TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#080-2022] [TLP:CLEAR] Kritiske sårbarheter i produkter fra Citrix og VMware, alvorlige sårbarheter i Aruba EdgeConnect Enterprise Orchestrator samt Firefox og Chromium-baserte nettlesere

14-12-2022

JustisCERT ønsker å varsle om sårbarheter i:

Citrix Gateway og Citrix ADC som er konfigurert til å benytte SAML SP eller SAML IdP. Totalt 1 CVE publisert 13. desember 2022, kategorisert som kritisk (CVE-2022-27518). Citrix opplyser at sårbarheten er observert aktivt utnyttet og anbefaler å oppgradere berørte produkter så raskt som mulig. [1][2]
Flere produkter fra VMware. Totalt 5 CVE publisert 13. desember 2022, hvor 3 er kategorisert som kritisk (CVE-2022-31705, CVE-2022-31702 og CVE-2022-31703 med CVSS-score til og med 9.8) og 2 som alvorlig. VMware har publisert oppdateringer til supporterte produkter. [3]
Aruba EdgeConnect Enterprise Orchestrator. Totalt 13 CVE publisert 13. desember 2022, hvor 8 er kategorisert som alvorlig (CVSS-Score til og med 8.8). Aruba har publisert oppdateringer til berørte produkter. [4]
Mozilla Firefox, Firefox ESR og Thunderbird. Totalt 11 CVE ble publisert 13. desember 2022, hvor 6 er kategorisert som alvorlig. Mozilla har publisert oppdateringer til berørte produkter. [5]
Chromium-baserte nettlesere. Totalt 8 sårbarheter er rettet av Google i «Stable Channel Update for Desktop, 13. desember 2022» for Windows, Mac og Linux. 4 av sårbarhetene er kategorisert som alvorlig. Vær oppmerksom på at selv om feilene nå er rettet i Google Chrome så tar det gjerne noe tid før andre Chromium-baserte nettlesere får nødvendig oppdatering. [6]

Berørte produkter er blant annet:

Chromium-baserte nettlesere (blant annet Google Chrome, Microsoft Edge Chromium, Brave, Opera, Vivaldi)

Anbefalinger:

Avinstaller programvare som ikke benyttes
Patch/oppdater berørte produkter
Skru på automatisk oppdatering der det er mulig
Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift
Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
Følg NSM Grunnprinsipper for IKT-sikkerhet [7]
Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [8]