LOGG INNTRUSSELVURDERING (TLP:CLEAR)
[JustisCERT-varsel] [#036-2022] [TLP:CLEAR] Sårbarheter i produkter fra Aruba, Cisco, F5, VMware og Fortinet
05-05-2022
JustisCERT ønsker å varsle om sårbarheter i:
- Flere Aruba-switcher. Totalt 2 CVE hvor begge er kategorisert som kritiske (CVE-2022-23676 og CVE-2022-23677) med CVSS-score til og med 9.1. Sårbarhetene gjør det mulig for en angriper å kjøre vilkårlig kode på en berørt enhet. [1]
- Cisco Enterprise NFVIS. Totalt 3 CVE hvor alle er kategorisert som kritiske (CVE-2022-20777, CVE-2022-20779 og CVE-2022-20780) med CVSS-score til og med 9.9. Sårbarhetene gjør det mulig for en angriper å flytte seg fra en virtuelle maskin (VM) til vertsmaskinen (guest-to-host escape) og få uautorisert rotnivåtilgang på vertsmaskinen. Cisco har publisert nødvendige oppdateringer. [2]
- Flere produkter fra F5. Totalt 43 CVE hvor 1 er kategorisert som kritisk (CVE-2022-1388 med CVSS-score 9.8) og 17 alvorlig. Den kritiske sårbarheten berører F5 BIG-IP og gjør det mulig for en uautentisert bruker med nettverkstilgang (via management-interfacet) å kjøre vilkårlig kode. F5 har publisert oppdateringer til alle berørte produkter. [3]
- VMware Cloud Director. Totalt 1 CVE som er kategorisert som kritisk (CVE-2022-22966 med CVSS-score 9.1). Sårbarheten gjør det mulig for en autentisert angriper med tilgang til VMware Cloud director tenanten å fjernkjøre kode for å få tilgang til serveren. VMware har publisert nødvendige oppdateringer. [4]
- Flere produkter fra Fortinet. Totalt 14 CVE med CVSS-score til og med 9.0. Fortinet har publisert oppdateringer til berørte produkter. [5]
Berørte produkter er blant annet:
- Aruba 5400R Series Switches
- Aruba 3810 Series Switches
- Aruba 2920 Series Switches
- Aruba 2930F Series Switches
- Aruba 2930M Series Switches
- Aruba 2530 Series Switches
- Aruba 2540 Series Switches
- Cisco Enterprise NFVIS < 4.7.1
- F5 Access for Android
- F5 BIG-IP
- F5 BIG-IQ Centralized Management
- F5 F5OS-A
- F5 NGINX Service Mesh
- F5 NGINX App Protect
- F5 Traffix SDC
- VMware VMware Cloud Director < 10.3.3
- VMware VMware Cloud Director < 10.2.2.3
- VMware VMware Cloud Director < 10.1.4.1
- FortiClientWindows
- FortiIsolator
- FortiNAC
- FortiOS
- FortiProxy
- FortiSOAR
- FortiFone
Anbefalinger:
- Patch/oppdater berørte produkter
- Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Deaktiver utdaterte/usikre kommunikasjonsmetoder (som blant annet Telnet, FTP, SNMP v1 og v2, LLMNR, HTTP, SMBv1 og v2)
- Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig slik at angrepsflaten begrenses mest mulig
- Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
- Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Følg NSM Grunnprinsipper for IKT-sikkerhet [6]
Kilder:
[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX9
[3] https://support.f5.com/csp/article/K55879220
[4] https://www.vmware.com/security/advisories/VMSA-2022-0013.html
[5] https://www.fortiguard.com/psirt?date=05-2022
[6] https://nsm.no/grunnprinsipper-ikt