CSIRT.SK https://csirt.gov.sk/ Wed, 27 Mar 2024 14:07:44 +0000 en-US hourly 1 Otvorené pozície CSIRT.SK https://csirt.gov.sk//8 /8#respond Wed, 27 Mar 2024 13:50:48 +0000 /?p=8 Hľadáme kolegov na nasledujúce otvorené pozície:


]]>
/8/feed 0
Zero day zraniteľnosti v prehliadači Firefox https://csirt.gov.sk//756 /756#respond Wed, 27 Mar 2024 13:50:31 +0000 /?p=756 Spoločnosť Mozilla vydala bezpečnostné aktualizácie na opravu dvoch zero-day zraniteľností vo webovom prehliadači Firefox. Zraniteľnosti boli objavené počas hackerskej súťaže Pwn20wn Vancouver 2024. Na obe zraniteľnosti poukázal výskumník Manfred Paul.

Zraniteľné systémy:

  • Firefox < 124.0.1 a Firefox ESR < 115.9.1

Opis činnosti:

CVE-2024-29944 (Firefox a Firefox ESR)

Zero-day zraniteľnosť CVE-2024-29944 umožňuje útočníkovi zvýšenie oprávnení a vykonanie ľubovoľného kódu JavaScript v nadradenom procese. Chyba neovplyvňuje mobilné verzie Firefoxu.

CVE-2024-29943 (Firefox)

Zraniteľnosť CVE-2024-29943 sa týka obchádzania kontroly v rozsahu pamäte objektov JavaScript a to útočníkovi umožňuje čítať alebo zapisovať mimo povolené hodnoty. Úspešné zneužitie umožňuje spustenie ľubovoľného kódu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Spustenie ľubovoľného kódu
  • Zvýšenie oprávnení

Odporúčania:

Bezodkladná aktualizácia Firefox na verziu 124.0.1, Firefox ESR na verziu 115.9.1.

Odkazy:

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943

https://www.bleepingcomputer.com/news/security/mozilla-fixes-two-firefox-zero-day-bugs-exploited-at-pwn2own/

https://www.mozilla.org/en-US/security/advisories/mfsa2024-16/

]]>
/756/feed 0
Prečo je ukladanie hesiel do prehliadača nebezpečné? https://csirt.gov.sk//749 /749#respond Wed, 27 Mar 2024 13:47:17 +0000 /?p=749 S rastúcim počtom webových služieb a online účtov sa zvyšuje aj počet hesiel, ktoré si musí človek pamätať. Ako reakciu na túto potrebu si mnohí používatelia zvolili ukladanie hesiel do svojich internetových prehliadačov a používanie automatického vypĺňania. Je to pohodlné riešenie, ale webové prehliadačeprimárne navrhnuté na zobrazovanie webového obsahu a nie na zabezpečené ukladanie hesiel. V tomto článku sa dočítate prečo je nebezpečné ukladať svoje heslá v prehliadači a o odporúčaniach ako si ich ochrániť.

Heslá sú jedným z mála spôsobov, ako dokážeme zabezpečiť svoje účty. Odborníci z oblasti IT pravidelne vyzývajú používateľov, aby si tvorili bezpečné heslá – v súlade so špecifickými požiadavkami. Bližšie podrobnosti o bezpečnosti a vytváraní hesiel sme si pre Vás pripravili začiatkom septembra.

Obrázok 1 Bezpečné heslá    Zdroj: CSIRT

Nech sú vaše heslá akokoľvek bezpečné, v momente ich uloženia vo webovom prehliadači čelíte viacerým rizikám.

Riziká ukladania hesiel v prehliadačoch

1. Prvé nebezpečenstvo predstavuje fyzický prístup k odomknutým zariadeniam obete, kedy útočník dokáže uložené heslá zneužiť na neoprávnený prístup do ,,zapamätaných“ systémov a následné vykonanie úkonov podľa úrovne oprávnenia účtu. Útočník dokonca môže heslá extrahovať na ďalšie použitie.

2. Správca hesiel vo webových prehliadačoch ukladá heslá do šifrovaných databáz, avšak pre konkrétne prehliadače sú verejne známe presné umiestnenia súborov na disku, ktoré obsahujú históriu prehliadania, databázu hesiel a dokonca aj hlavné heslo k šifrovaným databázam. Túto skutočnosť zneužívajú rôzne rodiny malvérov, ktoré zbierajú základné informácie o kompromitovanom zariadení, históriu prehliadačov a komunikačných platforiem, uložené heslá prehliadačov, obsah schránky operačného systému (eng. clipboard) alebo iných zvolených súborov a tieto údaje rôznymi metódami zasielajú útočníkovi. Medzi najznámejšie malvéry zamerané na získavanie citlivých dát možno zaradiť napr. Redline, Racoon, Lumma, SnakeKeylogger, Agent Tesla a ďalšie. Znalosť umiestnenia kľúčových súborov je taktiež využívaná aj v rámci riešenia kybernetických bezpečnostných incidentov a vyšetrovania trestných činov počítačovej kriminality.

3. Mimoriadne riziko predstavuje možnosť previazania prehliadača s kontom používateľa (napr. konto na službe MICROSOFT alebo GOOGLE), ktoré umožňuje pokročilé funkcie práce na viacerých zariadeniach, ako sú napr. zdieľanie histórie webového prehliadania, záložiek a synchronizácie uložených hesiel. Synchronizácia hesiel na jednej strane zvyšuje komfort používateľa, na druhej strane však predstavuje dodatočné riziko, kedy sa k heslám možno dostať kompromitáciou ľubovoľného zariadenia asociovaného s daným kontom.

Ako odstrašujúci príklad zneužitia tejto funkcionality možno použiť kybernetický bezpečnostný incident, ktorý spoločnosť CISCO riešila v roku 2022. Jeden z interných zamestnancov mal webový prehliadač na pracovnom zariadení previazaný so súkromným GOOGLE účtom a využíval synchronizáciu hesiel, vrátane prihlasovacích údajov do podnikovej VPN siete. Tento používateľ sa stal obeťou phishingového útoku, počas ktorého útočník získal prístup k jeho GOOGLE účtu a tým aj ku všetkým heslám. Prihlasovanie do VPN síce bolo chránené prostredníctvom viacfaktorovej autentifikácie, ale útočníkovi sa tento bezpečnostný prvok podarilo obísť prostredníctvom techník sociálneho inžinierstva, ktoré sú bližšie popísané na tomto odkaze v článku.

4. Ukladanie údajov v prehliadači zvyšuje aj úspešnosť phishingových kampaní, kedy prehliadač pri rozpoznaní formulára na zadanie osobných alebo kartových údajov ponúkne používateľovi možnosť automatického vypĺňania. Táto funkcia je mimoriadne riziková dokonca aj v prípade, že si obeť uvedomí, že sa stala obeťou phishingu ešte pred odoslaním formulára, pretože pokročilé phishingové frameworky priebežne zasielajú zadávané údaje útočníkovi.

5. Okrem funkcií zabudovaných priamo v prehliadači je na ukladanie hesiel možné použiť aj externé doplnky, zásuvné moduly a pluginy, ktoré majú rôznu kvalitatívnu úroveň. Útočníci rôzne rozšírenia dokonca používajú ako mechanizmus šírenia škodlivého kódu, nakoľko používateľ medzi veľkým množstvom dostupných možností často nedokáže rozlíšiť legitímne aplikácie od tých škodlivých.

6. Vyššie uvedené rozšírenia rovnako ako samotné prehliadače môžu obsahovať bezpečnostné zraniteľnosti, ktoré možno zneužiť na naplnenie rôznych cieľov, od získania neoprávneného prístupu k citlivým údajom až po vzdialené vykonanie škodlivého kódu. Tie najzávažnejšie zraniteľnosti je možné zneužiť vzdialene a bez interakcie obete. Preto je dôležité všetky používané zariadenia a aplikácie pravidelne aktualizovať.

Výhody používania aplikácií na správu hesiel

Na ukladanie hesiel sa odporúča používať výhradne špecializované nástroje, tzv. aplikácie na správu hesiel (eng. password manager), ktoré boli navrhnuté s primárnym dôrazom na zabezpečenie dát, robustné šifrovanie a ochranu pred rôznymi scenármi odcudzenia prihlasovacích údajov. Tieto aplikácie umožňujú heslá prehľadne organizovať do kategórií a dokonca vykonávajú analýzy nad heslami, aby používateľov upozornili na recykláciu hesiel alebo skryté a predvídateľné vzory pri generovaní hesiel, vrátane jednoduchých úprav pri pravidelných zmenách hesiel. Niektoré služby dokonca heslá overujú voči online databázam uniknutých hesiel, čím umožňujú reagovať na prípadné úniky dát. Jednou z najznámejších služieb umožňujúcich preverenie, či došlo k úniku Vašich prihlasovacích údajov, je HAVEIBEENPWNED, s ktorou CSIRT.SK v roku 2021 uzatvoril spoluprácu. Okrem hesiel umožňujú aj ukladanie súborov – napr. obrázkov a iného kryptografického materiálu (certifikáty, SSH kľúče a pod). Heslá skopírované do schránky operačného systému v nej udržujú len po obmedzený čas, čím znižujú riziko ich krádeže. V prípade využívania online služieb na manažment hesiel je treba brať do úvahy aj riziko, že bezpečnostné zraniteľnosti a incidenty u Vášho poskytovateľa môžu priamo ohroziť aj Vaše heslá.

Odporúčania ako sa chrániť

1.Používajte silné heslá: Používajte silné heslá, ktoré obsahujú kombináciu veľkých a malých písmen, číslic a špeciálnych znakov. Odporúčame používať passphrase, frázy, ktoré si používateľ dokáže ľahšie zapamätať. NEPOUŽÍVAJTE však verše pesničiek, odseky z kníh, populárne citáty, osobné údaje alebo heslá, ktoré ste niekde videli (napr. slogany, reklamy….). VJ CSIRT odporúča používať diakritiku pri vytváraní frázy, kde je to možné.

Obrázok 2 Bezpečné heslá    Zdroj: CyberHoot

2. Nepoužívajte funkciu automatického ukladania hesiel a dopĺňania vo webových prehliadačoch. Namiesto toho si zapamätajte svoje heslá alebo použite aplikácie na správcu hesiel, ako napríklad KeePass, LastPass, 1Password  alebo Bitwarden.

3. Striktne oddeľujte súkromné a pracovné zariadenia.

4. Na všetkých službách, kde je to možné, majte aktivované viacfaktorové overovanie prístupu. Môžete si nastaviť overenie biometriou, odosielanie SMS správ, telefonický rozhovor alebo používať generátor tokenov pre vytvorenie jednorazového kódu či push notifikácie pre autentifikáciu do účtu (Duo Mobile, Authy, Google Authentificator). Svojich zamestnancov a známych vzdelajte aj o aktívne zneužívaných metódach obchádzania viacfaktorovej autentifikácie.

5. Pravidelne aktualizujte operačný systém, používané aplikácie a ich rozšírenia, nakoľko môžu obsahovať ľahko zneužiteľné bezpečnostné zraniteľnosti.

6. Používané aplikácie, externé doplnky, zásuvné moduly a pluginy vždy inštalujte z overených a dôveryhodných zdrojov.

7. Hardening prehliadačov. Cieľom hardeningu prehliadačov je znížiť možný dopad zraniteľností a zvýšiť odolnosť prehliadača pred útokmi. Slúži nám na to najmä vhodná konfigurácia, ktorá zahŕňa blokovanie cookies, blokovanie  načítavania obsahu z neznámych alebo nebezpečných zdrojov, aktiváciu dodatočných bezpečnostných funkcií ako blokovanie reklám, vypnutie telemetrie a mnoho ďalších nastavení. Odolnosť svojho prehliadača si môžete overiť prostredníctvom online testu.

8. Používateľské konto. Pri práci s prehliadačmi na operačnom systéme by ste mali vždy používať používateľské konto s nízkymi oprávneniami (user account) a nie administrátorské konto (administrator account).

V tomto článku sme si ukázali riziká spojené s ukladaním hesiel vo webových prehliadačoch, popísali výhody používania aplikácií na správu hesiel a odporúčania ako svoje heslá chrániť. Pri práci s heslami je potrebné dodržiavať základné zásady kybernetickej hygieny a držať sa vyššie uvedených odporúčaní VJ CSIRT.

Sledujte nás na sociálnych sieťach:

Zdroje:

https://blog.talosintelligence.com/recent-cyber-attack/

https://www.kaspersky.com/blog/how-to-store-passwords-securely/48784/

https://www.tomsguide.com/news/dont-let-web-browsers-save-passwords

https://news.trendmicro.com/2023/11/27/is-it-safe-to-save-passwords-in-your-browser/

https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/password-managers

https://coveryourtracks.eff.org/

]]>
/749/feed 0
Koniec podpory pre Windows Server 2012 a Windows Server 2012 R2 https://csirt.gov.sk//558 /558#respond Mon, 25 Mar 2024 12:38:23 +0000 /?p=558 Spoločnosť Microsoft plánovane zrušila podporu pre Windows Server 2012 a Windows Server 2012 R2. Po dátume 10. októbra 2023 už tieto produkty nebudú dostávať aktualizácie zabezpečenia, aktualizácie nesúvisiace so zabezpečením, opravy chýb, technickú podporu a ani aktualizácie technického obsahu online. Odporúčame prejsť na novšiu verziu operačného systému alebo používať rozšírenie ESU na dobu určitú.

Zákazníkom  Microsoft odporúča inovovať na systém Windows Server 2022. Ak nemôžete inovovať na novšiu verziu, budete musieť používať rozšírené aktualizácie zabezpečenia (ESU). ESU sú k dispozícii zadarmo v Azure alebo si ich treba zakúpiť pre lokálne nasadenia. Jednotky ESU budú každoročne obnovované do 13. októbra 2026. Zákazníci majú možnosť používať Azure Arcto, automaticky nasadzovať zakúpené jednotky ESU na mieste, ako aj rozšíriť zabezpečenie a správu Azure do svojho prostredia.

Životnosť Windows Serverov

Hlavné vydania serverov Windows sa riadia politikou pevného životného cyklu spoločnosti Microsoft. To znamená, že sú podporované 10 rokov, vrátane 5 rokov bežnej podpory, po ktorej nasleduje 5 rokov rozšírenej podpory. Väčšina verzií Windows Server má tiež možnosť predĺžiť podporu o ďalšie 3 alebo 4 roky, ak si zakúpite možnosť Extended Security Update.

Plánované ukončenia podpory pre ďalšie verzie:

  • Verzia                                                                         Koniec podpory
  • Windows Server 2022                                                   Oct 14, 2031
  • Windows Server 2019                                                   Jan. 9, 2029
  • Windows Server 2016                                                   Jan. 12, 2027
  • Windows Server 2012 R2                                            Oct 10, 2023
  • Windows Server 2012                                                   Oct 10, 2023
  • Windows Server 2008 R2                                            Jan 14, 2020
  • Windows Server 2008                                                   Jan 14, 2020

Windows Server 2008 a Windows Server 2008 R2 koniec podpory

Spoločnosť Microsoft ukončila priamu podporu pre Windows Server 2008 a Windows Server 2008 R2 14. januára 2020. Ak nemôžete inovovať na novšiu verziu, budete musieť používať rozšírené aktualizácie zabezpečenia (ESU). Tretia z týchto aktualizácií zabezpečenia skončila 10. januára 2023. Ak chcete, aby bolo vaše prostredie aktuálne a zabezpečené, inovujte na najnovšiu verziu.

Existuje však možnosť 4. ESU na 1 rok, len pre Azure. Táto aktualizácia bola k dispozícii 11. januára 2023 a bude podporovaná do 9. januára 2024. Rozšírené aktualizácie zabezpečenia sú bezplatné, ak používate 2008 alebo 2008 R2 vo virtuálnych počítačoch Azure.

Odporúčania:

  • Inovovať aspoň na Windows Server 2019 alebo novšiu verziu
  • Aplikovať a používať ESU rozšírenie do 13. októbra 2026
  • Migrovať svoj Windows Server na UCS (University Cloud Services)

Ako získať rozšírené aktualizácie zabezpečenia (ESU) pre Windows Server 2012 a  Windows Server  2012 R2 nájdete na: https://learn.microsoft.com/sk-sk/windows-server/get-started/extended-security-updates-deploy

Zdroje:

https://learn.microsoft.com/en-us/lifecycle/announcements/windows-server-2012-r2-end-of-support

https://techcommunity.microsoft.com/t5/windows-server-news-and-best/three-options-to-prepare-for-windows-server-2012-r2-end-of/ba-p/3645211

https://techcommunity.microsoft.com/t5/windows-server-news-and-best/three-options-to-prepare-for-windows-server-2012-r2-end-of/ba-p/3645211

https://www.polyu.edu.hk/its/news-and-events/its-enewsletter/get-connected/2023-may/end-of-support-for-windows-server-2012-2012-r2/

https://corebts.com/blog/windows-server-2012-end-of-life-risks-options-next-steps/

]]>
/558/feed 0
Kritická zraniteľnosť v serveroch Atlassian https://csirt.gov.sk//556 /556#respond Mon, 25 Mar 2024 12:32:49 +0000 /?p=556 Atlassian vydal opravy pre viac ako dve desiatky bezpečnostných chýb vrátane kritickej chyby ovplyvňujúcej Bamboo Data Center a Server. Úspešné zneužitie umožňuje injektovanie škodlivých príkazov bez toho, aby bola potrebná interakcia používateľa.

Zraniteľné systémy:

  • Bamboo Data Center a Server 8.2.0-8.2.9, 9.0.0-9.0.4, 9.1.0-9.1.3, 9.2.0-9.2.11 (LTS), 9.3.0-9.3.6, 9.4.0-9.4.3, 9.5.0-9.5.1 a staršie

Opis činnosti:

CVE-2024-1597 (CVSS skóre 10)

Kritická zraniteľnosť CVE-2024-1597 sa týka PostgreSQL JDBC Drivera a ovplyvňuje Bamboo Data Center a Server. Útočník môže vytvoriť škodlivý dotaz pomocou manipulácie číselných a reťazcových znakov v dotaze. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi injektovať škodlivé príkazy zneužitím parametra PreferQueryMode=SIMPLE. To vedie k obchádzaniu bezpečnostných mechanizmov parametrizovaných dotazov a umožňuje tak útok typu SQL Injection.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Injektovanie kódu
  • Obchádzanie zabezpečenia

Odporúčania:

Bezodkladná aktualizácia na najnovšiu verziu, ak tak nemôžete urobiť, aktualizujte svoju inštanciu na jednu z uvedených podporovaných pevných verzií:

  • 9.5.0 – 9.5.1 na verziu: 9.6.0 (LTS) alebo 9.5.2
  • 9.4.0 – 9.4.3 na verziu: 9.6.0 (LTS), 9.5.2 alebo 9.4.4
  • 9.3.0 – 9.3.6 na verziu: 9.6.0 (LTS), 9.5.2 alebo 9.4.4
  • 9.2.0 – 9.2.11 (LTS) na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)
  • 9.1.0 – 9.1.3 na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)
  • 9.0.0 – 9.0.4 na verziu: 9.6.0 (LTS), 9.5.2,9.4.4 alebo 9.2.12 (LTS)
  • 8.2.0 – 8.2.9 na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)

Odkazy:

https://thehackernews.com/2024/03/atlassian-releases-fixes-for-over-2.html

https://nvd.nist.gov/vuln/detail/CVE-2024-1597

https://jira.atlassian.com/browse/BAM-25716

https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html

https://socradar.io/critical-vulnerabilities-in-connectwise-screenconnect-postgresql-jdbc-and-vmware-eap-cve-2024-1597-cve-2024-22245/

]]>
/556/feed 0
Ivanti opravila dve kritické zraniteľnosti https://csirt.gov.sk//554 /554#respond Fri, 22 Mar 2024 13:10:26 +0000 /?p=554 Spoločnosť Ivanti vydala opravu dvoch kritických zraniteľností, CVE-2023-46808 a CVE-2023-41724, ktoré sa nachádzajú v nástroji Ivanti Standalone Sentry a Ivanti Neurons for ITSM. Úspešné zneužitie umožňuje útočníkovi ľubovoľné vykonávanie príkazov. Chyby boli predmetom zneužitia troch kyberšpionážnych skupín napojených na Čínu.

Zraniteľné systémy:

  • Standalone Sentry 9.17.0, 9.18.0, 9.19.0 a staršie
  • Ivanti Neurons for ITSM 2023.1, 2023.2, 2023.3, vrátane starších

Opis činnosti:

CVE-2023-46808 (CVSS skóre 9,9)

Spoločnosť Ivanti vydala opravu pre kritickú zraniteľnosť CVE-2023-46808, ktorá ovplyvňuje Ivanti Neurons for ITSM. Táto chyba umožňuje vzdialenému autentifikovanému používateľovi zapisovať súbory na server ITSM, čo môže viesť k vykonávaniu príkazov.

CVE-2023-41724 (CVSS skóre 9,6)

Kritická zraniteľnosť CVE-2023-41724 sa nachádza v systéme Standalone Sentry. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi vykonávať ľubovoľné príkazy v operačnom systéme v rámci tej istej fyzickej alebo logickej siete. Na chybu poukázali výskumníci z Centra kybernetickej bezpečnosti NATO.

Nedávno odhalené bezpečnostné chyby v softvéri Ivanti boli podľa spoločnosti Mandiant predmetom zneužitia najmenej troch rôznych kyberšpionážnych skupín napojených na Čínu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Ľubovoľné vykonávanie príkazov
  • Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia:

  • Standalone Sentry na verziu 9.17.1, 9.18.1 alebo 9.19.1
  • Ivanti Neurons for ITSM na verziu v2023.3, 2023.2 alebo 2023.1.

Odkazy:

https://thehackernews.com/2024/03/ivanti-releases-urgent-fix-for-critical.html

https://forums.ivanti.com/s/article/CVE-2023-41724-Remote-Code-Execution-for-Ivanti-Standalone-Sentry?language=en_US

https://www.helpnetsecurity.com/2024/03/20/cve-2023-41724-cve-2023-46808/

https://forums.ivanti.com/s/article/SA-CVE-2023-46808-Authenticated-Remote-File-Write-for-Ivanti-Neurons-for-ITSM?language=en_US

]]>
/554/feed 0
Kritické zraniteľnosti v produktoch Fortinet https://csirt.gov.sk//529 /529#respond Mon, 18 Mar 2024 12:12:30 +0000 /?p=529 Spoločnosť Fortinet vydala varovanie pred viacerými kritickými a vysoko závažnými zraniteľnosťami v produktoch FortiClientEMS, FortiOS, FortiProxy a FortiManager. Kritické zraniteľnosti umožňujú útočníkovi vykonávanie kódu alebo príkazov prostredníctvom špeciálne vytvorených paketov alebo HTTP požiadaviek. Vysoko závažné zraniteľnosti sa týkajú obchádzania autorizácie a vykonávania ľubovoľného kódu.

Zraniteľné systémy:

  • FortiClientEMS 7.2.0 – 7.2.2  
  • FortiClientEMS 7.0.0 – 7.0.10
  • FortiClientEMS 6.4 všetky verzie
  • FortiClientEMS 6.2 všetky verzie
  • FortiClientEMS 6.0 všetky verzie
  • FortiOS 7.4.0 – 7.4.1
  • FortiOS 7.2.0 – 7.2.5
  • FortiOS 7.0.0 – 7.0.12
  • FortiOS 6.4.0 – 6.4.14
  • FortiOS 6.2.0 – 6.2.15
  • FortiProxy 7.4.0
  • FortiProxy 7.2.0 – 7.2.6
  • FortiProxy 7.0.0 – 7.0.12
  • FortiProxy 2.0.0 – 2.0.13
  • FortiManager 7.4.0
  • FortiManager 7.2.0 – 7.2.3
  • FortiManager 7.0.0 – 7.0.10
  • FortiManager 6.4.0 – 6.4.13
  • FortiManager 6.2 všetky verzie

Opis činnosti:

CVE-2023-48788 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2023-48788 sa nachádza v komponente DB2 Administration Server (DAS). Chyba sa týka nesprávnej neutralizácie špeciálnych prvkov v príkaze sql. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi vykonávanie kódu alebo príkazov prostredníctvom špeciálne vytvorených požiadaviek. Zraniteľnosť si nevyžaduje interakciu používateľa.

CVE-2023-42789 (CVSS skóre 9,8) a CVE-2023-42790 (CVSS skóre 8,1)

Zraniteľnosti CVE-2023-42789 a CVE-2023-42790 v systémoch FortiOS a FortiProxy súvisia s pretečením zásobníka a zapisovania mimo povolené hodnoty pamäte. Úspešné zneužitie umožňuje útočníkovi spustiť ľubovoľný kód alebo príkazy prostredníctvom špeciálne vytvorených požiadaviek HTTP.

CVE-2023-47534 (CVSS skóre 9,6)

Kritická zraniteľnosť CVE-2023-47534 v systéme FortiClientEMS sa týka nesprávnej neutralizácie prvkov vzorca v súbore CSV. Úspešné zneužitie umožňuje vzdialenému neautentifikovanému útočníkovi spustiť neoprávnený kód alebo príkazy na administrátorskej stanici prostredníctvom špeciálne vytvorených požiadaviek na server.

CVE-2023-36554 (CVSS skóre 8,1)

Vysoko závažná zraniteľnosť CVE-2023-36554 kontroly prístupu sa nachádza vo FortiWLM MEA (aplikácia rozšírenia správy) pre FortiManager a umožňuje neautentifikovanému vzdialenému útočníkovi spustenie ľubovoľného kódu alebo príkazov pomocou špeciálne vytvorených požiadaviek.

CVE-2024-23112 (CVSS skóre 8,0)

Chyba CVE-2024-23112 sa nachádza v systémoch FortiOS a ForitProxy SSLVPN a umožňuje autentifikovanému útočníkovi získať prístup k záložke iného používateľa pomocou manipulácie s URL adresou. Úspešné zneužitie umožňuje obísť autorizáciu prostredníctvom zraniteľnosti používateľského kľúča [CWE-639].

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vykonávanie kódu
  • Obchádzanie autorizácie

Odporúčania:

Bezodkladná aktualizácia:

  • FortiClientEMS 7.2.0 – 7.2.2 na verziu 7.2.3 
  • FortiClientEMS 7.0.0 – 7.0.10 na verziu 7.0.11
  • FortiClientEMS na verziu 6.4
  • FortiClientEMS na verziu 6.2
  • FortiClientEMS na verziu 6.0
  • FortiOS 7.4 na verziu FortiOS 7.4.2
  • FortiOS 7.2 na verziu FortiOS 7.2.7
  • FortiOS 7.0 na verziu FortiOS 7.0.14
  • FortiOS 6.4 na verziu FortiOS 6.4.15
  • FortiProxy 7.4 na verziu FortiProxy 7.4.3
  • FortiProxy 7.2 na verziu FortiProxy 7.2.9
  • FortiProxy 7.0 na verziu FortiProxy 7.0.15
  • FortiManager 7.4.0 na verziu 7.4.1
  • FortiManager 7.2.0 – 7.2.3 na verziu 7.2.4
  • FortiManager 7.0.0 – 7.0.10 na verziu 7.0.11
  • FortiManager 6.2 na verziu 6.4.14

Používateľom, ktorí nemôžu aktualizovať svoj systém, odporúčame pre zmiernenie zraniteľností CVE-2023-42789 a CVE-2023-42790 vybrať metódu overenia, ktorá nie je založená na formulári (ntlm NTLM, basic Basic http, digest Digest HTTP, negotiate Negotiate, fsso Fortinet Single Sign-On (FSSO), rsso RADIUS Single Sign-On (RSSO), ssh-publickey Public key based SSH, cert Client certificate, saml SAML). Viac info tu.

Pokiaľ nemôžete aktualizovať svoje zariadenie, na zmiernenie zraniteľnosti CVE-2024-23112 je možné vypnúť webový režim SSL VPN.

Odkazy:

]]>
/529/feed 0
Kritické zraniteľnosti v produktoch VMware https://csirt.gov.sk//527 /527#respond Mon, 18 Mar 2024 07:10:44 +0000 /?p=527 Spoločnosť VMware vydala bezpečnostné aktualizácie na opravu kritických zraniteľností úniku zo sandboxu v produktoch VMware ESXi, Workstation, Fusion a Cloud Foundation. Úspešné zneužitie môže viesť k úniku z virtuálnych počítačov a umožniť útočníkom získať prístup k hostiteľskému operačnému systému.

Zraniteľné systémy:

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • VMware Cloud Foundation (Cloud Foundation)

Opis činnosti:

CVE-2024-22252 a CVE-2024-22253 (CVSS skóre 9,3)

Kritické zraniteľnosti CVE-2024-22252 a CVE-2024-22253 sa nachádzajú v ovládačoch XHCI a UHCI USB a umožňujú použiť dealokované miesto v pamäti. Úspešné zneužitie si vyžaduje lokálne administrátorské oprávnenia na virtuálnom počítači a umožňuje vykonávanie kódu na hostiteľskom systéme v rámci procesu VMX.

CVE-2024-22254 (CVSS skóre 7,9)

Chyba CVE-2024-22254 sa týka softvéru VMware ESXi a umožňuje útočníkovi s právami procesu VMX zapisovať mimo povolené hodnoty pamäte, čo môže viesť k úniku zo sandboxu.

CVE-2024-22255 (CVSS skóre 7,1)

Vysoko závažná zraniteľnosť ESXi, Workstation a Fusion, CVE-2024-22255 sa nachádza v ovládači UHCI USB a môže viesť k úniku informácií z procesu VMX. Útočník potrebuje administrátorské oprávnenia vo virtuálnom stroji.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia ESXi na verziu ESXi80U2sb-23305545, ESXi80U1d-23299997, ESXi70U3p-23307199, Workstation na verziu 17.5.1 a Fusion na verziu 13.5.1.

VMware vydala opravy aj na staršie versie ESXi: 6.7U3u, 6.5U3v, VCF 3.x.

Ak nemôžete aktualizovať svoje zariadenia, VJ CSIRT odporúča pre zmiernenie problémov odstrániť radiče USB z virtuálnych počítačov podľa pokynov výrobcu.

Odkazy:

https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-sandbox-escape-flaws-in-esxi-workstation-and-fusion/

https://thehackernews.com/2024/03/vmware-issues-security-patches-for-esxi.html

https://nvd.nist.gov/vuln/detail/CVE-2024-22252

https://nvd.nist.gov/vuln/detail/CVE-2024-22253

https://nvd.nist.gov/vuln/detail/CVE-2024-22254

https://nvd.nist.gov/vuln/detail/CVE-2024-22255

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

]]>
/527/feed 0
Zraniteľnosti v produktoch NAS https://csirt.gov.sk//525 /525#respond Fri, 15 Mar 2024 11:54:29 +0000 /?p=525 Spoločnosť QNAP poukázala na bezpečnostné chyby vo svojich softvérových produktoch NAS vrátane QTS, QuTS hero, QuTScloud a myQNAPcloud, ktoré by mohli autentifikovanému útočníkovi umožniť prístup k zariadeniam. Kritické zraniteľnosti umožňujú obídenie autentifikácie, injektovanie príkazov a injekciu SQL. Zraniteľnosti sa nachádzajú na viac ako 3 miliónoch zariadení, ktoré majú prístup na internet.

Zraniteľné systémy:

  • QTS 5.1.x
  • QTS 4.5.x
  • QuTS hero h5.1.x
  • QuTS hero h4.5.x
  • QuTScloud c5.x
  • myQNAPcloud 1.0.x

Opis činnosti:

CVE-2023-45025 (CVSS skóre 9,0) a CVE-2023-39297 (CVSS skóre 8,8)

Kritické zraniteľnosti CVE-2023-45025 a CVE-2023-39297 sa nachádzajú v operačnom systéme QNAP a umožňujú útočníkovi vykonávanie príkazov. V prípade CVE-2023-39297 je potrebná autentifikácia útočníka.

CVE-2024-21899 (CVSS skóre 9,8), CVE-2024-21900 (CVSS skóre 4,3) a CVE-2024-21901 (CVSS skóre 4,7)

Zraniteľnosti CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901 sa nachádzajú v operačnom systéme QNAP. Úspešné zneužitie CVE-2024-21900 a CVE-2024-21901 umožňuje vzdialenému autentifikovanému útočníkovi vykonávať a injektovať škodlivé príkazy. Chyba CVE-2024-21899 sa týka nesprávneho overovania a môže viesť ku kompromitácii zabezpečenia systému.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vykonávanie príkazov
  • Injektovanie kódu
  • Narušenie integrity

Odporúčania:

Odporúčame bezodkladnú aktualizáciu na verzie:

  • QTS 5.1.3.2578 build 20231110 (opravuje CVE-2023-45025 a CVE-2023-39297)
  • QTS 4.5.4.2627 build 20231225 (opravuje CVE-2023-45025 a CVE-2023-39297)
  • QTS 5.0.1.2273 build 20240314 (opravuje CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901)
  • QuTS hero h5.1.3.2578 build 20231110 (opravuje CVE-2023-45025 a CVE-2023-39297)
  • QuTS hero h4.5.4.2626 build 20231225 (opravuje CVE-2023-45025 a CVE-2023-39297)
  • QuTScloud c5.0.1.2273 build 20240314 (opravuje CVE-2024-21899, CVE-2024-21900 a CVE-2024-21901)
  • myQNAPcloud 1.0.52

Odkazy:

https://nvd.nist.gov/vuln/detail/CVE-2024-21899

https://www.securityweek.com/critical-vulnerability-allows-access-to-qnap-nas-devices/

https://www.bleepingcomputer.com/news/security/qnap-warns-of-critical-auth-bypass-flaw-in-its-nas-devices/

https://www.qnap.com/en/security-advisory/qsa-24-09

https://www.qnap.com/en/security-advisory/qsa-23-47

https://nvd.nist.gov/vuln/detail/CVE-2023-45025

https://nvd.nist.gov/vuln/detail/CVE-2023-39297

https://borncity.com/win/2024/03/12/critical-vulnerability-cve-2024-21899-allows-qnap-nas-access-without-authentication/

https://www.qnap.com/en/security-advisories

https://threatprotect.qualys.com/2024/03/11/qnap-patches-critical-vulnerabilities-impacting-nas-devices-cve-2024-21899-cve-2024-21900-cve-2024-21901/

]]>
/525/feed 0
Kritické zraniteľnosti v produktoch SAP https://csirt.gov.sk//521 /521#respond Fri, 15 Mar 2024 11:52:19 +0000 /?p=521 Spoločnosť SAP vydala v marci 2024 balík opráv pre svoje produkty opravujúcich 10 zraniteľností v aplikáciách Business Client, Build Apps, NetWeaver AS Java a ďalších. 2 z nich sú označené ako kritické. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi eskaláciu privilégií.

Zraniteľné systémy:

  • SAP NetWeaver Administrator AS Java- verzia 7.5
  • Business Client
  • Build Apps- všetky verzie pred verziou 4.9.145

Opis činnosti:

CVE-2024-22127 (CVSS skóre 9,1)

Zraniteľnosť CVE-2024-22127 sa nachádza v rozšírení Log Viewer v aplikácii SAP NetWeaver Administrator AS Java. Chyba umožňuje útočníkovi s vysokými privilégiami nahrávať ľubovoľné súbory, a následne injektovať škodlivé príkazy do systému.

CVE-2019-10744 (CVSS skóre 9,1)

Kritická zraniteľnosť CVE-2019-10744 bola objavená v knižnici lodash, ktorá je používaná v aplikácii Build Apps. Úspešné zneužitie umožňuje neoprávnené vykonávanie príkazov.

Spoločnosť SAP opravila celkovo 29 bezpečnostných chýb, z toho 15 dostalo označenie ako vysoko závažné a 2 chyby sú kritické.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Injektovanie škodlivého kódu
  • Neoprávnené vykonávanie príkazov

Odporúčania:

Bezodkladná aktualizácia aplikácie Build Apps na verziu 4.9.145.

Pre zmiernenie zraniteľnosti CVE-2024-22127 odporúčame pristupovať k NetWeaver Administrator pomocou používateľskej roly ‘NWA_READONLY’ namiesto používateľskej roly ‘Administrators’. Viac informácií o zmiernení zraniteľnosti tu.

Odkazy:

https://nvd.nist.gov/vuln/detail/cve-2019-10744

https://nvd.nist.gov/vuln/detail/CVE-2024-22127

https://www.securityweek.com/sap-patches-critical-command-injection-vulnerabilities/

https://www.cve.org/CVERecord?id=CVE-2024-22127

https://pathlock.com/navigating-sap-security-notes-march-2024-patch-tuesday/

]]>
/521/feed 0