VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#007-2023] [TLP:CLEAR] Alvorlige sårbarheter i produkter fra Zyxel, OpenSSL, Aruba og Apple

14-02-2023

JustisCERT ønsker å varsle om sårbarheter i:

  • Zyxel brannmur-produkter. Totalt 1 CVE ble publisert 7. februar 2023, kategorisert som alvorlig (CVE-2022-38547 med CVSS-score 7.2). Zyxel har publisert oppdateringer til berørte produkter. [1]
  • OpenSSL. Totalt 8 CVE ble publisert 7. februar 2023, hvor 1 er kategorisert som alvorlig (CVE-2023-0286). OpenSSL har publisert oppdateringer til berørte produkter. Vær oppmerksom på at OpenSSL er et mye brukt bibliotek for kryptering av nettverkstrafikk. Mange produkter som benytter OpenSSL (f.eks. webløsninger, VPN, proxyer, brannmurer, ulike appliance-enheter osv) ikke kan oppdateres direkte fra OpenSSL. Følg derfor med på om produkter/løsninger som virksomheten benytter er berørt og installer nødvendige oppdateringer dersom produsent/leverandør publiserer dette fremover. [2]
  • Flere produkter fra Aruba. Totalt 4 CVE ble publisert 8. februar 2023 hvor 1 er kategorisert som alvorlig (CVE-2023-0286). Aruba har ikke publisert oppdateringer til berørte produkter enda. [3]
  • Flere Apple-produkter. Totalt 3 CVE ble publisert 13. februar 2023. Apple har blant annet rettet 0-dagssårbarheten CVE-2023-23529. [4]

 


Berørte produkter er blant annet: 

  • Zyxel ATP < 5.35
  • Zyxel USG FLEX < 5.35
  • Zyxel VPN < 5.35
  • Zyxel ZyWALL/USG < 4.73
     
  • OpenSSL < 3.0.8
  • OpenSSL < 1.1.1t (end of life 11. September 2023, oppgrader til 3.0.8)
  • OpenSSL < 1.0.2zg (end of life, oppgrader til 3.0.8)
  • Software, operativsystem, appliance-løsninger osv som benytter OpenSSL
     
  • Aruba AirWave Management Platform
  • Aruba Analytics and Location Engine
  • Aruba Central On-Premises (COP)
  • Aruba ClearPass Policy Manager
  • Aruba Fabric Composer (AFC) 
  • Aruba Plexxi Composable Fabric Manager (CFM)
  • ArubaOS-CX Switches
  • ArubaOS Wi-Fi Controllers and Gateways
  • ArubaOS SD-WAN Gateways
  • Aruba InstantOS 
  • Aruba Access Points med ArubaOS 10
  • Aruba EdgeConnect Enterprise
  • Aruba EdgeConnect Enterprise Orchestrator (on prem)
     
  • Apple iOS og iPadOS < 16.3.1
  • Apple Safari (macOS Big Sur og macOS Monterey) < 16.3
  • Apple macOS Ventura < 13.2.1
  • Apple macOS Big Sur < 11.7.4
  • Apple tvOS < 16.3.2
  • Apple watchOS < 9.3.1

 


Anbefalinger:

  • Avinstaller programvare som ikke benyttes
  • Patch/oppdater berørte produkter
  • Skru på automatisk oppdatering der det er mulig
  • Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Revider sentrale brannmurregler og verifiser at kun helt nødvendig utgående/inngående trafikk er tillatt, ingen ting annet
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
  • Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
  • Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

 


Kilder:
[1] https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-rce-in-firewalls
[2] https://www.openssl.org/news/secadv/20230207.txt
[3] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-001.txt
[4] https://support.apple.com/en-gb/HT201222
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up