Tag Archives: WordPress

Olulisemad turvanõrkused 2024. aasta 34. nädalal

Mitmed macOS-ile mõeldud Microsofti rakendused on haavatavad rünnakutele

Cisco Talose teadlased avastasid, et ründajad saavad kuritarvitada macOS-i jaoks mõeldud populaarsete Microsofti rakenduste haavatavusi video- ja heliklippide salvestamiseks, pildistamiseks, andmetele juurdepääsuks ning e-kirjade saatmiseks. Turvavead leiti tarkvarade Microsoft Teams, OneNote, Outlook, Word, Excel ja Powerpoint macOSi jaoks loodud versioonidest. Turvavead võimaldavad ründajatel sisestada rakenduse tööprotsessidesse pahatahtlikku teeki. Hetkel on paigatud Teamsi ja OneNote’i turvavead, kuid Microsofti sõnul ei ole tegemist tõsiste turvavigadega ja nad ei plaani teistes tarkvarades olevaid vigu parandada (HNS, DR).

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 100 000 WordPressi veebilehe on mõjutatud GiveWP pistikprogrammis olevast kriitilisest haavatavusest tähisega CVE-2024-5932, mille kaudu võib ründaja käivitada suvalist koodi ja kustutada veebilehel olevaid faile. Samuti on võimalik veebileht täielikult üle võtta ja kogu seal olev info kustutada. Haavatavus on hinnatud maksimaalse CVSS skooriga 10/10.

GiveWP puhul on tegemist populaarse annetamise ja raha kogumise pistikprogrammiga, millel on üle 100 000 aktiivse kasutaja.

Viga mõjutab kõiki plugina versioone kuni 3.14.1 ja on parandatud versioonis 3.14.2. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (SW).

Google paikas Chrome’i veebilehitsejas selle aasta üheksanda nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-7971 juba rünnetes ära kasutatud. Lisaks nullpäeva turvanõrkusele paigati veel 37 haavatavust. Soovitame uuendada Chrome’i uuele versioonile 128.0.6613.84 esimesel võimalusel. Tegemist on üheksanda Chrome’i nullpäeva turvanõrkusega sel aastal (BC, Chrome).

GitHubi Enterprise Serveris paigati kriitiline turvaviga

Turvaviga tähisega CVE-2024-6800 on hinnatud kriitilise CVSS skooriga 9.5/10 ja see võimaldab ründajal autentimisest mööda minna ning saada administraatori õigused. Viga mõjutab kõiki GitHub Enterprise Serveri versioone kuni 3.14 ja on paigatud versioonides 3.13.3, 3.12.8, 3.11.14 ja 3.10.16. Lisaks nimetatud veale paigati veel kaks keskmise mõjuga haavatavust (CVE-2024-7711 ja CVE-2024-6337). Kõigist kolmest turvaprobleemist teatati GitHubi Bug Bounty programmi kaudu HackerOne’i platvormil.

FOFA otsingumootori andmetel on hetkel internetile avatud üle 36 500 GitHubi Enterprise Serveri rakenduse, aga ei ole teada, kui paljud neist kasutavad turvanõrkusega versiooni.

Ettevõte soovitab kõigil kasutajatel tarkvara uuendada (BC, SW).

WordPressi pistikprogrammis oleva turvanõrkuse tõttu on üle viie miljoni veebilehe ohus

Turvanõrkus (CVE-2024-28000) mõjutab pistikprogrammiLitespeed Cacheja selle kaudu on võimalik autentimata ründajal saada administraatoriõigused ning võtta veebileht enda kontrolli alla.  Pistikprogrammi on alla laetud enam kui 5 miljonit korda ehk tegemist on väga laialdaselt kasutusel oleva tarkvaraga.

Haavatavus mõjutab kõiki pistikprogrammi versioone kuni 6.3.0.1. Turvanõrkus on paigatud tarkvara versioonis 6.4 ja kõigil kasutajatel tuleks uuendada pistikprogramm kõige uuemale versioonile.

Häkkerid alustasid juba päev pärast tehniliste üksikasjade avalikustamist haavatavuse ärakasutamist rünnete läbiviimisel. Reedese info põhjal oli vaid 30% protsenti kasutajatest pistikprogrammi uuendanud ja kasutas turvapaigatud versiooni. Wordfence’i sõnul tehti vaid ühe ööpäeva jooksul 48 500 ründekatset. See on tänavu teine ​​kord, kui häkkerid on sihikule võtnud LiteSpeed Cache’i plugina. Mais kasutasid ründajad haavatavust CVE-2023-40000, et luua administraatorikontosid ja võtta üle haavatavad veebisaidid (BC, BC).

Atlassian paikas turvavigu tarkvarades Bamboo, Confluence, Crowd ja Jira

Atlassian väljastas turvapaigad üheksa suure mõjuga haavatavuse jaoks enda toodetes Bamboo, Confluence, Crowd ja Jira.

Bamboo Data Center and Serveri tarkvaras paigati kaks suure mõjuga viga, millest üks võimaldab koodi kaugkäivitada. Confluence Data Center and Serveri tootes paigati samuti kaks suure mõjuga haavatavust. Täpsem nimekiri parandatud turvavigadest on Atlassiani kodulehel.

Kasutajatel soovitatakse tarkvara esimesel võimalusel uuendada, kuigi ettevõte ei maini, et neid vigu oleks õnnestunud ära kasutada (SW, Atlassian).

Häkkerid saavad üle võtta Ecovacsi robotseadmeid

Hiljuti tuli avalikuks turvanõrkus, mille kaudu saavad häkkerid luurata Ecovacsi robottolmuimejate ja -muruniidukite omanikke.

Teadlased analüüsisid järgmisi seadmeid: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat Z1, Air Ecova, Ecovacs Airbot AVA ja Ecovacs Airbot ANDY.

Eksperdid avastasid mitmeid haavatavusi, mis võimaldavad ründajatel Bluetoothi ​​kaudu seadmete kaameraid ja mikrofone üle võtta. Selgus, et seadmetel ei ole valgustust, mis näitaks, et nende kaamerad ja mikrofonid on sisse lülitatud. Ecovacs on lubanud turvavead paigata (SA, TC).

Olulisemad turvanõrkused 2024. aasta 22. nädalal

TP-Link parandas kriitilise vea populaarses ruuteris C5400X

TP-Link paikas turvavea, mida on hinnatud maksimaalse CVSS-skooriga (10.0/10) ning mis võimaldab autentimata ründajal kaugelt koodi käivitada. Pahaloomuliste käskude käivitamine võib kaasa tuua ruuterite ülevõtmise, andmete pealtkuulamise, DNSi sätete muutmise ja ligipääsu võrgule.

Turvaviga tähisega CVE-2024-5035 mõjutab mängurite seas populaarset TP-Linki ruuterit Archer C5400X ja selle tarkvara versioone kuni 1.1.1.6. Haavatavus on paigatud ruuteri tarkvara versioonis 1_1.1.7 (HN, BC).

Cisco paikas Firepower Management Centeris (FMC) kõrge mõjuga haavatavuse

Cisco parandas Firepower Management Centeri (FMC) tarkvara veebipõhise haldusliidese haavatavuse tähisega CVE-2024-20360, mida on hinnatud kõrge CVSS-skooriga (8,8/10). Haavatavus võimaldab pahaloomulisi SQLi käske käivitada, mille tulemusel saab ründaja andmebaasist mistahes andmeid, käivitada operatsioonisüsteemis suvalisi käske ja õigustega manipuleerida. Turvaveale on olemas parandus ja selle saavad kasutajad alla laadida (SA, Cisco).

WordPressi pistikprogrammi kasutatakse ära kaardiandmete varastamiseks

Kurjategijad on võtnud sihikule WordPressi pistikprogrammi Dessky Snippets. Häkkerid on asunud e-poodide veebilehtedele lisama pistikprogrammi kaudu pangakaardiandmeid varastavat pahaloomulist PHP-koodi.

Kuna e-poodides hoitakse tundlikke andmeid, näiteks pangakaardiandmed ja klientide isikuandmed, siis on need tihti kurjategijate sihtmärkideks. Kõigil WordPressi veebilehtede haldajatel tuleks hoida tarkvara ajakohasena, kasutada tugevaid paroole ja monitoorida oma lehel toimuvat (HN, SA).

Check Point paikas nullpäeva turvanõrkuse

Turvanõrkus tähisega CVE-2024-24919 mõjutab VPNi seadmeid ja seda on õnnestunud rünnetes kuritarvitada. Täpsemalt mõjutab turvaviga järgmisi Check Pointi tooteid: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways ja Quantum Spark Appliances. Mõjutatud versioonid on R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, and R81.20.

Haavatavuse kaudu võib saada kaugjuurdepääsu tulemüürile ja seejärel ligipääsu ettevõtte võrgule.

Check Pointi teatel on virtuaalsete privaatvõrkude (VPN) vastu suunatud rünnakud viimastel kuudel märkimisväärselt suurenenud. Mitmete suurte VPNi pakkujate, nagu Ivanti, Fortinet ja Cisco, toodetes on avalikustatud haavatavusi, mille kaudu on õnnestunud ründeid läbi viia. Muuhulgas kasutavaid neid turvanõrkusi ka riiklikud küberrühmitused. Näiteks jaanuaris hoiatas CISA, et Hiina riikliku taustaga häkkerid on võtnud sihikule Ivanti VPNi nullpäeva turvanõrkused. Seetõttu on oluline VPNi tarkvara uuendada niipea, kui turvauuendused välja antakse.

Kõigil, kes kasutavad Check Pointi Quantum Gateway tooteid, tuleks tarkvara uuendada (SA, SC).

Fortineti SIEMi tarkvara kriitilisele turvanõrkusele avaldati kontseptsiooni tõendus

Veebruaris avalikuks tulnud Fortineti FortiSIEMi tarkvaras olevale kriitilisele turvanõrkusele tähisega CVE-2024-23108 avaldati kontseptsioonitõendus, mis näitab, kuidas turvaviga ära kasutada. Veale on veebruarikuust olemas ka parandus ning kõigil Fortineti toodete kasutajatel tuleks tarkvara uuendada (SA).

WordPressi pistikprogrammide kriitilised turvavead on ründajate sihtmärgiks

WordPressi veebilehtede vastu suunatud pahatahtliku kampaania käigus kasutatakse ära turvanõrkusi kolmes erinevas pistikprogrammis – WP Statistics, WP Meta SEO ja LiteSpeed Cache. Tegemist on väga populaarsete pluginatega – WP Statistics pistikprogrammi on alla laetud 600 000 korda ja LiteSpeed Cache pistikprogrammi 5 miljonit korda.

Turvavead mõjutavad pluginate versioone:

  • WP Statistics 14.5 ja vanemad;
  • WP Meta SEO 4.5.12 ja vanemad;
  • LiteSpeed Cache 5.7.0.1 ja vanemad.

Eduka ründe korral on võimalik luua administraatorikonto, sisestada veebilehele pahaloomulist PHP-koodi ning jälgida kogu veebilehel toimuvat. Soovitame kõigil WordPressi veebilehtede haldajatel hoida tarkvara ajakohasena (SW).

Ticketmasterit tabas ulatuslik andmeleke

Live Nation kinnitas, et Ticketmasteri keskkonda on tabanud andmeleke, mis mõjutab 560 miljonit klienti.  Häkkerid on pakkunud tumeveebis müügiks 1.3 TB andmeid, mille eest soovitakse 500 000 dollarit. Varastatud andmed hõlmavad Ticketmasteri klientide nimesid, e-posti aadresse, telefoninumbreid, piletimüügi ja tellimuse üksikasju. Väidetavalt õnnestus andmed varastada pilveteenusepakkuja Snowflake kaudu – esmalt saadi kätte Snowflake’i töötaja kontoandmed ja seejärel saadi ligipääs nende klientide andmetele. Kurjategijate sõnul on nad sarnasel moel saanud ligipääsu ka teiste ettevõtete, nt Mitsubishi, Neiman Marcus ja Advance Auto Parts, andmetele (SA, CS).

Olulisemad turvanõrkused 2024. aasta 19. nädalal

Androidi Xiaomi seadmetes avastati mitu turvaauku

Androidi kasutavate Xiaomi seadmete erinevates rakendustes ja süsteemikomponentides leiti 20 turvaviga. Turvaaukude ärakasutamine võib kaasa tuua erinevad pahaloomulised tegevused ja ligipääsu seadmes olevatele failidele ning kontoandmetele.

Turvavead mõjuvad järgmisi rakendusi ja komponente:

  • Gallery (com.miui.gallery)
  • GetApps (com.xiaomi.mipicks)
  • Mi Video (com.miui.videoplayer)
  • MIUI Bluetooth (com.xiaomi.bluetooth)
  • Phone Services (com.android.phone)
  • Print Spooler (com.android.printspooler)
  • Security (com.miui.securitycenter)
  • Security Core Component (com.miui.securitycore)
  • Settings (com.android.settings)
  • ShareMe (com.xiaomi.midrop)
  • System Tracing (com.android.traceur)
  • Xiaomi Cloud (com.miui.cloudservice)

Xiaomi seadmete kasutajatel soovitatakse uuendada tarkvara (HN, OS).

Citrix paikas kõrge mõjuga turvanõrkuse

Citrix parandas turvanõrkuse, mis mõjutab NetScaler ADC ja Gateway seadmeid. Uut turvaviga võrreldakse eelmisel aastal avalikuks tulnud haavatavusega, mida nimetati “CitrixBleed”, kuna ka selle kaudu on võimalik autentimata ründajal saada ligipääs tundlikule infole. Küll aga ei ole uus turvaviga nii suure mõjuga. Kõigil kasutajatel soovitatakse NetScaler uuendada versioonile 13.1-51.15 või veel värskemale (DR, BF).

Häkkerid on võtnud sihikule WordPressi pistikprogrammi

Turvanõrkus (CVE-2023-40000) mõjutab pistikprogrammi Litespeed Cache ja selle kaudu on võimalik saada administraatoriõigused ning kontroll veebilehe üle. Viga on paigatud juba eelmisel aastal, kuid endiselt kasutab ligi kaks miljonit veebilehte turvanõrkusega versiooni.

Viimasel ajal on näha olnud mitmeid katseid nimetatud turvavea kuritarvitamiseks – häkkerid skaneerivad võrku ja otsivad veebilehti, mis kasutavad pistikprogrammi turvapaikamata versiooni. Ohus on kõik veebilehed, mis kasutavad Litespeed Cache’i versiooni 5.7.0.1 või vanemat.

Soovitame kõigil WordPressi veebilehtede administraatoritel pistikprogramme regulaarselt uuendada. Samuti tasuks jälgida, et lehele ei oleks loodud uusi administraatorikontosid ja mittevajalikud komponendid oleks eemaldatud (BC).

Enam kui 50 000 Tinyproxy serverit on ohus kriitilise turvavea tõttu

Ligikaudu 52 000 internetile avatud Tinyproxy serverit on haavatavad turvavea tõttu, mis võimaldab pahaloomulist koodi kaugkäivitada. Haavatavus tähisega CVE-2023-49606 on hinnatud kriitilise CVSS skooriga 9.8/10 ning see mõjutab Tinyproxy versioone 1.11.1 ja 1.10.0. Viga on paigatud versioonis 1.11.2. Kasutajatel soovitatakse tarkvara uuendada ja jälgida, et Tinyproxy teenus ei oleks internetis avalikult kättesaadav (BC, HN).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 26 turvaviga, nende hulgas oli kriitiline haavatavus tähisega CVE-2024-23706, mis võib kaasa tuua õigustega manipuleerimise. Lisaks paigati ka haavatavusi Pixeli seadmetes. Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel. Hetkel teadaolevalt ei ole õnnestunud haavatavusi kuritarvitada (SW, Android).

VPNi rakendused on haavatavad turvanõrkusele TunnelVision

Teadurid avastasid uue ründemeetodi, mis sai nimeks TunnelVision ja mille tõttu on pea kõik VPNi teenuste pakkujad ohus. TunnelVisioni abil suunatakse kogu võrguliiklus ümber ründaja kaudu, kes saab võrgus toimuvat liiklust nii jälgida, muuta kui ka katkestada. Teadurite sõnul mõjutab see kõiki VPNi rakendusi, juhul kui kasutaja ei tööta Linuxi või Androidiga. Ründetehnikat on olnud võimalik kasutada juba alates 2002. aastast. Leviathan Security veebilehele on lisatud nii ründemeetodit tutvustav video kui ka leevendavad meetmed (AT, LS).

Wichita linna tabas lunavararünnak

USAs asuvat Wichita linna tabas lunavararünnak, mistõttu oli linn sunnitud osa oma võrkudest lahti ühendama. 5. mail rünnati linna IT-süsteeme ja krüpteeriti need lunavaraga. Linna teatel läksid elutähtsad teenused, nagu politsei ja tuletõrje, üle „paberi ja pastakaga“ töötamisele. Rünnak mõjutas ka maksetega seotud teenuseid – internetis ei olnud võimalik maksta veearvete, kohtutrahvide ega ühistranspordi piletite eest. Hiljem selgus, et mõjutatud olid ka mitmed teised teenused, näiteks avalikud WiFi võrgud.

Rünnaku eest võttis vastutuse LockBiti-nimeline rühmitus, kes nõuab linnalt lunaraha maksmist 15. maiks. Vastasel juhul ähvardatakse varastatud andmed avalikustada (BC, BC).

Google paikas Chrome’i nullpäeva turvanõrkuse

Ettevõtte sõnul on turvaviga tähisega CVE-2024-4671 rünnetes juba ära kasutatud. Tegemist on viienda Chrome’i nullpäeva turvanõrkusega sel aastal. Soovitame uuendada Chrome’i uuele versioonile 124.0.6367.201 esimesel võimalusel (BC, Chrome).