Kriitilist MOVEit tarkvara turvanõrkust kasutatakse andmete varastamiseks
31. mail avalikustati, et MOVEit failiedastustarkvaral on kriitiline turvanõrkus CVE-2023-34362, mille abil on ründajatel võimalik saada tarkvaraga seotud andmebaasile ligipääs ning paigaldada haavatavasse süsteemi ka tagauks. Sõltuvalt kasutatavast andmebaasist võib ründajal olla võimalik saada teavet andmebaasi struktuuri ja sisu kohta ning muuta või kustutada andmebaasi elemente. Paikamata süsteemidele pääsetakse ligi portide 80 (HTTP) või 443 (HTTPS) kaudu (MOVEit).
Kontekst: Avalike andmete põhjal on maailmas avalikult kättesaadavad üle kahe tuhande MOVEit süsteemi, millest enamik on seotud USA IP-aadressidega, lisaks leidub MOVEit süsteeme ka Ühendkuningriigi, Saksamaa, Hollandi ja Kanada jpm riikidega seotud IP-aadressidelt (MB).
Kes ja mida peaks tegema?
Konkreetne haavatavus mõjutab kõiki MOVEit Transfer tarkvara versioone. Soovitame tutvuda tootja kodulehega siin, kus on kogu vajalik info uuenduste ja kaitsemeetmete kohta välja toodud.
Microsoft tuvastas macOSi operatsioonisüsteemis turvanõrkuse
Microsoft tuvastas macOSi operatsioonisüsteemis turvanõrkuse, mida on juurõigustega ründajatel võimalik kasutada, et mööda pääseda SIP-nimelisest kaitsemeetmest. SIP ehk System Integrity Protection on lahendus, mis piirab juurkasutaja tegevusvõimalusi lahendusega kaitstud failide ja kaustadega. Microsoft tõdes, et SIPist möödapääsemise korral saaksid ründajad luua faile, mis on SIPi poolt kaitstud ehk neid ei oleks võimalik tavaolukorras kustutada (HN, Microsoft).
Kes ja mida peaks tegema?
Turvanõrkus on eemaldatud macOS Ventura 13.4, macOS Monterey 12.6.6 ja macOS Big Sur 11.7.7 versioonides. Kui te neid macOSi versiooni juba kasutate, siis konkreetne turvanõrkus teile ohtu ei kujuta.
Pistikprogrammi turvanõrkus mõjutas viit miljonit WordPressi veebilehte
WordPress uuendas automaatselt viis miljonit veebilehte, mis kasutasid haavatavat JetPack-nimelist pistikprogrammi. Turvanõrkus oli seotud APIga (rakendusliides), mida pistikprogramm on kasutanud aastast 2012. Haavatavust oleks ründajatel olnud võimalik ära kasutada, et teostada toiminguid mistahes failidega veebilehega seotud süsteemis. Hetkel ei ole tõendeid, et turvanõrkust oleks kuritarvitatud.
Kontekst: WordPress on sisuhaldustarkvara, mida kasutatakse maailmas üsna laialdaselt. Tarkvarale pakutakse hulga laiendusi ning seetõttu ei ole ebatavaline, et mõnel neist leitakse ka turvanõrkuseid. Näiteks parandati eelmisel nädalal haavatavus ka Gravity Forms nimelisel pistikprogrammil, mille abil on autentimata ründajal võimalik veebilehele lisada pahaloomulist koodi (BC).
Kes ja mida peaks tegema?
Pistikprogrammi arendajad on koostööd teinud WordPressiga, et haavatavad veebilehed automaatselt uuendada. Kui te antud pluginat kasutate, veenduge, et selle versioon oleks vähemalt üks neist, mis on ametlikul pistikprogrammi veebilehel välja toodud. Täpsemalt saab selle kohta lugeda siit.
RIA analüüsi- ja ennetusosakond