TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#015-2022] [TLP:CLEAR] Sårbarheter i produkter fra Cisco og Adobe

18-02-2022

JustisCERT ønsker å varsle om sårbarheter i:

 • Flere produkter fra Cisco. Totalt 3 CVEer (CVE-2022-20653, CVE-2022-20659 og CVE-2022-20750) med CVSS-score til og med 7.5. Cisco har publisert oppdateringer til berørte produkter. [1]
 • Adobe Commerce/Magento Open Source. Totalt 1 CVE (CVE-2022-24087 med CVSS-score 9.8). Adobe har oppdatert bulletin fra 13. februar med informasjon om CVE-2022-24087 og oppdateringer til berørte produkter er tilgjengelig. [2]

 


Berørte produkter er: 

 • Cisco ESA (AsyncOS) med DANE aktivert
 • Cisco Prime Infrastructure og Cisco EPN Manager
 • Cisco RCM for Cisco StarOS Software
 • Adobe Commerce/Magento Open Source

 


Anbefalinger:

 • Patch/oppdater berørte produkter
 • Avinstaller programvare som ikke benyttes
 • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
 • Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
 • Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
 • Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
 • Aktiver IPS-signaturer/Geo-blokking/annen beskyttelse i brannmurer som kan bidra til å beskytte internetteksponerte løsninger

 


Kilder:
[1] https://tools.cisco.com/security/center/publicationListing.x
[2] https://helpx.adobe.com/security/products/magento/apsb22-12.html