TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#036-2022] [TLP:HVIT] Sårbarheter i produkter fra Aruba, Cisco, F5, VMware og Fortinet

05-05-2022

JustisCERT ønsker å varsle om sårbarheter i:

  • Flere Aruba-switcher. Totalt 2 CVE hvor begge er kategorisert som kritiske (CVE-2022-23676 og CVE-2022-23677) med CVSS-score til og med 9.1. Sårbarhetene gjør det mulig for en angriper å kjøre vilkårlig kode på en berørt enhet. [1]
  • Cisco Enterprise NFVIS. Totalt 3 CVE hvor alle er kategorisert som kritiske (CVE-2022-20777, CVE-2022-20779 og CVE-2022-20780) med CVSS-score til og med 9.9. Sårbarhetene gjør det mulig for en angriper å flytte seg fra en virtuelle maskin (VM) til vertsmaskinen (guest-to-host escape) og få uautorisert rotnivåtilgang på vertsmaskinen. Cisco har publisert nødvendige oppdateringer. [2]
  • Flere produkter fra F5. Totalt 43 CVE hvor 1 er kategorisert som kritisk (CVE-2022-1388 med CVSS-score 9.8) og 17 alvorlig. Den kritiske sårbarheten berører F5 BIG-IP og gjør det mulig for en uautentisert bruker med nettverkstilgang (via management-interfacet) å kjøre vilkårlig kode. F5 har publisert oppdateringer til alle berørte produkter. [3]
  • VMware Cloud Director. Totalt 1 CVE som er kategorisert som kritisk (CVE-2022-22966 med CVSS-score 9.1). Sårbarheten gjør det mulig for en autentisert angriper med tilgang til VMware Cloud director tenanten å fjernkjøre kode for å få tilgang til serveren. VMware har publisert nødvendige oppdateringer. [4]
  • Flere produkter fra Fortinet. Totalt 14 CVE med CVSS-score til og med 9.0. Fortinet har publisert oppdateringer til berørte produkter. [5]

 


Berørte produkter er blant annet:

  • Aruba 5400R Series Switches 
  • Aruba 3810 Series Switches 
  • Aruba 2920 Series Switches 
  • Aruba 2930F Series Switches 
  • Aruba 2930M Series Switches 
  • Aruba 2530 Series Switches
  • Aruba 2540 Series Switches

 

  • Cisco Enterprise NFVIS < 4.7.1

 

  • F5 Access for Android
  • F5 BIG-IP
  • F5 BIG-IQ Centralized Management
  • F5 F5OS-A
  • F5 NGINX Service Mesh
  • F5 NGINX App Protect
  • F5 Traffix SDC

 

  • VMware VMware Cloud Director < 10.3.3
  • VMware VMware Cloud Director < 10.2.2.3
  • VMware VMware Cloud Director < 10.1.4.1

 

  • FortiClientWindows
  • FortiIsolator
  • FortiNAC
  • FortiOS
  • FortiProxy
  • FortiSOAR
  • FortiFone

 


Anbefalinger:

  • Patch/oppdater berørte produkter
  • Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Deaktiver utdaterte/usikre kommunikasjonsmetoder (som blant annet Telnet, FTP, SNMP v1 og v2, LLMNR, HTTP, SMBv1 og v2)
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig slik at angrepsflaten begrenses mest mulig
  • Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
  • Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [6]

 


Kilder:
[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt
[2] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX9
[3] https://support.f5.com/csp/article/K55879220
[4] https://www.vmware.com/security/advisories/VMSA-2022-0013.html
[5] https://www.fortiguard.com/psirt?date=05-2022
[6] https://nsm.no/grunnprinsipper-ikt