Tag Archives: Zimbra

Olulisemad turvanõrkused 2024. aasta 40. nädalal

Ründajad kasutavad ära kriitilist koodi käivitamise viga Zimbra e-posti serverites

Zimbra Collaborationi tarkvara erinevates versioonides esinev turvaviga CVE-2024-45519 (CVSS skoor 10/10) võimaldab käivitada pahaloomulisi käsklusi haavatavas süsteemis ja alates 28.08.2024 on see aktiivsete rünnakute all.

Zimbra tarkvara on laialdaselt kasutuses nii riiklikes asutustes kui ka erafirmades ja on seetõttu varasemalt olnud ründajate sihtmärgiks.

Viga on paigatud järgmistes Zimbra versioonides: 8.8.15 (Patch 46), 9.0.0 (Patch 41), 10.0.9 ja 10.1.1. Soovitame uuendada tarkvara uusimale versioonile (HNS, BC, HN).

CISA hoiatab, et Ivanti Endpoint Manageri turvanõrkus on aktiivsete rünnakute all

USA Cybersecurity and Infrastructure Security Agency (CISA) hoiatab, et Ivanti Endpoint Manageri (EMT) turvanõrkus CVE-2024-29824 (CVSS skoor 9.6/10), millest kirjutasime 24. nädala blogipostituses, on nüüd aktiivsete rünnakute all.

Soovitame uuendada tarkvara esimesel võimalusel (THN, BC).

DrayTek paikas hulga turvavigu, mis mõjutasid 700 000 ruuterit

DrayTek parandas 14 turvaviga Vigori seeria 24 erineval ruuterimudelil. Osad turvavigadest on kriitilised ja tootja on andnud välja turvauuendused ka tööea (end of life) lõpus olevatele mudelitele.

DrayTek Vigori seeria ruuteri kasutamisel soovitame kontrollida, kas turvanõrkused puudutavad ka sinu seadet ja vajadusel uuendada tarkvara uusimale versioonile. (BC).

Apple’i iOS 18.0.1 paikas kaks turvaviga

Turvavigade kaudu on võimalik saada ligipääs kasutaja paroolidele ja salvestatud helilõikudele (audio snippets). Apple avaldas nii uue iOSi kui ka iPadOSi versiooni 18.0.1, kus nimetatud vead on parandatud.

Üks turvanõrkustest võimaldas salvestada helilõikusid ka mõni hetk enne mikrofoni indikaatori aktiveerimist. Teine turvanõrkus seisnes loogikaveas, mille tõttu VoiceOveri kuvaluger (screen reader) võis kõvasti ette lugeda ka kasutaja salvestatud paroole.

Soovitame kõigil Apple’i iOSi kasutajatel uuendada tarkvara esimesel võimalusel (SW).

WordPressi pistikprogrammi  turvanõrkuse tõttu on ohus üle 5 miljoni veebilehe

WordPressi pistikprogrammi Litespeed Cache turvanõrkus CVE-2024-47374 (CVSS skoor 7.1) võimaldab autentimata ründajal lisada koodisüstina veebilehele ründekoodi. Turvanõrkuse põhjuseks on ebapiisav sisendi puhastamine veebilehe genereerimise käigus.

Litespeed Cache’iteemal oleme kirjutanud ka 34. ja 36. nädala blogipostitustes ja soovitame antud pistikprogrammi kasutajatel eriti hoolsalt jälgida, et turvauuendused oleksid alati esimesel võimalusel paigaldatud.

Turvanõrkus on paigatud tarkvara versioonis 6.5.1 ja soovitame kõigil kasutajatel uuendada pistikprogramm kõige uuemale versioonile (SA, ISM).

Kriitiline turvaauk sisuhaldussüsteemis (CMS) Drupal

Avastatud on kriitiline turvaauk Drupali populaare sisuhaldussüsteemi (CMS) mitmikautentimist võimaldavas moodulis, mis laseb ründajal siseneda süsteemi vaid kasutajanime ja parooliga, hoolimata seadistatud mitmikautentimisest. Infot turvaaugu ärakasutamise kohta ei ole avaldatud.

Drupal soovitab esimesel võimalusel uuendada mitmikautentimise mooduli tarkvara uusimale versioonile (DP).

Common UNIX Printing Systemi (CUPS) kriitilised turvavead

Septembri viimasel nädalal tuli avalikuks neli turvanõrkust avatud lähtekoodiga Common UNIX Printing Systemi (CUPS) printimissüsteemis. Seda printimissüsteemi kasutatakse Linuxi ja UNIXi operatsioonisüsteemides nii kohalike kui ka võrguprinteritega printimiseks. Kuna hetkel ei ole veel turvavigadele parandust, siis soovitatakse ajutise lahendusena teenus (cups-browsed) peatada. Shodani päringu alusel oli 26. septembril enam kui 75 000 internetile avatud seadet, mis kasutavad CUPSi teenust (RedHat, Tenable, NCSC-IE).

Olulised turvanõrkused 2022. aasta 42. nädalal

Apache’i Commons Texti teegis paigati kriitiline turvaviga

Hiljuti avalikustati kriitiline turvaviga CVE-2022-42889 (9.8/10.0) Apache’i Commons Texti teegis. CVE-2022-42889 on nõrkus, mille abil õnnestub autentimata ründajal teostada koodi kaugkäitust. Apache Commons Text on teek, mis sisaldab kasulikke funktsioone sõnede (string) töötlemiseks. Nõrkuse kontseptsiooni tõendus ehk PoC (proof of concept) on avalikustatud (DRSABP).

Turvanõrkuse olemus

Turvaviga põhineb lihtsustatult sisendi ebakorrektsel töötlemisel. See tähendab, et ründajal on võimalik anda haavatava Commons Text teeki kasutava rakenduse kaudu serverile pahaloomuline sisend, mis seal käivitub. Selle tulemusena on ründajal võimalik andmeid varastada, paigaldada pahavara või teha muid pahaloomulisi tegevusi kompromiteeritud süsteemis.

Turvanõrkuse põhjalikuma tehnilise kirjeldusega saab tutvuda siin.

Kes ja mida peaks tegema?

Haavatavad on organisatsioonid, kes kasutavad mõjutatud Apache’i Commons Texti teeki kasutavaid rakendusi koos StringSubstitutor klassiga.  CVE-2022-42889 nõrkus ohustab teegi versioone 1.5-1.9. See on paigatud versioonis 1.10.0.

  • Esmalt tuleb kaardistada, et kas ja milliste rakenduste puhul Commons Text teeki organisatsioonis kasutatakse. Ühe võimalusena saab skaneerida ära kõik JAR failid, mis on seotud Apache Commons Text teegiga. Näiteks võib süsteemist otsida kõiki faile, mis vastavad otsingufraasile common-text*.jar. Tärn tähistab otsingufraasis teegi versiooni (1.10.0 versiooni puhul oleks faili nimi common-text-1-10.0.jar).
  • Samuti tuleb analüüsida, kas rakendatakse väliseid komponente, mis võivad kasutada haavatavat teegi versiooni.
  • Kui te kasutate mõjutatud Apache Common Texti versiooni (1.5-1.9), tuleb see uuendada vähemalt versioonile 1.10.0, mille leiate siit. Kui uuendamine ei ole võimalik, tuleb igal organisatsioonil tähelepanelikult teeki kasutavad funktsioonid üle kontrollida ja veenduda, et need ei aksepteeriks ebausaldusväärset sisendit.

Oracle paikas turvauuendustega 179 haavatavust

Ettevõte tuli välja 27 tootele mõeldud 370 turvauuendusega, millest 56 on kriitilised, 144 kõrge tasemega ja 163 keskmise tasemega turvauuendused (TenableOracle). 

Kes ja mida peaks tegema?

Organisatsioonid, kes kasutavad neid Oracle’i tooteid, tuleb veenduda, et kõik pakutavad turvauuendused oleks tehtud. Vastasel juhul säilib oht turvanõrkuste ära kasutamiseks. Täpsema ülevaate paigatud nõrkustest saab tootja kodulehelt siin.

MacOSi Zoomi tarkvara sisaldab kõrge riskiga turvaviga

Populaarses videokonverentsi tarkvaras Zoom avastati kõrge riskiga turvaviga (CVE-2022-28762), mida on hinnatud skooriga 7.3/10.0. Haavatavus mõjutab MacOSi Zoomi rakenduse kasutajaid, täpsemalt Zoom Client for Meetings for MacOS versioone 5.10.6 kuni 5.12.0 (SW).

Kes ja mida peaks tegema?

Turvaveale on olemas parandus. Mõjutatud tarkvara kasutavatel inimestel tuleb ennetusmeetmena Zoom uuendada.

Turvanõrkused Cisco Identity Services Engine teenuses

Cisco avaldas hoiatuse Identity Services Engine (ISE) teenuse kasutajatele kahe haavatavuse (CVE-2022-20822 ja CVE-2022-20959) osas, mis võimaldavad kompromiteeritud seadmes olevaid faile lugeda, kustutada ja selles käivitada pahatahtlikku koodi. Tootja ei ole teadlik, et turvanõrkuseid oleks üritatud veel ära kasutada (HNS).

CVE-2022-20822 (7.1/10.0)on path traversal tüüpi turvanõrkus, millega on ründajal võimalik pääseda kõrgema tasemega kataloogidesse, mis ei ole mõeldud kõigile ligipääsetavaks. Haavatavust saab kuritarvitada autentitud pahaloomuline kasutaja, kui ta saadab Cisco ISE veebiliidesele spetsiaalse HTTP-päringu.

CVE-2022-20959 (6.1/10.0) on skriptisüsti võimaldav turvanõrkus, mis mõjutab Cisco ISE ERS APIt. Haavatavuse ärakasutamiseks tuleb ründajal loota, et autentitud veebiliidese administraator klikib talle saadetud pahaloomulisel lingil. Õnnestunud rünne pakub pahalasele võimaluse käivitada liideses pahaloomulist koodi või pääseda ligi tundlikule informatsioonile.

Kes ja mida peaks tegema?

Hetkel on turvapaik CVE-2022-20959 nõrkuse jaoks avalikustatud üksnes ühe kindla ISE versiooni puhul. Alternatiivseid ennetusmeetmeid ei ole. Kui te kasutate Cisco Identity Services Engine teenust, tutvuge tootja ametliku informatsiooniga siin ja siin.

Zimbra tarkvara kriitiline turvanõrkus paigati

Kaks nädalat tagasi kirjeldas RIA turvanõrkuste ülevaade Zimbra Collaboration Suite tarkvara kriitilist turvanõrkust skooriga 9.8/10.0 (CVE-2022-41352), mis võimaldab koodi kaugkäitust. Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Nüüd on turvanõrkusele avalikustatud ka parandus ning see soovitatakse rakendada kõigil, kes mõjutatud tarkvara kasutavad. Täpsemalt saab selle kohta lugeda siit.

RIA analüüsi- ja ennetusosakond