Olulisemad turvanõrkused 2024. aasta 29. nädalal

SolarWinds paikas kaheksa kriitilist turvanõrkust tarkvaras Access Right Manager (ARM)

SolarWinds paikas kaheksa kriitilist turvanõrkust oma Access Right Manageri (ARM) tarkvaras – neist kuus võimaldasid mõjutatud seadmetes koodi kaugkäitust (BC). Koodi kaugkäitust võimaldavad turvanõrkused (tähistega CVE-2024-23469, CVE-2024-23466, CVE-2024-23467, CVE-2024-28074, CVE-2024-23471, and CVE-2024-23470) olid kõik hinnatud 9.6/10 kriitilisuse skooriga ning nende abil võisid ründajad mõjutatud seadmetes koodi käivitada, ilma et neil selleks mingeid privileege vaja oleks.

Kaks paigatud turvanõrkust (tähistega CVE-2024-23475 ja CVE-2024-23472) võimaldasid kataloogihüpet, mis lubas autentimata kasutajatel konfidentsiaalsetele failidele ja kaustadele ligi saada ning neid ka kustutada.

Viimane paigatud turvanõrkus, tähisega CVE-2024-23465, võimaldas pahatahtjatel saada ligi domeeni administraatorile Active Directory’s.

Kriitiline Cisco turvanõrkus võimaldab ründajatel lisada SEG seadmetesse juurkasutajaid

Cisco paikas kriitilise turvanõrkuse (tähisega CVE-2024-20401), mis võimaldas ründajatel lisada uusi juurõigustega kasutajaid ning kokku jooksutada Security Email Gateway nutikuid, kasutades pahaloomulisi manuseid sisaldavaid e-kirju (BC).

Antud turvanõrkus tuleneb vigasest meilimanuste käsitlemisest, kui failianalüüs ja sisufiltrid on sisse lülitatud. Ründajad said seda ära kasutada ükskõik millise mõjutatud süsteemi failide väljavahetamiseks, mis omakorda võimaldas neil lisada uusi juurõigustega kasutajaid, teha koodi kaugkäitust või teostada permanentset ummistusrünnakut.  

Cisco SSM On-Premi haavatavus võimaldab kasutajate paroole muuta

Cisco paikas kriitilise turvanõrkuse, mis võimaldas ründajatel haavatavates Cisco Smart Software Manager On-Prem litsensiserverites kõikide kasutajate (kaasa arvatud administraatorite) paroole muuta (BC). See haavatavus mõjutab lisaks ka SSM On-Prem installatsioone enne 7.0 versiooni.

Antud haavatavus, tähisega CVE-2024-20419, tuleneb verifitseerimata paroolimuudatuse nõrkusest SSM On-Premi autentimissüsteemis. Ründajad saavad haavatavust ära kasutada, saates spetsiaalseid HTTP-päringuid mõjutatud seadmetesse. Nõrkuse ärakasutamise korral on võimalik määrata mõjutatud süsteemi kasutajatele uusi paroole ilma originaalmandaate teadmata.

Olulisemad turvanõrkused 2024. aasta 28. nädalal

Netgeari ruuterid sisaldasid XSS-i ja autentimisest möödapääsemist võimaldavaid turvanõrkusi

Netgear palub klienditel oma seadmete püsivara uuendada, et paigata skriptisüsti ja autentimisest möödapääsemist võimaldavaid turvanõrkusi (BC). Antud turvanõrkusi võib ära kasutada kasutajate sessioonide varastamiseks, pahaloomulistele veebilehtedele ümbersuunamiseks ja varjatud andmete varastamiseks.

XSS-i turvanõrkus (PSV-2023-011) mõjutab Netgeari XR1000 Nighthawki ruutereid ning autentimisest möödasaamist võimaldav turvanõrkus mõjutab CAX30 Nighthawk AX6 6-Streami ruutereid.

WordPressi veebilehti ohustab pistikprogrammis olev turvanõrkus

Üle 150 000 WordPressi veebilehe on mõjutatud Modern Events Calendari pistikprogrammis olevast haavatavusest tähisega CVE-2024-5441, mille kaudu võib ründaja laadida pahaloomulisi faile veebilehele ja käivitada suvalist koodi.

Wordfence’i sõnul tuleneb viga sellest, et plugina “set_featured_image” funktsioonis (kasutatakse sündmuste piltide üleslaadimiseks) puudub faili tüübi valideerimise võimalus, mistõttu võib sinna üles laadida ka kahtlaseid .PHP faile (WF).

Viga mõjutab kõiki plugina versioone kuni 7.12.0, milles on haavatavused paigatud. Wordfence’i raporti kohaselt on häkkerid võtnud turvanõrkuse sihikule ja proovivad seda rünnetes ära kasutada. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (BC).

Adobe paikas oma tarkvarades kriitilisi vigu

Adobe paikas seitse haavatavust, mis mõjutavad tarkvarasid Adobe Premiere Pro, Adobe InDesign ja Adobe Bridge. Ettevõte hoiatas, et mitmed paigatud haavatavused võimaldavad ründajal pahaloomulist koodi käivitada ning ohustatud on nii Windowsi kui ka Maci kasutajad.

Mõjutatud on järgmised tooted:

  • Adobe Premiere Pro (CVE-2024-34123) — Mõjutatud versioonid: 24.4.1 ja varasemad, 23.6.5 ja varasemad (Windows ja macOS). CVSS 7.0/10.
  • Adobe InDesign (CVE-2024-20781, CVE-2024-20782, CVE-2024-20783, CVE-2024-20785) — Mõjutatud versioonid: ID19.3 ja varasemad, ID18.5.2 ja varasemad (Windows ja macOS). (CVSS 7.8/10).
  • Adobe Bridge (CVE-2024-34139, CVE-2024-34140). Mõjutatud versioonid:** 13.0.7 ja varasemad, 14.1 ja varasemad (Windows and macOS). (CVSS 7.8).

    Adobe’i sõnul pole haavatavusi rünnete läbiviimisel veel kuritarvitatud (SW).

Windowsi MSHTML nullpäeva turvanõrkust on juba üle aasta pahavararünnakutes ära kasutatud

Microsoft paikas Windowsi nullpäeva turvanõrkuse, mida on juba 18 kuud ära kasutatud pahaloomuliste skriptide käivitamiseks, vältides Windowsi sisseehitatud turvameetmeid (BC).

Sisult saab selle turvanõrkuse abil sundida ohvri seadet avama mingit pahaloomulist URL-i Internet Exploreri veebilehitsejaga, kasutades mhtml: URI funktsiooni. Nõnda on ründajatel kergem pahavara ohvrite seadmetesse juurutada, kuna Internet Explorer hoiatab pahaloomulistest failidest palju vähemal määral, kui teised veebilehitsejad.

Antud turvanõrkuse (tähisega CVE-2024-3811) avastasid Check Point Researchi teadlased 2024. aasta maikuus ja edastasid info Microsoftile, kuid teadlase sõnul avastasid nad turvanõrkuse ära kasutamise jälgi, mis ulatusid koguni 2023. aasta jaanuarini.

Olulisemad turvanõrkused 2024. aasta 27. nädalal

Miljonid OpenSSH serverid on koodi kaugkäivitamise veale haavatavad

Qualysi küberturbeteadurite sõnul on potentsiaalselt 14 miljonit OpenSSH serverit ohus koodi kaugkäivitamist võimaldava vea tõttu, mida nimetatakse regreSSHion. Shodani ja Censys andmete põhjal on internetile avatud enam kui 14 miljonit seadet. Turvaviga tähisega CVE-2024-6387 võimaldab autentimata ründajal saada juurõigused ja käivitada pahaloomulisi käske ning seejärel võtta kontrolli kogu süsteemi üle. Lisaks on võimalik eduka ründe korral ohvri süsteemi paigaldada pahavara ja tagauksi. Turvaviga on võrreldud ka 2021. aastal avalikuks tulnud Log4Shell haavatavusega – teadurite sõnul on regreSSHion sama tõsise ja kriitilise mõjuga.

Viga mõjutab OpenSSH versioone 8.5p1 kuni 9.7p1 ning on parandatud versioonis 9.8p1. Täpsemalt mõjutab haavatavus glibc-põhiseid Linuxi süsteeme ning hetkel ei ole teada, et seda oleks võimalik kuritarvitada Windowsi või macOSi süsteemides.

Qualys on küll avaldanud tehnilist teavet turvavea kohta, kuid kontseptsiooni tõendust ei ole avalikuks tehtud, et vältida rünnete kasvu (SA, SW, ZDNET).

Androidi tarkvarauuendus parandab kriitilise vea

Androidi nutiseadmetes paigati 25 turvaviga, nende hulgas oli kriitiline haavatavus Frameworki komponendis. Turvaviga tähisega CVE-2024-31320 võib kaasa tuua õigustega manipuleerimise ja mõjutab Androidi versioone 12 ning 12L. Suurem osa vigadest on hinnatud suure mõjuga haavatavusteks.

Sel korral ei avaldatud koos turvauuendusega Pixeli seadmete paikasid – ka eelmisel kuul said need avalikuks umbes kaks nädalat peale Androidi seadmete uuendamist.

Soovitame Androidi nutiseadmete tarkvara uuendada esimesel võimalusel (SW, Android).

Cisco paikas nullpäeva turvanõrkuse

Cisco parandas NX-OS tarkvaras nullpäeva turvanõrkuse tähisega CVE-2024-20399, mis võimaldab ründajal käivitada operatsioonisüsteemis suvalisi käsklusi.

Viga mõjutab järgmisi Cisco seadmeid:

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode.

Kuna turvanõrkuse ärakasutamiseks peavad ründajal olema administraatoriõigused, siis on seda hinnatud keskmise mõjuga haavatavuseks CVSS skooriga 6.0/10.

Hiinast pärit häkkerite rühmitus Velvet Ant on juba asunud haavatavust kuritarvitama ning kõik Cisco seadmete kasutajad peaks tarkvara uuendama (DR).

Polyfill[.]io rünnak mõjutab ligi 400 000 hosti

Juuni lõpus avalikuks tulnud Polyfill[.]io tarneahela rünnak on palju laiema ulatusega kui esialgu arvati. Nüüdseks on selgunud, et enam kui 380 000 hosti suunavad kasutajaid pahaloomulisele domeenile. Nende hulgas on ka suurte ettevõtete nagu Mercedes-Benz ja WarnerBros domeenid.

Juuni lõpus tuli avalikuks info, et Hiina ettevõte Funnull on ostnud Polyfill.io teenuse ja muutnud seal kasutusel olevat JavaScripti teeki nii, et veebilehtede kasutajad suunatakse ümber pahatahtlikele või kelmusega tegelevatele saitidele. Kuna Polyfill.js on populaarne avatud lähtekoodiga teek vanemate brauserite toetamiseks, siis mõjutab see suurt hulka kasutajaid.

Turvaeksperdid soovitavad veebisaitide omanikel ettevaatusabinõuna oma koodibaasist eemaldada kõik viited hostile polyfill.io ja sellega seotud domeenidele (HN, Censys).

Apache parandas kriitilise turvavea Apache HTTP Serveris

Viga tähisega CVE-2024-39884 mõjutab Apache HTTP Serveri tarkvara ning selle kaudu on võimalik saada ligipääs lähtekoodile. Lisaks paigati veel mitmeid teisi haavatavusi, mis võimaldavad ründajatel teenuseid tõkestada, koodi kaugkäivitada ja saada volitamata juurdepääsu süsteemidele.

Apache Foundation soovitab kasutajatel uuendada tarkvara versioonile 2.4.61, kus turvavead on paigatud (SA).