Tuhanded Citrixi serverid on haavatavad kriitiliste turvanõrkuste vastu
Tuhanded Citrixi ADC ja Gateway lahendused on endiselt haavatavad kahe kriitilise turvanõrkuse vastu. Esimene turvanõrkus CVE-2022-27510 (9.8/10.0) parandati 2022. aasta 8. novembril ja teine haavatavus CVE-2022-27518 (9.8/10.0) 13. detsembril. Esimest on ründajal võimalik ära kasutada selleks, et saada volitamata ligipääs haavatavale seadmele ning see üle võtta. Teise abil saab süsteemis käivitada pahaloomulist koodi, mille kaudu on võimalik samuti haavatav seade kompromiteerida. Samuti märgitakse, et ründajad on aktiivselt otsinud seadmeid, mis on haavatavad CVE-2022-27518 vastu (BP, SA).
Kes ja mida peaks tegema?
CVE-2022-27510 turvanõrkuse kohta leiate lisainformatsiooni siit.
CVE-2022-27518 turvanõrkuse kohta leiate lisainformatsiooni siit.
Citrixi ADC ja/või Gateway lahenduste kasutamise korral tutvuge ülal viidatud tootjapoolse informatsiooniga, et tuvastada, kas teie süsteemid on haavatavad. Vajadusel uuendage tarkvara kõige uuemale versioonile.
Netgear paikas WiFi ruuteritel kõrge mõjuga haavatavuse
Netgear paikas turvanõrkuse, mis mõjutab mitmeid Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6) ja Wireless AC ruuterite mudeleid. Turvaviga võimaldab nii seadme töö häirimist kui ka pahatahtliku koodi käivitamist ning on hinnatud skooriga 7.4/10. Tootja ei ole jaganud täpsemaid detaile turvanõrkuse olemuse ega toimimisviisi kohta (BP, SA).
Kes ja mida peaks tegema?
Tabeli, mis sisaldab haavatavaid ruuterite mudeleid, leiate siit. Kui te haavatavaid seadmeid kasutate, soovitame uuendada tarkvara tabelis viidatud versioonile. Sellisel kujul haavatavus seadmetele ohtu ei kujuta.
Kriitiline haavatavus Linuxi kernelis võimaldab teatud SMB- serverites koodi kaugkäitust
Linuxi kernelis peitub kriitiline turvanõrkus (10.0/10.0), mille kaudu saavad autentimata ründajad käivitada teatud SMB-serverites pahatahtliku koodi. Haavatavad on serverid, mis kasutavad ksmbd moodulit. Turvanõrkus avastati tänavu juulis, kuid avalikustati 22. detsembril (ZDI, SA).
Kes ja mida peaks tegema?
Kõikidel, kes kasutavad SMB-servereid koos ksmbd mooduliga, tuleks uuendada Linuxi kernel versioonile 5.15.61 või uuemale versioonile. Sellisel juhul haavatavus ohtu ei kujuta.
Uus Linuxi pahavara ründab aegunud WordPressi pluginaid kasutavaid veebilehti
Uus pahavara kuritarvitab turvanõrkuseid aegunud WordPressi pluginates ja teemades, et paigaldada pahaloomuline JavaScript neid kasutavatele veebilehtedele. Pahavara sihib nii 32-bitiseid kui ka 64-bitiseid Linuxi süsteeme ja see võimaldab käivitada erinevaid käsklusi kompromiteeritud Linuxi süsteemides. Pahavara kasutamise eesmärgiks on aga aegunud WordPressi pluginaid ja teemasid kasutavate veebilehtede ründamine (BP).
Nimekiri WordPressi pluginatest ja teemadest, mida pahavara üritab rünnata:
o WP Live Chat Support Plugin
o WordPress – Yuzo Related Posts
o Yellow Pencil Visual Theme Customizer Plugin
o Easysmtp
o WP GDPR Compliance Plugin
o Newspaper Theme on WordPress Access Control (CVE-2016-10972)
o Thim Core
o Google Code Inserter
o Total Donations Plugin
o Post Custom Templates Lite
o WP Quick Booking Manager
o Facebook Live Chat by Zotabox
o Blog Designer WordPress Plugin
o WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
o WP-Matomo Integration (WP-Piwik)
o WordPress ND Shortcodes For Visual Composer
o WP Live Chat
o Coming Soon Page and Maintenance Mode
o Hybrid
o Brizy WordPress Plugin
o FV Flowplayer Video Player
o WooCommerce
o WordPress Coming Soon Page
o WordPress theme OneTone
o Simple Fields WordPress Plugin
o WordPress Delucks SEO plugin
o Poll, Survey, Form & Quiz Maker by OpinionStage
o Social Metrics Tracker
o WPeMatico RSS Feed Fetcher
o Rich Reviews plugin
Kui pahavaral õnnestub edukalt ülal viidatud aegunud pluginate ja/või teemade haavatavusi ära kasutada, laaditakse juhtserverist alla vajalik pahaloomuline JavaScript ja paigaldatakse see sihtmärgiks valitud veebilehele. Nakatunud lehti võib ründaja siis näiteks kasutada andmepüügiks, pahavara levitamiseks või reklaamitulu saamiseks.
Kes ja mida peaks tegema?
Kui te kasutate enda veebilehel ülal viidatud pluginaid või teemasid, veenduge, et need oleksid uuendatud. Tarkvara regulaarne uuendamine on oluline, kuna uuendused paikavad tihti turvanõrkuseid, mida ründajatel on võimalik ära kasutada.
Riiklike sidemetega rühmitused kasutavad küberrünnakutes üha aktiivsemalt XLL-faile
Hiljutisest Cisco Talose analüüsist selgus, et APT-d (advanced persistent threat) kasutavad süsteemide kompromiteerimiseks VBA makrode asemel üha rohkem pahaloomulisi XLL-faile. XLL-faile kasutatakse tavaliselt Exceli lisandmoodulite ja teatud funktsionaalsuste puhul. Muudatuse lähenemisviisis tingis analüüsi hinnangul asjaolu, et Microsoft blokeeris eelmisel aastal vaikimisi VBA makrode kasutamise Office’i failides, mis on internetist alla laaditud (HN).
Analüüsi põhjal on hiljuti XLL-faile kasutatud AveMaria ja Ducktaili pahavara jagamiseks. AveMaria on troojan-tüüpi pahavara, mis lisatakse manusena tihti ka Eesti inimestele saadetud pahaloomulistele kirjadele. Ducktail on aga nuhkvara, mida kasutatakse veebilehitsejasse salvestatud sessiooniküpsiste ja kasutajatunnuste varastamiseks.
Pikemalt saab analüüsiga tutvuda siin.
Kes ja mida peaks tegema?
Soovitame alati tähelepanelikult jälgida, milliseid faile teile e-kirjadega saadetakse ja kahtluse korral neid mitte avada. RIA kirjutas eelmisel ka aastal ülevaatliku blogipostituse, mida pahaloomuliste e-kirjade puhul tähele panna. Soovitame sellega samuti tutvuda.
RIA analüüsi- ja ennetusosakond