[JustisCERT-varsel] [#047-2022] [TLP:CLEAR] Sårbarheter i produkter fra Citrix, SAP, Fortinet og Cisco

JustisCERT ønsker å varsle om sårbarheter i:

• Citrix Application Delivery Management (ADM) server og agent. Totalt 2 CVE (CVE-2022-27511 og CVE-2022-27512) som blant annet gjør det mulig for en uautentisert angriper å tilbakestille administrator-passord til det løsningen har som standard ved første oppsett. Standard passord er da nsroot for brukerne nsrecover (SSH) og nsroot (GUI). Citrix har publisert oppdateringer til berørte produkter. [1]
• Flere av SAP sine produkter. SAP Security Patch Day for juni 2022 inneholder 10 nye bulletiner med CVSS-score til og med 8.6. SAP har publisert nødvendige oppdateringer. [2]
• Flere produkter fra Fortinet. Totalt 13 CVE (CVE-2022-22305, CVE-2021-22131, CVE-2022-29060, CVE-2022-26113, CVE-2022-22304, CVE-2022-30301 og 7 som berører FortiAnalyzer) med CVSS-score til og med 9.8. Fortinet har publisert oppdateringer til berørte produkter. [3]
• Flere produkter fra Cisco. Totalt 7 CVE, hvor 2 er kritiske (CVE-2022-20798 og CVE-2022-20825), 1 er alvorlig (CVE-2022-20664) og 4 er medium (CVE-2022-20819, CVE-2022-20817, CVE-2022-20736 og CVE-2022-20733) med CVSS-score til og med 9.8. Cisco har publisert oppdateringer til supporterte produkter, men ikke til produkter som er end of life (EOL). [4]

Berørte produkter er blant annet: 

• Citrix Application Delivery Management (ADM) server/agent < 13.1-21.53
• Citrix Application Delivery Management (ADM) server/agent < 13.0-85.19

• SAP NetWeaver og ABAP Platform (CVSS-score 8.6)
• SAP PowerDesigner Proxy (CVSS-score 7.8)
• SAP 3D Visual Enterprise Viewer (CVSS-score 6.5)
• SAP NetWeaver Development Infrastructure (CVSS-score 6.1)
• SAP NetWeaver, ABAP Platform og SAP Host Agent (CVSS-score 5.0)
• SAP ERP, Financials og Hana Core (CVSS-score 5.0)
• SAP Adaptive Server Enterprise (ASE) (CVSS-score 3.2-5.0)
• SAP NetWeaver AS ABAP, AS Java, ABAP Platform og HANA Database (CVSS-score 4.9)
• SAP NetWeaver Developer Studio (CVSS-score 3.4)

• FortiAnalyzer (CVSS-score til og med 9.8)
• FortiSandbox (CVSS-score 5.8)
• FortiOS (CVSS-score 5.8)
• FortiManager  (CVSS-score 5.8)
• FortiTokenAndroid (CVSS-score 6.1)
• FortiTokenIOS (CVSS-score 6.1)
• FortiDDoS (CVSS-score 7.8)
• FortiClientWindows (CVSS-score 7.5)
• FortiAuthenticator (CVSS-score 6.1)
• FortiAP-U (CVSS-score 7.4)

• Cisco Email Security Appliance (CVSS-score 7.7-9.8)
• Cisco Secure Email and Web Manager (CVSS-score 7.7-9.8)
• Cisco Small Business RV110W, RV130, RV130W og RV215W routere (CVSS-score 9.8) (NB! Blir ikke oppdatert da produktene er EOL)
• Cisco Identity Services Engine (CVSS-score 5.3-6.5)
• Cisco IP Phone (CVSS-score 7.4)
• Cisco AppDynamics Controller (CVSS-score 5.3)

Anbefalinger:

• Avinstaller programvare som ikke benyttes
• Patch/oppdater berørte produkter
• Skru på automatisk oppdatering der det er mulig
• Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
• Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
• Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
• Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
• Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
• Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
• Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

Kilder:
[1] https://support.citrix.com/article/CTX460016
[2] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[3] https://www.fortiguard.com/psirt?date=06-2022
[4] https://tools.cisco.com/security/center/publicationListing.x
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up