VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#014-2023] [TLP:CLEAR] Sårbarheter i produkter fra SonicWall, Fortinet, Veeam og Cisco

09-03-2023

JustisCERT ønsker å varsle om sårbarheter i:

SonicOS fra SonicWall. Totalt 1 CVE ble publisert 02.03.2023, kategorisert som alvorlig (CVE-2023-0656 med CVSS-score 7.5). SonicWall har publisert oppdateringer til støttede produkter. [1]
Produkter fra Fortinet. Totalt 15 CVE ble publisert 07.03.2023, hvor 1 er kategorisert som kritisk (CVE-2023-25610 med CVSS-score 9.3) og 5 som alvorlig (CVE-2022-40676, CVE-2022-39953, CVE-2022-42476, CVE-2023-25605 og CVE-2022-39951 med CVSS-score til og med 7.8). Fortinet har publisert oppdateringer til støttede produkter. [2]
Veeam Backup & Replication. Totalt 1 CVE ble publisert 07.03.2023, kategorisert som alvorlig (CVE-2023-27532 med CVSS-score 7.5). Veeam har publisert oppdateringer til berørte produkter. [3]
Flere produkter fra Cisco. Totalt 2 CVE ble publisert 08.03.2023, hvor 1 er kategorisert som alvorlig (CVE-2023-20049 med CVSS-score 8.6) og 1 som viktig (CVE-2023-20064 med CVSS-score 4.6). Cisco har publisert oppdateringer til støttede produkter. [4]

Berørte produkter er blant annet:

SonicOS
FortiAnalyzer
FortiAuthenticator
FortiDeceptor
FortiMail
FortiManager
FortiNAC
FortiOS
FortiPortal
FortiProxy
FortiRecorder
FortiSOAR
FortiSwitch
FortiWeb
Veeam Backup & Replication < 11a (build 11.0.1.1261 P20230227)
Veeam Backup & Replication < 12 (build 12.0.0.1420 P20230223)
Cisco ASR 9000 Series Aggregation Services Routers
Cisco ASR 9902 Compact High-Performance Routers
Cisco ASR 9903 Compact High-Performance Routers
Cisco IOS XR White box
Cisco IOS XRv 9000 Routers
Cisco Network Convergence System (NCS) 540 Series Routers
Cisco NCS 560 Series Routers
Cisco NCS 1001 Series Routers
Cisco NCS 1002 Series Routers
Cisco NCS 1004 Series Routers
Cisco NCS 5000 Series Routers
Cisco NCS 5500 Series Routers
Cisco NCS 5700 Series Routers
Cisco NCS 6000 Series Routers

Anbefalinger:

Patch/oppdater berørte produkter snarest
Skru på automatisk oppdatering der det er mulig
Avinstaller programvare som ikke benyttes
Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

Kilder:
[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0004
[2] https://www.fortiguard.com/psirt?date=03-2023
[3] https://www.veeam.com/kb4424
[4] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up