DDoS-rünnakute võimendamiseks kasutatakse uut turvaviga

Eelmisel nädalal avaldati, et ummistusrünnakute ehk DDoS-rünnakute intensiivsuse tõstmiseks on võimalik kasutada üht uut turvaauku, mis peitub SLP-nimelises teenuses. SLP teenusest kirjutas RIA ka veebruaris, kui seda kasutati lunavararünnakute sooritamiseks (RIA).  Nüüd selgub, et antud teenust on võimalik ründajatel kasutada ka mahukate ummistusrünnakute teostamiseks. Selliste ummistusrünnakute puhul saadab ründaja haavatavale serverile päringu võltsitud IP-aadressiga (ohvri IP-aadress). Haavatav server saadab omakorda tagasi vastuse ohvri IP-aadressile, sealjuures on vastuse päringu maht aga palju suurem kui algselt haavatavale serverile saadetud ründaja päringu maht. Nii on teoreetiliselt võimalik ohvri veebiserver suhteliselt vähese ressursiga üle koormata.  Konkreetne turvanõrkus mõjutab rohkem kui 2000 organisatsiooni üle maailma ja enam kui 54000 SLP teenust, mis on internetist kättesaadavad (Bitsight).

Kes ja mida peaks tegema?

Kõikidel internetiga ühendatud süsteemidel, mis SLP teenust kasutavad, tuleks selle kasutamine peatada. Kui see pole võimalik, tuleks tulemüürid konfigureerida selliselt, et need filtreeriksid UDP- ja TCP-pordi 427 liiklust. Nii on võimalik takistada ründajatele juurdepääs SLP-teenusele (SA).

VMware paikas kaks nullpäeva turvanõrkust

VMware avalikustas turvauuendused, mis parandavad kaks nullpäeva haavatavust (CVE-2023-20869 ja CVE-2023-20870). Turvanõrkuseid on ründajal võimalik ära kasutada, et käivitada pahaloomulist koodi haavatavates süsteemides (Workstation ja Fusion). Mõlemad turvavead on seotud Bluetoothi kasutavate funktsioonidega. Lisaks paikas ettevõte turvanõrkuse (CVE-2023-20871), mis lubab haavatavas süsteemis õiguseid suurendada (BP).

Kes ja mida peaks tegema?

Kui te nimetatud tarkvarasid kasutate, soovitame tutvuda tootja infolehega, kus on kõik juhised turvanõrkuste eemaldamiseks välja toodud.

Kriitiline turvanõrkus mõjutab Zyxeli tulemüüre

Zyxel avalikustas eelmisel nädalal turvauuendused enda pakutavatele tulemüüridele. Turvauuendused paikavad kriitilise haavatavuse, mille abil on autentimata ründajal võimalik käivitada operatsioonisüsteemi käske (SW).

Kes ja mida peaks tegema?

Viga mõjutab ATP, USG FLEX ja VPN versioone 4.60–5.35 ja ZyWALL/USG versioone 4.60–4.73. Turvanõrkus on eemaldatud ATP, USG FLEX ja VPN versioonides 5.36 ja ZyWALL/USG versioonis 4.73 Patch 1 (Zyxel). Kuigi seni ei ole teada, et kriitilist turvaviga oleks küberrünnakutes ära kasutatud, on haavatavad tulemüürid sageli ründajatele ahvatlevateks sihtmärkideks. Seetõttu soovitatakse kasutajatel oma Zyxeli tulemüürid uuendada võimalikult kiiresti.  

Mirai robotvõrgustikuga liidetakse aktiivselt haavatavaid TP-Link ruutereid

Ründajad üritavad aktiivselt kompromiteerida TP-Linki ruutereid, mida ei ole paigatud hiljuti avalikustatud turvanõrkuse vastu. Ründajate eesmärgiks on liita kompromiteeritud seadmed Mirai robotvõrgustikuga, mida kasutatakse ummistusrünnakute teostamiseks. Haavatavus CVE-2023-1389 avastati algselt möödunud aasta detsembris TP-Link Archer AX21 WiFi-ruuteris ning see paigati märtsis. Seni on üritatud eelkõige rünnata Ida-Euroopas olevaid haavatavaid seadmeid, kuid üha rohkem üritatakse kompromiteerida haavatavaid ruutereid ka teistest maailma piirkondadest (ZDI, Duo).

Kes ja mida peaks tegema?

Turvanõrkuse vastu on haavatavad kõik TP-Link Archer AX21 (AX1800) ruuterid, mis kasutavad vanemat tarkvaraversiooni kui 1.1.4 Build 20230219. Kui te sellist ruuterit kasutate, uuendage see esimesel võimalusel (NVD).

RIA analüüsi- ja ennetusosakond