VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#026-2024] [TLP:CLEAR] Sårbarheter i produkter fra Fortinet, Cisco, Citrix, PaperCut, JetBrains og Progress
14-03-2024
JustisCERT ønsker å varsle om sårbarheter i:
- Produkter fra Fortinet. Totalt 8 bulletiner ble publisert 12.03.2024 hvor 2 er kategorisert som kritisk og 3 som alvorlig. De kritiske sårbarhetene berører FortiOS og FortiProxy (CVE-2023-42789 med CVSS-score 9.8) samt FortiClientEMS (CVE-2023-48788 med CVSS-score 9.8). De alvorlige sårbarhetene berører FortiWLM i FortiManager, FortiClientEMS, FortiOS og FortiProxy. Fortinet har publisert oppdateringer til støttede produkter. [1]
- Produkter fra Cisco. Totalt 7 bulletiner ble publisert av Cisco 13.03.2024, hvor 3 er kategorisert som alvorlig (omfatter CVE-2024-20318 med CVSS-score 7.4, CVE-2024-20320 med CVSS-score 7.8 og CVE-2024-20327 med CVSS-score 7.4) og 4 som viktig (omfatter CVE-2024-20262, CVE-2024-20266, CVE-2024-20315, CVE-2024-20319 og CVE-2024-20322 med CVSS-score 4.3 - 6.5). De alvorlige sårbarhetene berører Cisco IOS XR Software (avhengig av hardware og konfigurasjon som benyttes).
Totalt 7 bulletiner ble publisert av Cisco 06.03.2024, hvor 2 er kategorisert som alvorlig (omfatter CVE-2024-20337 med CVSS-score 8.2 og CVE-2024-20338 med CVSS-score 7.3) og 5 som viktig (omfatter CVE-2024-20292, CVE-2024-20301, CVE-2024-20335, CVE-2024-20336, CVE-2024-20345 og CVE-2024-20346 med CVSS-score 4.4 - 6.5). Den alvorlige sårbarheten berører Cisco Secure Client for Linux, macOS og Windows. Merk at Cisco Small Business 100, 300 og 500 Series Wireless Access Points er end of life og vil ikke motta nødvendige oppdateringer.
Cisco har publisert oppdateringer til støttede produkter. [2]
- Produkter fra Citrix. Totalt 2 bulletiner ble publisert av Citrix 12.03.2024, begge er kategorisert som viktig (omfatter CVE-2024-2049, CVE-2023-39368 og CVE-2023-38575). Citrix har publisert nødvendige oppdateringer. [3]
- PaperCut NG/MF. Totalt 7 CVE (CVSS-score 3.1 - 8.6) ble publisert av PaperCut i forbindelse med oppdateringer utgitt 14.03.2024. [4]
- TeamCity fra JetBrains. Totalt 2 CVE ble publisert av TeamCity 04.03.2024, hvor 1 er kategorisert som kritisk (CVE-2024-27198 med CVSS-score 9.8) og 1 som alvorlig (CVE-2024-27199 med CVSS-score 7.3). Sårbarhetene blir aktivt utnyttet. JetBrains har publisert nødvendig oppdatering. [5]
- Progress OpenEdge. Totalt 1 CVE ble publisert av Progress 27.02.2024, kategorisert som kritisk (CVE-2024-1403 med CVSS-score 10.0). Sårbarheten blir aktivt utnyttet. Progress har publisert oppdateringer til støttede produkter. [6]
Berørte produkter er:
- FortiAnalyzer-BigData
- FortiClientEMS
- FortiManager
- FortiOS
- FortiPortal
- FortiProxy
- Cisco IOS XR Software
- Cisco Secure Client for Linux, macOS og Windows
- Cisco Small Business 100, 300, and 500 Series Wireless Access Points (end of life, får ikke oppdatering)
- Cisco Duo Authentication for Windows Logon and RDP
- Cisco AppDynamics Controller < 23.4.0
- Citrix Hypervisor
- Citrix SD-WAN Standard/Premium Editions < 11.4.4.46
- PaperCut NG/MF < 23.0.7, < 22.1.5, < 21.2.14, < 20.1.10
- JetBrains TeamCity < 2023.11.4
- Progress OpenEdge < 12.8.1, < 12.2.14 , < 11.7.19
Anbefalinger:
- Patch/oppdater berørte produkter snarest
- Skru på automatisk oppdatering der det er mulig
- Avinstaller programvare som ikke benyttes
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
- Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
- Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillatt f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
- Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
- Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
- Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
- Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
- Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
- Følg NSM Grunnprinsipper for IKT-sikkerhet [7]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [8]
Kilder:
[1] https://www.fortiguard.com/psirt
[2] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
[3] https://support.citrix.com/securitybulletins
[4] https://www.papercut.com/kb/Main/Security-Bulletin-March-2024
[5] https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now/
[6] https://community.progress.com/s/article/Important-Critical-Alert-for-OpenEdge-Authentication-Gateway-and-AdminServer
[7] https://nsm.no/grunnprinsipper-ikt
[8] https://www.cisa.gov/shields-up