SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#022-2022] [TLP:CLEAR] Sårbarheter i produkter fra HP, Mozilla, Linux, Citrix, SAP og APC

11-03-2022

JustisCERT ønsker å varsle om sårbarheter i:

  • HP UEFI/BIOS. Totalt 16 CVEer (CVE-2021-39298, CVE-2021-23932, CVE-2021-23933, CVE-2021-23924, CVE-2021-23925, CVE-2021-23926, CVE-2021-23927, CVE-2021-23928, CVE-2021-23929, CVE-2021-23930, CVE-2021-23931, CVE-2021-23934, CVE-2021-39297, CVE-2021-39299, CVE-2021-39300 og CVE-2021-39301) med CVSS-score til og med 8.8. HP har publisert oppdateringer til enkelte av de berørte produktene. [1][2]
  • Mozilla Firefox, Focus og Thunderbird. Totalt 10 CVEer der 2 er nulldagssårbarheter kategorisert som kritiske (CVE-2022-26485 og CVE-2022-26486). Disse blir ifølge Mozilla aktivt utnyttet i angrep. Mozilla har publisert oppdateringer til berørte produkter. [3]
  • Linux-kjernen. Sårbarheten berører dermed svært mange systemer (f.eks. Android, Red Hat, Ubuntu, Debian, Suse og mange flere). Sårbarheten har fått navnet «Dirty Pipe» (CVE-2022-0847 med CVSS-score 7.8) og utnyttelse krever at angriper har terminaltilgang (shell) til et sårbart system. Sårbarheten utnytter måten Linux-pipes kjedes sammen og gjør det mulig å skrive over områder man vanligvis ikke ville hatt skrivetilgang til, som for eksempel /etc/password. Utnyttelse kan dermed gi en vanlig bruker root-tilgang. [4][5]
  • Citrix Hypervisor, Citrix XenServer og Citrix Virtual Apps and Desktops. Totalt 2 CVEer (CVE-2022-26355 og CVE-2021-26401). Citrix har publisert oppdateringer til berørte produkter. [6][7]
  • Flere av SAP sine produkter. SAP Security Patch Day for mars 2022 inneholder 12 nye bulletiner, med CVSS-score til og med 10.0. [8]
  • APC Smart-UPS og APC SmartConnect produkter. Totalt 3 CVEer, 2 er kategorisert som kritiske (CVE-2022-22805 og CVE-2022-22806, begge med CVSS-score 9.0) og en som alvorlig (CVE-2022-0715 med CVSS-score 8.9). En angriper kan utnytte sårbarhetene for å ta kontroll over berørte enheter og til å overbelaste de slik at de tar fyr. Schneider Electric har publisert oppdateringer til berørte produkter. [9][10]

 


Berørte produkter er blant annet: 

  • HP Business Notebooks
  • HP Business Desktop
  • HP POS systemer
  • HP Workstations
  • HP Thin Clients
  • HP Immersive
  • HP Home Notebooks
  • HP Home Desktops

 

  • Firefox < 98.0
  • Firefox ESR < 91.7
  • Firefox og Firefox Focus for Android < 98.1.1
  • Firefox og Firefox Focus for iOS/iPadOS < 98.0
  • Thunderbird < 91.7

 

  • PCer, servere, mobiler, nettbrett, appliance-bokser, IOT-enheter og andre systemer med 
    • Linux kernel < 5.16.11
    • Linux kernel < 5.15.25
    • Linux kernel < 5.10.102

 

  • Citrix Hypervisor
  • Citrix XenServer
  • Citrix Virtual Apps and Desktops

 

  • SAP Work Manager
  • SAP Inventory Manager 
  • SAP Simple Diagnostics Agent
  • SAP Fiori Launchpad
  • SAP NetWeaver Enterprise Portal
  • SAP Financial Consolidation
  • SAP NetWeaver Application Server for ABAP
  • SAP Focused Run
  • SAP Business Objects Business Intelligence Platform
  • SAP SAPCAR
  • SAP NetWeaver AS JAVA

 

  • APC Smart-UPS/SmartConnect SMT, SMC, SMX, SCL, SMTL og SRT seriene

 


Anbefalinger:

  • Patch/oppdater berørte produkter
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
  • Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
  • Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger

 


Kilder:
[1] https://support.hp.com/us-en/document/ish_5817864-5817896-16
[2] https://support.hp.com/us-en/document/ish_5661066-5661090-16
[3] https://www.mozilla.org/en-US/security/advisories/
[4] https://nvd.nist.gov/vuln/detail/CVE-2022-0847
[5] https://dirtypipe.cm4all.com/
[6] https://support.citrix.com/article/CTX341586
[7] https://support.citrix.com/article/CTX341587
[8] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[9] https://thehackernews.com/2022/03/critical-bugs-could-let-attackers.html
[10] https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-067-02