Tag Archives: Zyxel

Olulised turvanõrkused 2023. aasta 29. nädalal

Tuhanded Citrixi serverid on haavatavad kriitilise turvanõrkuse vastu

Tuhanded avalikust võrgust kättesaadavad Citrixi Netscaler ADC ja Gateway serverid on haavatavad rünnakute suhtes, mis kasutavad ära kriitilist koodi kaugkäivitamise (RCE) viga CVE-2023-3519. Praeguseks on välja tulnud, et ründajatel on õnnestunud juba ka haavatavaid organisatsioone edukalt rünnata. Näiteks avalikustas USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) möödunud neljapäeval, et seda haavatavust kuritarvitati ühe USA kriitilise infrastruktuuri organisatsiooni vastu. Konkreetse intsidendi käigus paigaldati haavatavasse süsteemi pahavara, mille abil üritati erinevaid andmeid koguda ja nii teistesse süsteemidesse edasi liikuda (CISA).

Kes ja mida peaks tegema?

Haavatavus mõjutab NetScaler Application Delivery Controlleri (ADC) ja NetScaler Gateway tooteid.  Haavatavad versioonid on välja toodud tootja kodulehel. Kui te antud tooteid kasutate, veenduge, et need kasutaksid vastavat turvaparandustega tarkvara.

Apache OpenMeetings tarkvarast leiti kõrge mõjuga turvavead

Kokku avalikustati kolm haavatavust, mis lubavad ründajatel käivitada haavatavates süsteemides pahaloomulist koodi. Turvanõrkuseid tähistatakse nimetustega CVE-2023-28936, CVE-2023-29023 ja CVE-2023-29246. OpenMeetings on rakendus, mida saab kasutada näiteks videokõnede või esitluste tegemiseks. Seda on alla laaditud rohkem kui 50 000 korda ja seda pakutakse pistikprogrammina ka sellistele tarkvaradele nagu Jira, Confluence või Drupal. Kõik eelnev ning asjaolu, et seda võidakse kasutada tundlikeks aruteludeks või koosolekuteks, muudavad konkreetsete turvanõrkuste vastu haavatavad süsteemid ründajatele atraktiivseteks sihtmärkideks (Sonar).

Kes ja mida peaks tegema?

Kui te antud tarkvara kasutate, siis veenduge, et teie tarkvara kasutaks vähemalt versiooni 7.1.0. Sellisel juhul haavatavused teile ohtu ei kujuta.

Oracle parandas üle 75 kriitilise turvanõrkuse

Oracle avalikustas erinevatele tarkvaradele juulikuu turvauuendused, mille abil parandati 508 turvanõrkust, nendest vähemalt 75 kriitilist haavatavust. Turvavigade seas on rohkem kui 350 viga, mida saab ründaja kasutada autentimata. Parandused said muuhulgas nii MySQLiga kui ka finantsteenustega seotud tarkvarad (SW, Oracle).

Kes ja mida peaks tegema?

Kõik turvauuendused saanud tarkvarad on välja toodud tootja kodulehel siin. Kui te antud ettevõtte tooteid kasutate, soovitame nimekirjaga tutvuda ja kontrollida, kas teie tarkvarad vajavad uuendamist.

Mitmed robotvõrgustikud üritavad aktiivselt kompromiteerida Zyxeli võrguseadmeid

Lähikuudel on robotvõrgustikud üritanud üha aktiivsemalt kompromiteerida haavatavaid Zyxeli võrguseadmeid (Fortinet, Rapid7, SA). Robotvõrgustikud koosnevad komrpomiteeritud seadmetest, mida kasutatakse erinevatel pahaloomulistel eesmärkidel, sageli ka ummistusrünnakute (DDoS-rünnakute) teostamiseks. Robotvõrgustike haldurid otsivad järjepidevalt aga üha uusi haavatavaid seadmeid, mida võrgustikega liita.

Zyxel avalikustas paar kuud tagasi, et mitmeid nende pakutavaid tulemüüre ohustab kriitiline haavatavus CVE-2023-28771, mille abil on võimalik pahaloomulist koodi käivitada. Haavatavus mõjutab Zyxeli ZyWALL/USG seeria püsivara versioone 4.60 kuni 4.73, VPN-seeria püsivara versioone 4.60 kuni 5.35, USG FLEX seeria püsivara versioone 4.60 kuni 5.35 ja ATP seeria püsivara versioone 4.60 kuni 5.35.

Kuna haavatavuse jaoks on kättesaadav kontseptsiooni tõendus (PoC), siis ongi robotvõrgustikud üritanud leida just selle turvavea vastu haavatavaid seadmeid, eriti Kesk-Ameerikas, Põhja-Ameerikas ja Aasias. Põhjalikumalt on võimalik selle teema kohta lugeda eelmisel nädalal avaldatud analüüsist siin.

Kes ja mida peaks tegema?

Kui te vastavaid Zyxeli võrguseadmeid kasutate ning need kasutavad haavatavat tarkvara, uuendage need esimesel võimalusel. Täpsema ülevaate parandatud versioonidest leiate tootja kodulehelt siit.

Olulised turvanõrkused 2023. aasta 21. nädalal

GitLab paikas kriitilise turvanõrkuse

GitLab parandas kriitilise turvavea tähisega CVE-2023-2825, mis on hinnatud maksimaalse kriitilisuse skooriga (10.0/10.0). Turvanõrkus on kriitiline, kuna selle kaudu on võimalik saada ligipääs tundlikule infole, sh kasutajakontode andmetele. Viga mõjutab GitLabi tarkvarade GitLab Community Edition (CE) ja Enterprise Edition (EE) versiooni 16.0.0 (GitLab).


Kes ja mida peaks tegema?

Ettevõtte soovitab viivitamatult uuendada mõjutatud tarkvara vähemalt versioonile 16.0.1, milles on turvanõrkus parandatud.

Cisco võrguseadmetel tuvastati neli kriitilist turvanõrkust

Cisco kommutaatorites (switch) avastati neli kriitilist turvanõrkust, mis võimaldavad ründajatel juurõigustes kaugkäivitada pahatahtlikku koodi. Turvanõrkused on hinnatud peaaegu maksimaalse kriitilisuse skooriga (9.8/10) ning neid tähistatakse CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 ja CVE-2023-20189. Haavatavustele on avalikult kättesaadavad kontseptsiooni tõendused (PoC), mille tõttu haavatavaid seadmeid ka aktiivselt otsitakse (BP, Cisco).

Kes ja mida peaks tegema?

Cisco sõnul ei parandatud teatud seadmete tarkvara (Small Business Switches 200, 300 ja 500), kuna neil puudub tootjapoolne tugi (ehk tegu on juba aegunud seadmetega). Uuematele turvanõrkustest mõjutatud seadmetele on turvapaigad olemas. Lisainformatsiooni leiate siit.

Zyxel hoiatab kahe kriitilise turvanõrkuse eest

Zyxel hoiatab kliente kahe kriitilise haavatavuse (CVE-2023-33009 ja CVE-2023-33010) eest, mis mõjutavad mitmeid ettevõtte pakutavaid tulemüüre ja VPN seadmeid. Mõlemad turvanõrkused on seotud puhvri ületäitumisega ja võimaldavad haavatavate seadmete töö häirimist või koodi kaugkäivitamist. Turvavigu saab ründaja kasutada autentimata (BP).

Kes ja mida peaks tegema?

Haavatavad on seadmed, mis kasutavad järgnevaid tarkvarasid:

  • Zyxel ATP püsivara versioonid ZLD V4.32 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel USG FLEX püsivara versioonid ZLD V4.50 to V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel USG FLEX50(W) / USG20(W)-VPN püsivara versioonid ZLD V4.25 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel VPN püsivara versioonid ZLD V4.30 kuni V5.36 Patch 1 (turvanõrkused parandatud versioonis ZLD V5.36 Patch 2)
  • Zyxel ZyWALL/USG püsivara versioonid ZLD V4.25 kuni V4.73 Patch 1 (turvanõrkused parandatud versioonis ZLD V4.73 Patch 2)

Tootja soovitab mõjutatud toodete kasutajatel rakendada esimesel võimalusel kõige uuemad turvauuendused, et vältida võimalikku küberintsidenti (BP).

RIA analüüsi- ja ennetusosakond

Olulised turvanõrkused 2023. aasta 17. nädalal

DDoS-rünnakute võimendamiseks kasutatakse uut turvaviga

Eelmisel nädalal avaldati, et ummistusrünnakute ehk DDoS-rünnakute intensiivsuse tõstmiseks on võimalik kasutada üht uut turvaauku, mis peitub SLP-nimelises teenuses. SLP teenusest kirjutas RIA ka veebruaris, kui seda kasutati lunavararünnakute sooritamiseks (RIA).  Nüüd selgub, et antud teenust on võimalik ründajatel kasutada ka mahukate ummistusrünnakute teostamiseks. Selliste ummistusrünnakute puhul saadab ründaja haavatavale serverile päringu võltsitud IP-aadressiga (ohvri IP-aadress). Haavatav server saadab omakorda tagasi vastuse ohvri IP-aadressile, sealjuures on vastuse päringu maht aga palju suurem kui algselt haavatavale serverile saadetud ründaja päringu maht. Nii on teoreetiliselt võimalik ohvri veebiserver suhteliselt vähese ressursiga üle koormata.  Konkreetne turvanõrkus mõjutab rohkem kui 2000 organisatsiooni üle maailma ja enam kui 54000 SLP teenust, mis on internetist kättesaadavad (Bitsight).

Kes ja mida peaks tegema?

Kõikidel internetiga ühendatud süsteemidel, mis SLP teenust kasutavad, tuleks selle kasutamine peatada. Kui see pole võimalik, tuleks tulemüürid konfigureerida selliselt, et need filtreeriksid UDP- ja TCP-pordi 427 liiklust. Nii on võimalik takistada ründajatele juurdepääs SLP-teenusele (SA).

VMware paikas kaks nullpäeva turvanõrkust

VMware avalikustas turvauuendused, mis parandavad kaks nullpäeva haavatavust (CVE-2023-20869 ja CVE-2023-20870). Turvanõrkuseid on ründajal võimalik ära kasutada, et käivitada pahaloomulist koodi haavatavates süsteemides (Workstation ja Fusion). Mõlemad turvavead on seotud Bluetoothi kasutavate funktsioonidega. Lisaks paikas ettevõte turvanõrkuse (CVE-2023-20871), mis lubab haavatavas süsteemis õiguseid suurendada (BP).

Kes ja mida peaks tegema?

Kui te nimetatud tarkvarasid kasutate, soovitame tutvuda tootja infolehega, kus on kõik juhised turvanõrkuste eemaldamiseks välja toodud.

Kriitiline turvanõrkus mõjutab Zyxeli tulemüüre

Zyxel avalikustas eelmisel nädalal turvauuendused enda pakutavatele tulemüüridele. Turvauuendused paikavad kriitilise haavatavuse, mille abil on autentimata ründajal võimalik käivitada operatsioonisüsteemi käske (SW).

Kes ja mida peaks tegema?

Viga mõjutab ATP, USG FLEX ja VPN versioone 4.60–5.35 ja ZyWALL/USG versioone 4.60–4.73. Turvanõrkus on eemaldatud ATP, USG FLEX ja VPN versioonides 5.36 ja ZyWALL/USG versioonis 4.73 Patch 1 (Zyxel). Kuigi seni ei ole teada, et kriitilist turvaviga oleks küberrünnakutes ära kasutatud, on haavatavad tulemüürid sageli ründajatele ahvatlevateks sihtmärkideks. Seetõttu soovitatakse kasutajatel oma Zyxeli tulemüürid uuendada võimalikult kiiresti.  

Mirai robotvõrgustikuga liidetakse aktiivselt haavatavaid TP-Link ruutereid

Ründajad üritavad aktiivselt kompromiteerida TP-Linki ruutereid, mida ei ole paigatud hiljuti avalikustatud turvanõrkuse vastu. Ründajate eesmärgiks on liita kompromiteeritud seadmed Mirai robotvõrgustikuga, mida kasutatakse ummistusrünnakute teostamiseks. Haavatavus CVE-2023-1389 avastati algselt möödunud aasta detsembris TP-Link Archer AX21 WiFi-ruuteris ning see paigati märtsis. Seni on üritatud eelkõige rünnata Ida-Euroopas olevaid haavatavaid seadmeid, kuid üha rohkem üritatakse kompromiteerida haavatavaid ruutereid ka teistest maailma piirkondadest (ZDI, Duo).

Kes ja mida peaks tegema?

Turvanõrkuse vastu on haavatavad kõik TP-Link Archer AX21 (AX1800) ruuterid, mis kasutavad vanemat tarkvaraversiooni kui 1.1.4 Build 20230219. Kui te sellist ruuterit kasutate, uuendage see esimesel võimalusel (NVD).

RIA analüüsi- ja ennetusosakond