SØK
VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#010-2026] [TLP:CLEAR] Sårbarheter i produkter fra WatchGuard, Cisco, F5 og hos Notepad++ sin tidligere hostingleverandør

04-02-2026

JustisCERT ønsker å varsle om sårbarheter i:

  • WatchGuard Firebox Fireware OS. Totalt 1 CVE ble publisert av WatchGuard den 29.01.2026, kategorisert som alvorlig (CVE-2026-1498 med CVSS-score 7.0). WatchGuard har publisert oppdateringer til støttede produkter. [1]
     
  • Produkter fra Cisco. Totalt 5 CVE ble publisert av Cisco den 04.02.2026, hvor 2 er kategorisert som alvorlig (CVE-2026-20119 med CVSS-score 7.5 og CVE-2026-20098 med CVSS-score 8.8) og 3 som viktig (CVE-2026-20056, CVE-2026-20111 og CVE-2026-20123). Cisco har publisert oppdateringer til støttede produkter. [2]
     
  • Produkter fra F5. Totalt 5 CVE ble publisert i F5 sin kvartalsvise sikkerhetsoppdatering den 04.02.2026, hvor 3 er kategorisert som viktig (2026-22548, CVE-2026-1642 og 2026-22549). F5 har publisert oppdateringer til støttede produkter. [3]
     
  • Hostingserver tidligere benyttet av Notepad++. 02.02.2026 ble det kjent at i juni 2025 ble en av serverne hos Notepad++ sin daværende hostingleverandør kompromittert. Angriper hadde, frem til de ble kastet ut den 02.12.2025, mulighet til å omdirigere oppdateringsforespørslene sendt fra Notepad++ (som går til https://notepad-plus-plus.org/update/getDownloadUrl.php) og kunne isteden levere ønsket skadevare. Det er kjent at bakdøren Chrysalis (attribuert til den kinesiske gruppen "Lotus Blossom") er blitt levert til det som beskrives som et mindre antall målrettede virksomheter og privatpersoner i bestemte land, Norge er ikke et av landene som er nevnt.

    Notepad++ har byttet til en annen hostingleverandør og har innført flere sikkerhetsmekanismer i nyere versjoner av sin programvare for å hindre tilsvarende forsyningskjedeangrep. Notepad++ anbefaler at alle installasjoner som benyttes oppdateres til v8.9.1 (eller nyere) og installasjoner som ikke benyttes avinstalleres. Notepad++ har publisert nødvendige oppdateringer og aktuelle kilder som lister opp kjente indikatorer for kompromittering. [4]

 


Berørte produkter er:

  • WatchGuard Firebox Fireware OS < 2026.1
  • WatchGuard Firebox Fireware OS < 12.11.7
  • WatchGuard Firebox Fireware OS for T15 og T35 < 12.5.16
     
  • Cisco AsyncOS for Cisco Secure Web Appliance < 15.2.5-011
  • Cisco Evolved Programmable Network Manager (EPNM) < 8.1.1
  • Cisco Meeting Management < 3.12.1 MR
  • Cisco Prime Infrastructure < 3.10.6 Security Update 02
  • Cisco RoomOS on-prem < 11.32.3.0
  • Cisco RoomOS on-prem < 11.27.5.0
  • Cisco RoomOS cloud < December 2025
  • Cisco RoomOS cloud < October 2025
  • Cisco TelePresence CE og RoomOS on-prem 10.x og eldre (end of life, mottar ikke nødvendig oppdatering)
     
  • F5 BIG-IP (all modules)
  • F5 BIG-IP Advanced WAF/ASM
  • F5 BIG-IP APM
  • F5 BIG-IP APM Clients
  • F5 BIG-IP Container Ingress Services for Kubernetes and OpenShift
  • F5 NGINX Gateway Fabric
  • F5 NGINX Ingress Controller
  • F5 NGINX Instance Manager
  • F5 NGINX Open Source
  • F5 NGINX Plus
     
  • Notepad++ < 8.9.1

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk phishing-resistent multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillatt f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

 


Kilder:
[1] https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2026-00001
[2] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
[3] https://my.f5.com/manage/s/article/K000159076
[4] https://notepad-plus-plus.org/news/hijacked-incident-info-update/
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up