?

Chrome’i kõige uuem versioon macOSile ja Linuxile kannab nimetust 106.0.5249.61 ning Windowsi puhul 106.0.5249.61/62. Soovitame Chrome võimalusel uuendada, et ennetada turvanõrkuste ärakasutamist. Juhised, kuidas Chrome’i uuendada, leiate siit.

  • Cisco paikas kaksteist kõrge tasemega turvanõrkust

Eelmisel nädalal avalikustas Cisco, et paikas enda IOS ja IOS XE tarkvarades 12 kõrge tasemega turvanõrkust. Kõige kriitilisema skooriga (8.6/10.0) hinnati kuut haavatavust (CVE-2022-20848, CVE-2022-20847, CVE-2022-20870, CVE-2022-20919 , CVE-2022-20856, CVE-2022-20837), mis kõik võivad viia teenusekatkestuseni. Ründaja saab kasutada neid nõrkuseid, saates pahaloomulisi CIP-, DNS- või CAPWAP-pakette, pahaloomulisi UDP datagramme või DHCP sõnumeid haavatavate seadmete suunas (SW).

Kaks madalama skooriga turvanõrkust CVE-2022-20920 (7.7/10.0) ja CVE-2022-20915 (7.4/10.0) võimaldavad samuti põhjustada teenusekatkestusi haavatavate seadmete puhul, kui saadetakse spetsiifilisi SSH-päringuid või IPv6-pakette.

Ülejäänud kõrge tasemega turvanõrkuste abil on võimalik teoreetiliselt enda õiguseid suurendada (CVE-2022-20775, CVE-2022-20818) või käivitada teatud tingimustel pahaloomulist koodi (CVE-2022-20944).

Kes ja mida peaks tegema?

Soovitame tutvuda tootja väljastatud turvanõrkuste nimekirjaga siin ja haavatavuste korral rakendada uuendused.

  • Mozilla paikas mitmed turvanõrkused Thunderbirdi meilirakenduses

Mozilla paikas mitmed turvanõrkused Thunderbirdi meilikliendi uues versioonis 102.3.1. Kolm neist on hinnatud kõrge mõjuga haavatavusteks. Tarkvara kasutamise korral soovitame see uuendada, et ennetada turvanõrkuste ärakasutamist (Mozilla).

Kõik parandatud turvanõrkused on seotud Matrixi suhtlusprotokolliga. Järgnevalt kirjeldame veidi pikemalt turvanõrkuseid, mille Mozilla hindas kõrge tasemega.

CVE-2022-39249 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on pahaloomulisel serveri administraatoril võimalik võltsida krüpteeritud sõnumeid ja jätta mulje, et need saadeti kellegilt teiselt kasutajalt samast serverist.

CVE-2022-39250 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on võimalik pahaloomulisel serveri administraatoril segada seadmeülest verifitseerimisprotseduuri selleks, et autentida end enda seadmega.

CVE-2022-39251 (7.5/10.0) – Thunderbirdi kasutajad, kes kasutavad Matrixi suhtlusprotokolli, on haavatavad ründele, mille puhul on ründajal võimalik näiliselt kasutada kasutajate ajaloolisi sõnumeid pahaloomuliseks tegevuseks.

Kes ja mida peaks tegema?

Tarkvara kasutajatel soovitame tarkvara uuendada vähemalt versioonini 102.3.1, et ennetada mainitud turvanõrkuste ärakasutamist.

RIA analüüsi- ja ennetusosakond