Tag Archives: WordPress

Olulisemad turvanõrkused 2024. aasta 3. nädalal

VMware parandas Aria Automation tarkvaral kriitilise turvanõrkuse

Virtuaalmasinate loomise ja haldamise tarkvara pakkuv ettevõte VMware parandas hiljuti tõsise turbeprobleemi oma tootes nimega Aria Automation (varem tuntud kui vRealize Automation). Turvanõrkuse abil oli võimalik volitamata pääseda erinevatesse tarkvaraga seotud süsteemidesse ja protsessidesse,  juhul kui ründajal on haavatavale VMware’ile juba teatud tasemel juurdepääs (THN).

Turvaviga kannab tähist CVE-2023-34063 ja see on hinnatud kriitilisuse tasemega 9.9/10, mis näitab, et tegemist on väga tõsise haavatavusega.

Mõjutatud tarkvara versioonid:

VMware Aria Automation (versioonid 8.11.x, 8.12.x, 8.13.x ja 8.14.x)

VMware Cloud Foundation (versioonid 4.x ja 5.x)

Ettevõte juhib enda ametlikus teadaandes tarkvara kasutajate tähelepanu sellele, et pärast turvapaiga rakendamist peaksid kliendid uuendama oma süsteemid ainult versioonile 8.16. Kui nad lähevad üle versioonile, mis on mõjutatud versioonide ja versiooni 8.16 vahel, võib turvanõrkus uuesti ilmneda, mis nõuab teist parandust (VMware).

Atlassian parandas Confluence’il tõsiste tagajärgedega haavatavuse

Atlassian on hiljuti parandanud oma toodetes suurel hulgal turvanõrkuseid, sealhulgas ühe väga tõsise nõrkuse Confluence Data Center ja Confluence Server toodetes. Haavatavus on koodi kaugkäivitamise (RCE) viga, mis tähendab, et see võib lubada kellelgi, kellel pole volitatud juurdepääsu, tarkvaraga seotud süsteemile käske anda või seda muul moel mõjutada (Atlassian).

Turvanõrkusetähis on CVE-2023-22527 ja seda on hinnatud kõrgeima kriitilisuse skooriga 10.0/10.0. Haavatavus mõjutab tarkvara versioone 8.0.x kuni 8.5.3, kuid ei mõjuta versiooni 7.19.x LTS (pikaajalise toega versioon) (Atlassian).

Atlassian on selle probleemi lahendanud järgmistes uuemates versioonides: 8.5.4, 8.5.5, 8.6.0, 8.7.1 ja 8.7.2 (ainult Confluence Data Center jaoks). Ettevõte soovitab kasutajatel, kes kasutavad vanemaid a haavatavaid versioone, uuendada oma tarkvara uusimale saadaolevale versioonile (Atlassian).

Google parandas Chrome’i sirvikul nullpäeva turvanõrkuse

Google avalikustas Chrome’i brauseri värskendused, et parandada äsja avastatud ja aktiivselt kuritarvitatud turvaauk. Viga peitub selles, kuidas Chrome käsitleb teatud tüüpi koodi. Ründajad võivad seda loogikaviga manipuleerida nii, et brauseri töö katkeb või õnnestub ründajal veebilehitseja üle kontroll võtta. Viga kannab tähist CVE-2024-0519 ja seda nimetatakse nullpäeva turvanõrkuseks,  kuna ründajad kasutasid seda aktiivselt ära enne, kui Google sellest teadlikuks sai ja paranduse välja andis.

Üksikasju ei ole rünnakute kohta avalikustatud. Eelmisel aastal parandas Google Chrome’i sirvikus kokku kaheksa nullpäeva turvanõrkust (THN).

Selle haavatavuse eest kaitsmiseks soovitatakse kasutajatel värskendada oma Chrome’i brauser uusimale versioonile: 120.0.6099.224/225 Windowsi jaoks, 120.0.6099.234 macOS-i jaoks ja 120.0.6099.224 Linuxi jaoks. Teiste Chromiumil põhinevate brauserite (nt Microsoft Edge, Brave, Opera ja Vivaldi) kasutajatel soovitatakse samuti oma brausereid värskendada niipea, kui parandused on saadaval (THN).

Nutitelefonide valgusandurid võivad võimaldada salajast jälgimist

MIT-i teadlased on avastanud, et nutitelefonide, sealhulgas iPhone’i ja Androidi, seadmete ümbritseva valguse tuvastamiseks mõeldud andureid saab kasutada kasutaja interaktsioonide salvestamiseks ilma nende teadmata. Need andurid, mida tavaliselt kasutatakse ekraani heleduse reguleerimiseks, ei vaja kasutamiseks kasutaja luba. MIT-i teadlasterühm näitas, et andurid suudavad jäädvustada žeste, nagu kerimine, tuvastades kasutaja käe poolt blokeeritud valguse variatsioonid (DR).

MIT-i doktorant Yang Liu rõhutas nende anduritega seotud privaatsusriske, eriti kuna kasutajad ei tea, et varjatud jälgimiseks võidakse kasutada pildistamiseks mitte mõeldud komponente. Suundumus suuremate ja heledamate ekraanide poole ning tehisintellekti kasutavate tehnoloogiate edusammud võivad selliseid riske süvendada. Valdkonna eksperdid tunnistavad selle avastuse olulisust, kuid peavad vahetut ohtu kasutajale minimaalseks. Siiski rõhutatakse vajadust suurendada turvalisust kõigis digitaalselt ühendatud seadmetes (DR).

Konkreetse ohu leevendamiseks soovitavad teadlased tarkvarapoolseid lahendusi, nagu näiteks ümbritseva valguse andurite lubade kontrolli rakendamist (DR).

USA julgeolekuasutused hoiatavad Hiinas toodetud droonide kasutamise eest

FBI ja CISA hoiatasid, et Hiinas toodetud droonide sagenev kasutamine kujutab endast olulist ohtu USA kriitilisele infrastruktuurile. Asutused andsid välja dokumendi, mis soovitab USA organisatsioonidel hankida vajadusel USA-s toodetud turvalise projekteerimise põhimõtetele (secure by design) vastavaid droone. Asutused nõustuvad, et droonide kasutamine on tõhus kulude vähendamisel ja ohutuse parandamisel erinevates valdkondades, sealhulgas energia-, keemia- ja sidesektoris. David Mussington CISAst juhib aga tähelepanu, et Hiinas toodetud droonid paljastavad tundlikku teavet, mis võib ohustada USA riiklikku julgeolekut ja majandusjulgeolekut (SCM).

Mure tuleneb CISA pressiteate kohaselt Hiina seadustest, mis võimaldavad Hiina valitsusel pääseda ligi Hiina ettevõtete, sealhulgas droonitootjate valduses olevatele andmetele. Julgeolekuasutuste juhistest järeldub muu hulgas, et Hiina Rahvavabariigi 2017. aasta riiklik luureseadus kohustab Hiina ettevõtteid tegema koostööd riiklike luureteenistustega, mis hõlmab juurdepääsu võimaldamist ülemaailmselt kogutud andmetele. Bryan Vorndran FBI küberosakonnast hoiatab samuti Hiinas toodetud droonide kasutuselevõtuga USA peamistes sektorites seotud julgeolekuprobleemide eest, võttes arvesse süsteemidele ja andmetele volitamata juurdepääsu ohtu (SCM).

Lisaks sellele, et CISA ja FBI juhised kutsusid organisatsioone Hiinas toodetud seadmeid vältima, jagasid nad avaldatud dokumendis ka mitmeid soovitusi tööstuslike droonidega seotud turvariskide maandamiseks. Näiteks olid soovituste seas privaatsuspoliitika ülevaatamine, et mõista, kus drooniandmeid salvestatakse ja jagatakse, püsivara turvapaikade ja värskenduste rakendamine usaldusväärsest allikast ja kogutud andmete droonile salvestamata jätmine. Antud dokumendiga on võimalik tutvuda CISA kodulehel.

POST SMTP pistikprogrammi turvanõrkused võivad mõjutada WordPressi veebilehti

Rohkem kui 150 000 WordPressi veebilehte on haavatavad POST SMTP Mailer pistikprogrammi turvavigade tõttu, mille kaudu võib ründaja saada täieliku kontrolli ohvri veebilehe üle. Esimene haavatavus võimaldab autentimata ründajal API võtme lähtestada ja pääseda juurde tundlikule logiteabele, mille abil võib haavatava veebilehe täielikult üle võtta. Teise vea abil on ründajatel võimalik lisada haavatavetele veebilehtedele pahatahtlikke skripte. Turvanõrkused on parandatud pistikprogrammi versioonis 2.8.8. Haavatavused tõestavad taas, et lisaks WordPressi uuendamisele on oluline jälgida ka seda, et kõikidele kasutavatele pistikprogrammidele oleksid uuendused rakendatud (BC).

Enam kui 178 000 SonicWalli tulemüüri on turvanõrkuste tõttu ohus

Küberturvalisusega tegelevad teadurid avastasid, et üle 178 000 SonicWalli tulemüüri on internetile avatud haldusliidesega, mistõttu ohustavad neidteenuse tõkestamise ja koodi kaugkävitamise ründed. Neid seadmeid mõjutavad turvavead tähistega CVE-2022-22274 ja CVE-2023-0656. SonicWalli tulemüüride kasutajatel soovitatakse üle kontrollida, et haldusliides poleks võrgust ligipääsetav ja uuendada tarkvara viimasele versioonile (BC).

Olulisemad turvanõrkused 2023. aasta 49. nädalal

Androidi turvauuendused parandavad kriitilise turvavea

Androidi nutiseadmetes paigati 85 turvaviga. Nende hulgas on ka kriitiline koodi kaugkäivitamist võimaldav turvaviga (CVE-2023-40088), mis ei vaja kasutajapoolset tegevust haavatavuse edukaks kuritarvitamiseks. Samuti ei ole haavatavuse kuritarvitamiseks vaja kõrgendatud õiguseid. Teadaolevalt ei ole viga rünnete läbiviimisel veel ära kasutatud, kuid RIA soovitab Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (BC, SA, Android).

Atlassian parandas enda toodetes neli kriitilist turvaviga

Atlassian avaldas parandused nelja kriitilise koodi kaugkäitamise haavatavuse kohta, mis mõjutavad Confluence’i, Jira ja Bitbucketi tarkvaru. Kõik haavatavused said kriitilisuse skooriks vähemalt 9.0/10.0-st ja neid tähistatakse kui CVE-2023-22522, CVE-2023-22523, CVE-2023-22524 ja CVE-2022-1471. RIA soovitab esimesel võimalusel tarkvarad uuendada (HNAtlassian).

WordPressi administraatoritele saadetakse võltsitud turvauuenduste kirju

WordPressi haldajatele saadetakse võltsitud WordPressi turvateatisi fiktiivse haavatavuse kohta, et nakatada veebilehti pahatahtliku pistikprogrammiga. Kirja sisus on väidetud, et platvormil leiti kriitiline koodi kaugkäivitamist võimaldav viga ja selle parandamiseks tuleks alla laadida turvapaik. Kui lingile vajutada, siis suunatakse kasutaja kurjategijate loodud lehele, mis näeb välja identne õige WordPressi veebilehega (BC).

Lisaks paigati WordPressi uues versioonis 6.4.2 viga, mida on võimalik koos mõne teise haavatavusega ära kasutada pahatahtliku koodi kaugkäivitamiseks. Kõigil WordPressi kasutajatel on soovitatud tarkvara uuendada esimesel võimalusel, kuna haavatavuse tõttu on võimalik saada täielik kontroll veebilehe üle (SA, WordPress).

Tõsine Bluetoothi haavatavus võib lubada seadmetesse alla laadida pahaloomulisi rakendusi

Hiljutine turvahaavatavus CVE-2023-45866 mõjutab Androidi, Linuxi ja Apple’i seadmeid, võimaldades ründajatel sisestada klahvivajutused Bluetoothi turvavea kaudu. See viga võimaldab Bluetoothi levialas asuvatel ründajatel luua ühenduse tuvastatavate seadmetega ilma kasutaja kinnitust vajamata, võimaldades neil teha selliseid toiminguid nagu rakenduste installimine või käskude käivitamine. Haavatavus tuvastati esmalt macOS-is ja iOS-is, mõjutades isegi lukustusrežiimis (Lockdown Mode) olevaid seadmeid. Hiljem tuvastati see ka Androidis ja Linuxis (SW).

Mõjutatud on kõik Androidi versioonid alates versioonist 4.2.2. Google’i sõnul parandavad turvavea 2023. aasta detsembri turvauuendused (SW).

Kuigi Linuxi erinevatele distributsioonidele on parandus olemas juba 2020. aastast, on see tihti vaikimisi seades keelatud. Mõjutatud on Linuxi operatsioonisüsteemi kasutavad seadmed, mis on seatud olekusse avastatav/ühendatav (SW).

Lisaks on macOS ja iOS haavatavad, kui Bluetooth on lubatud ja Magic Keyboard on seadmes rakendatud. Sellisel juhul ei kaitse potentsiaalse ründe eest ka lukustusrežiim (Lockdown Mode) (SW).

USA valitsusasutuste vastu on üritatud ära kasutada Adobe ColdFusioni kriitilist turvanõrkust

Häkkerid on aktiivselt kasutanud Adobe ColdFusioni kriitilist turvaauku, mille tähistus on CVE-2023-26360, et tungida USA valitsusasutuste serveritesse. See haavatavus võimaldab ründajatel käivitada mis tahes koodi sihtmärgiks valitud serverites, mis kasutavad veebirakenduste arendusplatvormi Adobe ColdFusioni aegunud versioone. Turvaviga kasutati algselt nullpäeva haavatavusena, enne kui Adobe paranduse välja andis.

USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) on liigitanud antud häkkimiskatsed luuretegevuseks, mis tavaliselt hõlmavad teabe kogumist sihitud võrkude ja süsteemide kohta. CISA avalikustas föderaalasutustele ja osariikide teenistustele hoiatuse ja soovitused, et nad rakendaksid oma Adobe ColdFusioni tarkvaradele kohe saadaolevad turvavärskendused (CISA).

Riski maandamiseks ja võimalike ärakasutamiste eest kaitsmiseks soovitatakse ColdFusion uuendada uusimale saadaolevale versioonile. Lisaks soovitatakse rakendada võrgu segmenteerimist, kasutada tulemüüri ja/või veebirakenduste tulemüüri (WAF) ning kasutada nii palju kui võimalik mitmefaktorilist autentimist, et veelgi tugevdada kaitset selliste haavatavuste vastu (CISA).

5Ghoul-nimelised turvanõrkused mõjutavad 5G-modemeid

5Ghoul koondnimetusega haavatavused on turvanõrkused, mis leiti Qualcommi ja MediaTeki valmistatud 5G-modemites. Neid kasutatakse paljudes nutitelefonides, ruuterites ja USB-modemites. Teadlased avastasid 14 erinevat turvaprobleemi, millest kümmet on ka avalikkusega jagatud (SA).

Konkreetsed haavatavused võivad põhjustada teenuste töös tõrkeid või sundida mõjutatud seadmeid kasutama vähem turvalist võrku. Neid saab kuritarvitada haavatavatele seadmetele ilma füüsilist juurdepääsu omamata, imiteerides lihtsalt legitiimset 5G võrgusignaali. Mõned kriitilisemad haavatavused on tähistatud kui CVE-2023-33043, CVE-2023-33044 ja CVE-2023-33042 (SA).

Nii Qualcomm kui ka MediaTek on avaldanud turvahoiatused, mis käsitlevad avalikustatud 5Ghouli haavatavusi. Turvavärskendused tehti seadmemüüjatele kättesaadavaks kaks kuud tagasi. Tarkvara levitamise keerukuse tõttu, eriti Android-seadmetes, võib aga kuluda veidi aega, enne kui parandused turvavärskenduste kaudu lõppkasutajatele jõuavad. See tähendab, et kuigi nende haavatavuste jaoks on paigad olemas, sõltub nende juurutamine üksikutele seadmetele erinevatest teguritest, sealhulgas seadmete tootjatest ja konkreetsetest mõjutatud mudelitest (SA).

Sierra Wirelessi ruuterite turvanõrkused võivad mõjutada kriitilist infrastruktuuri

Turvanõrkused mõjutavad Sierra Wireless OT/IoT ruutereid ja võivad seetõttu ohustada kriitilist infrastruktuuri. Turvanõrkuste abil on võimalik autentimisest mööda minna, käivitada pahatahtlikku koodi ja teenuste tööd häirida. Sierra AirLink ruutereid kasutavad maailmas näiteks mitmed tööstusettevõtted ja hädaabiteenuse pakkujad oma kriitilise tähtsusega süsteemides. Kõigil kasutajatel soovitatakse üle minna ALEOS-i (AirLink Embedded Operating System) versioonile 4.17.0, kus vead on paigatud (BC, Forescout).

Olulisemad turvanõrkused 2023. aasta 46. nädalal

  • Microsoft paikas oma toodetes 58 viga

Microsoft parandas 58 haavatavust. Nende hulgas oli viis nullpäeva turvanõrkust, millest kolme on rünnetes ära kasutatud.

Ettevõtte sõnul on rünnete läbiviimisel kuritarvitatud haavatavusi tähistega CVE-2023-36036, CVE-2023-36033 ja CVE-2023-36025.

Parandatud vigadest võimaldavad koodi kaugkäivitada 14 ja üks neist on hinnatud kriitilise mõjuga nõrkuseks. Lisaks paigati ka 20 turvaviga Microsoft Edge’i veebilehitsejas. Täpsema nimekirja parandustest leiab lisatud lingilt (BC).

Soovitame uuendused rakendada esimesel võimalusel.

  • WordPressi pistikprogrammi haavatavuse tõttu on ohus enam kui 600 000 veebilehte

Turvanõrkus (CVE-2023-6063) mõjutab pistikprogrammi WP Fastest Cache ja selle kaudu on autentimata ründajal võimalik lugeda veebilehe andmebaasi sisu. Viga on hinnatud CVSS skooriga 8.6/10.

WP Fastest Cache on WordPressi plugin, mida kasutatakse lehtede laadimise kiirendamiseks, külastajakogemuse parandamiseks ja lehekülje esiletõstmiseks Google’i otsingus. Pistikprogrammi kasutab enam kui miljon veebilehte, kuid neist 600 000 kasutavad haavatavusega versiooni.

WPScan on öelnud, et nad avaldavad turvavea kontseptsiooni tõenduse 27. novembril ja kasutajatel on soovitatav enne seda tarkvara uuendada. WordPressi leheküljed ja seal olevad turvanõrkused on tihti ründajate sihtmärkideks.

Turvanõrkus mõjutab pistikprogrammi kõiki versioone kuni 1.2.2. Kõik kasutajad peaks uuendama tarkvara versioonile 1.2.2, kus viga on parandatud (BC).

  • Adobe paikas kriitilised turvavead oma tarkvarades

Adobe paikas kokku 72 haavatavust, mis mõjutavad tarkvarasid Adobe Acrobat, Reader, ColdFusion, inDesign, inCopy ja Audition. Parandatud turvanõrkuste hulgas oli 17 Adobe Acrobat ja Reader viga, mille kaudu saab paikamata süsteemides käivitada pahatahtlikku koodi.

Kuna tegemist on väga laialdaselt kasutusel olevate PDF-i lugeritega, siis soovitab tootja uuendada tarkvara nii pea kui võimalik. Adobe’i sõnul ei ole haavatavusi rünnete läbiviimisel veel kuritarvitatud. Täpsem nimekiri parandatud turvavigadest ja mõjutatud tarkvaradest on lisatud linkidel (SW, Adobe).

  • Kiibitootjad paikasid haavatavusi

Kiibitootjad Intel ja AMD avaldasid eelmisel nädalal turvauuendused, milles teavitati oma kliente enam kui 130 haavatavuse parandamisest.

Intel paikas kokku 105 haavatavust. Nende hulgas oli Google’i teadurite avastatud haavatavus tähisega CVE-2023-23583, mille kaudu on võimalik ohvri seade ja teised samas võrgus olevad seadmed kokku jooksutada.  Haavatavus võib kaasa tuua ka teabe avalikustamise või õigustega manipuleerimise. Lisaks teavitati kliente ka Data Center Manager (DCM) tarkvaras olevast turvaveast, mida tähistatakse CVE-2023-31273 ja mis on hinnatud kõrgeima CVSS skooriga 10/10.

AMD parandas oma toodetes 27 turvaviga. Nende hulgas oli turvaviga tähisega CVE-2023-20592, mis ohustab virtuaalmasinaid ja võimaldab ründajal krüpteeritud masinasse sisse murda ning saada kõrgemad õigused. Lisaks paigati haavatavusi komponentides Secure Processor (ASP) ja System Management Unit (SMU) (SW).