Tag Archives: Zoom

Olulisemad turvanõrkused 2024. aasta 7. nädalal

Oht DNS-serveritele – teadurid leidsid 20 aastat vana disainivea DNSSECi spetsifikatsioonis

Teadurid avastasid uue DNS-iga seotud haavatavuse, mis sai nimeks KeyTrap. Vea (CVE-2023-50387) näol on tegemist Domain Name System Security Extensionsi (DNSSEC) disainiveaga. DNSSEC võimaldab tagada, et internetist domeeninime otsimisel saadav teave on autentne ja seda ei ole rikutud. Teisisõnu aitab lahendus suunata kasutajaid legitiimsetele veebilehtedele. KeyTrapi-nimelist turvanõrkust kasutades on võimalik peatada kõikide haavatavate DNSSECi kontrollivate DNS-serverite töö. See tähendab omakorda seda, et veebilehed, meiliserverid jms, mis nendest DNSSECi teenustest sõltuvad, ei pruugi tavapäraselt enam töötada. KeyTrapi rünnak võib vea avastanud teadlaste hinnangul mõjutada ka populaarseid avalikke DNSSECi valideerimisteenuste pakkujaid (Google ja Cloudflare). Täpsemalt saab turvanõrkuse kohta lugeda viidatult linkidelt (SW, TR, BC).

Microsoft parandas väga kriitilise turvanõrkuse

Microsoft parandas igakuiste tooteparanduste raames 73 haavatavust, nende hulgas kaks nullpäeva turvanõrkust. 73-st parandatud turvaveast hinnati viis haavatavust kriitiliseks. Üheks olulisemaks parandatud turvaveaks on haavatavus tähisega CVE-2024-21413 (tuntud ka kui MonikerLink), mis seab ohtu kõik aegunud Outlooki tarkvara kasutavad kasutajad. See võimaldab ründajal mööda minna “Office Protected View” turvaseadistusest. Ründaja võib ohvrile saata teatud kujul e-kirja ja kui ohver kasutab haavatavat versiooni tarkvarast ning kirja loeb, võib tema masinas käivituda halbade kokkusattumiste tagajärjel pahavara. Samuti on ründajal võimalik varastada ohvriga seotud NTLM-räsisid, mida on potentsiaalselt võimalik edasistes küberrünnetes kuritarvitada. Täpsema nimekirja parandustest leiab lisatud linkidelt (CP, BC, HN).

Adobe parandas enda toodetel vähemalt 30 turvanõrkust

Adobe on välja andnud värskendused, et parandada vähemalt 30 turvanõrkust mitmes laialdaselt kasutatavas tarkvaras, sealhulgas Adobe Acrobat, Reader, Commerce, Magento Open Source jpt. Need vead võivad lubada ründajatel käivitada kahjulikku koodi, turvameetmetest mööda minna või häirida rakenduste tööd. Adobe soovitab kasutajatel need värskendused kiiresti rakendada, et kaitsta end võimalike rünnakute eest. Ettevõtte sõnul ei ole hetkel informatsiooni, et turvanõrkusi oleks suudetud ära kasutada ka reaalsete rünnakute jaoks (SW, Adobe).

Zoomi tarkvaras parandati seitse turvaviga, sh üks kriitiline turvanõrkus

Zoom on parandanud oma Windowsi rakendustes kriitilise turvavea, mille abil võivad häkkerid saada ohvri arvutis kõrgemad õigused. Turvaviga tähistatakse kui CVE-2024-24691 ja see mõjutab mitut Windowsile mõeldud Zoomi rakendust, sealhulgas töölaua- ja VDI-kliente ning Meeting SDK-d. Täpsema nimekirja mõjutatud tarkvaraversioonidest leiab viidatud lingilt. Konkreetse turvavea ärakasutamiseks on vaja kasutajapoolset tegevust, näiteks seda, et kasutaja klõpsaks pahaloomulisel lingil. Lisaks sellele kriitilisele haavatavusele parandatakse Zoomi uusima värskendusegaka kuus muud turvanõrkust. Ettevõte soovitab tarkvara kasutajatel rakendada uuendused esimesel võimalusel (BC, Zoom).

ESET paikas Windowsile mõeldud tarkvaral kõrge mõjuga turvavea

ESET, kes arendab seadmetele viirusetõrjetarkvara, parandas Windowsi arvutitele mõeldud tarkvaral tõsise turvavea. Nimelt võimaldab CVE-2024-0353 tähisega haavatavus ründajatel saada volitamata juurdepääsu kohtadele, kuhu nad ei tohiks pääseda. Haavatavus leiti tarkvara sellest osast, mis kontrollib internetiga seotud võrguliiklust. Täpsem nimekiri mõjutatud tarkvaradest on toodud viidatud linkidel. Ettevõte soovitab rakendada parandused esimesel võimalusel. Viirusetõrjetarkvarades peituvad turvavead on üsna ohtlikud, kuna need tarkvarad vajavad enda tööks süsteemis tavaliselt kõrgendatud õiguseid. See tähendab, et kui ründajal õnnestub viirusetõrjetarkvara kompromiteerida, on tal potentsiaalselt võimalik kõrgendatud õigustega jätkata pahaloomulist tegevust süsteemis, suurendades ohtu lõppkasutajale (SA, ESET).   

Olulised turvanõrkused 2023. aasta 2. nädalal

Microsoft parandas nullpäeva turvanõrkuse

Microsoft avalikustas uuenduste teisipäeva raames parandused 98 turvaveale. 11 turvaviga on hinnatud kriitiliseks. Üks parandatud haavatavustest on märgitud nullpäeva turvanõrkuseks. Sellise nimetuse saavad turvavead, mis Microsofti hinnangul avalikustatakse või mida aktiivselt on kuritarvitatud enne, kui parandusele on olemas ametlik turvapaik (BC).

Nullpäeva turvanõrkuse CVE-2023-21674 abil on võimalik ründajal omandada SYSTEM tasemel ehk kõrgendatud tasemel õigused. Selliste õigustega on ründajal näiteks võimalik käivitada ilma takistusteta erinevat tüüpi pahavara või teha muid pahaloomulisi tegevusi.

Kes ja mida peaks tegema?

Haavatavustele on saadaval turvaparandused, soovitame tutvuda tootja avalikustatud informatsiooniga ja vajadusel uuendada enda mõjutatud süsteem. Nimekirja parandatud turvavigadest leiate siit.

FortiOSi turvanõrkust kasutatakse valitsusasutuste ründamisel

Hiljuti parandatud FortiOS SSL-VPNi turvanõrkust CVE-2022-42475 kasutatakse valitsusasutustega seotud sihtmärkide ründamisel. Haavatavus parandati eelmise aasta detsembris ja võimaldab autentimata kasutajal käivitada pahatahtlikku koodi haavatavates seadmetes. Fortinet paikas turvanõrkusega FortiOS versioonis 7.2.3 (Fortinet).

Haavatavust on hiljuti ära kasutatud, et paigaldada ohvri seadmesse spetsiifilist laadi pahavara. Pahavara varjamiseks on üritatud jätta mulje, et tegu on justkui Fortineti IPSi komponendiga. Lisaks muudele funktsioonidele suudab pahavara manipuleerida süsteemi logifaile või peatada logimine süsteemis täielikult (SA).

Kes ja mida peaks tegema?

Kui te ei ole veel seda teinud, siis rakendage esimesel võimalusel FortiOSi versioon 7.2.3, milles on haavatavus parandatud. Samuti soovitame tutvuda Fortineti tehnilise analüüsiga, milles kirjeldatakse eelpool mainitud pahavaraga seotud leide.

Adobe parandas oma toodetes 29 turvanõrkust

Turvauuendused avaldati PDF-failide lugemistarkvaradele Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Ettevõtte sõnul on tegemist kriitiliste turvanõrkustega, kuna haavatavuste ärakasutamine võib kaasa tuua näiteks rakenduste töö katkemise, pahatahtliku koodi käivitamise või lubab ründajal õigusi suurendada (SW).

Kes ja mida peaks tegema?

Tutvuge tootja kodulehel avaldatud juhistega ja uuendage vajadusel mõjutatud tarkvara.

Aegunud Cisco seadmeid ohustab kriitiline turvanõrkus

Kriitiline turvanõrkus CVE-2023-20025 ja kaks keskmise kriitilisuse tasemega turvanõrkust CVE-2023-20026 ja CVE-2023-20045  ohustavad teatud Cisco ruuterite mudeleid. Turvanõrkustele CVE-2023-20025 ja CVE-2023-20026 on avalikult kättesaadavad ka kontseptsiooni tõendused, kuid hetkel ei ole märgatud, et neid haavatavusi aktiivselt kuritarvitatakse (HNS).

CVE-2023-20025 – Turvanõrkus mõjutab Cisco RV016, RV042, RV042G ja RV082 VPN ruuterite veebiliidest ja võimaldab autentimisest mööda pääseda. CVE-2023-20026 lubab veebiliidese kaudu käivitada pahatahtlikku koodi. CVE-2023-20045 on koodi kaugkäitust lubav turvaviga, mille vastu on haavatavad RV160 ja RV260 seeriate VPN ruuterid. Turvanõrkuse kasutamiseks peab ründajal olema administraatori õigustega kasutaja kasutajatunnused. Turvanõrkusele ei ole avaldatud kontseptsiooni tõendust.

Tarkvarauuendusi, mis turvanõrkused paikaks (HNS), ei looda, kuna:

  • RV082 ja RV016 on aegunud.
  • RV042 ja RV042G ei saa alates 2021. aasta jaanuarist hooldus- ega veaparandusi.
  • RV 160 ja RV260 (ja RV345P, RV340W, RV260W, RV260P ja RV160W) said viimased tarkvarapaigad 2022. aasta septembris ja rohkem turvauuendusi ei saa.

Kes ja mida peaks tegema?

Kuna tegu on aegunud seadmetega ja tootja turvanõrkustele parandusi ei paku, tuleb vajadusel seadmed välja vahetada uuemate vastu. Kui seadmete väljavahetamine uuemate vastu ei ole võimalik, soovitatakse seadmete haldajatel alternatiivse vastumeetmena blokeerida seadmete veebiliidestele ligipääs ACLi reeglite abil. Enne reeglite rakendamist soovitatakse meedet põhjalikult testkeskkonnas testida, et vältida võimalikke hilisemaid probleeme seadmete kasutamisel.

Zoomi tarkvaras parandati kolm kõrge tasemega haavatavust

Zoomi tarkvaras paigati kolm kõrge tasemega turvaviga. Kõik haavatavused lubavad ründajal süsteemis enda õiguseid suurendada (SW).

CVE-2022-36930 (8.2/10.0) – Windowsi kasutajatele mõeldud Zoom Rooms tarkvara, mis kasutab vanemat versiooni kui 5.13.0, sisaldab haavatavust, mille abil on võimalik ründajal enda õiguseid süsteemis suurendada.

CVE-2022-36929 (7.8/10.0)– Windowsi kasutajatele mõeldud Zoom Rooms tarkvara enne versiooni 5.12.7 sisaldab õiguste suurendamise haavatavust, millega on lokaalsel madala õigustega kasutajal võimalik omandada SYSTEM tasemel õigused.

CVE-2022-36927 (8.8/10.0) – MacOSi kasutajate jaoks mõeldud Zoom Rooms tarkvara, mis kasutab vanemat versiooni kui 5.11.3, sisaldab haavatavust, mille abil on ründajal võimalik saada juurkasutaja õigused.

Kes ja mida peaks tegema?

Kui te kasutate mõjutatud tarkvara, uuendage see esimesel võimalusel.

Chrome’i uues versioonis on parandatud 17 turvanõrkust

Google avaldas Chrome’i versiooni 109 Windowsi, Maci ja Linuxi operatsioonisüsteemi kasutavatele seadmetele. Parandatud haavatavuste seas on kaks kõrge ja kaheksa keskmise mõjuga haavatavust (SW, Chrome).

Kes ja mida peaks tegema?

Soovitame Chrome’i kasutajatel uuendada veebilehitseja esimesel võimalusel.

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2022. aasta 42. nädalal

Apache’i Commons Texti teegis paigati kriitiline turvaviga

Hiljuti avalikustati kriitiline turvaviga CVE-2022-42889 (9.8/10.0) Apache’i Commons Texti teegis. CVE-2022-42889 on nõrkus, mille abil õnnestub autentimata ründajal teostada koodi kaugkäitust. Apache Commons Text on teek, mis sisaldab kasulikke funktsioone sõnede (string) töötlemiseks. Nõrkuse kontseptsiooni tõendus ehk PoC (proof of concept) on avalikustatud (DRSABP).

Turvanõrkuse olemus

Turvaviga põhineb lihtsustatult sisendi ebakorrektsel töötlemisel. See tähendab, et ründajal on võimalik anda haavatava Commons Text teeki kasutava rakenduse kaudu serverile pahaloomuline sisend, mis seal käivitub. Selle tulemusena on ründajal võimalik andmeid varastada, paigaldada pahavara või teha muid pahaloomulisi tegevusi kompromiteeritud süsteemis.

Turvanõrkuse põhjalikuma tehnilise kirjeldusega saab tutvuda siin.

Kes ja mida peaks tegema?

Haavatavad on organisatsioonid, kes kasutavad mõjutatud Apache’i Commons Texti teeki kasutavaid rakendusi koos StringSubstitutor klassiga.  CVE-2022-42889 nõrkus ohustab teegi versioone 1.5-1.9. See on paigatud versioonis 1.10.0.

  • Esmalt tuleb kaardistada, et kas ja milliste rakenduste puhul Commons Text teeki organisatsioonis kasutatakse. Ühe võimalusena saab skaneerida ära kõik JAR failid, mis on seotud Apache Commons Text teegiga. Näiteks võib süsteemist otsida kõiki faile, mis vastavad otsingufraasile common-text*.jar. Tärn tähistab otsingufraasis teegi versiooni (1.10.0 versiooni puhul oleks faili nimi common-text-1-10.0.jar).
  • Samuti tuleb analüüsida, kas rakendatakse väliseid komponente, mis võivad kasutada haavatavat teegi versiooni.
  • Kui te kasutate mõjutatud Apache Common Texti versiooni (1.5-1.9), tuleb see uuendada vähemalt versioonile 1.10.0, mille leiate siit. Kui uuendamine ei ole võimalik, tuleb igal organisatsioonil tähelepanelikult teeki kasutavad funktsioonid üle kontrollida ja veenduda, et need ei aksepteeriks ebausaldusväärset sisendit.

Oracle paikas turvauuendustega 179 haavatavust

Ettevõte tuli välja 27 tootele mõeldud 370 turvauuendusega, millest 56 on kriitilised, 144 kõrge tasemega ja 163 keskmise tasemega turvauuendused (TenableOracle). 

Kes ja mida peaks tegema?

Organisatsioonid, kes kasutavad neid Oracle’i tooteid, tuleb veenduda, et kõik pakutavad turvauuendused oleks tehtud. Vastasel juhul säilib oht turvanõrkuste ära kasutamiseks. Täpsema ülevaate paigatud nõrkustest saab tootja kodulehelt siin.

MacOSi Zoomi tarkvara sisaldab kõrge riskiga turvaviga

Populaarses videokonverentsi tarkvaras Zoom avastati kõrge riskiga turvaviga (CVE-2022-28762), mida on hinnatud skooriga 7.3/10.0. Haavatavus mõjutab MacOSi Zoomi rakenduse kasutajaid, täpsemalt Zoom Client for Meetings for MacOS versioone 5.10.6 kuni 5.12.0 (SW).

Kes ja mida peaks tegema?

Turvaveale on olemas parandus. Mõjutatud tarkvara kasutavatel inimestel tuleb ennetusmeetmena Zoom uuendada.

Turvanõrkused Cisco Identity Services Engine teenuses

Cisco avaldas hoiatuse Identity Services Engine (ISE) teenuse kasutajatele kahe haavatavuse (CVE-2022-20822 ja CVE-2022-20959) osas, mis võimaldavad kompromiteeritud seadmes olevaid faile lugeda, kustutada ja selles käivitada pahatahtlikku koodi. Tootja ei ole teadlik, et turvanõrkuseid oleks üritatud veel ära kasutada (HNS).

CVE-2022-20822 (7.1/10.0)on path traversal tüüpi turvanõrkus, millega on ründajal võimalik pääseda kõrgema tasemega kataloogidesse, mis ei ole mõeldud kõigile ligipääsetavaks. Haavatavust saab kuritarvitada autentitud pahaloomuline kasutaja, kui ta saadab Cisco ISE veebiliidesele spetsiaalse HTTP-päringu.

CVE-2022-20959 (6.1/10.0) on skriptisüsti võimaldav turvanõrkus, mis mõjutab Cisco ISE ERS APIt. Haavatavuse ärakasutamiseks tuleb ründajal loota, et autentitud veebiliidese administraator klikib talle saadetud pahaloomulisel lingil. Õnnestunud rünne pakub pahalasele võimaluse käivitada liideses pahaloomulist koodi või pääseda ligi tundlikule informatsioonile.

Kes ja mida peaks tegema?

Hetkel on turvapaik CVE-2022-20959 nõrkuse jaoks avalikustatud üksnes ühe kindla ISE versiooni puhul. Alternatiivseid ennetusmeetmeid ei ole. Kui te kasutate Cisco Identity Services Engine teenust, tutvuge tootja ametliku informatsiooniga siin ja siin.

Zimbra tarkvara kriitiline turvanõrkus paigati

Kaks nädalat tagasi kirjeldas RIA turvanõrkuste ülevaade Zimbra Collaboration Suite tarkvara kriitilist turvanõrkust skooriga 9.8/10.0 (CVE-2022-41352), mis võimaldab koodi kaugkäitust. Tegemist on nullpäeva turvanõrkusega, mis võimaldab ründajal laadida pahatahtlikke faile läbi e-posti turvasüsteemi „Amavis“. Eduka ründe korral saab kurjategija ligipääsu Zimbra veebisaidi juurkataloogile ja sealtkaudu juba kasutajakontodele.

Nüüd on turvanõrkusele avalikustatud ka parandus ning see soovitatakse rakendada kõigil, kes mõjutatud tarkvara kasutavad. Täpsemalt saab selle kohta lugeda siit.

RIA analüüsi- ja ennetusosakond