VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#044-2021] [TLP:CLEAR] Sårbarheter i produkter fra Zyxel og Cisco er under aktiv utnyttelse

28-06-2021

JustisCERT ønsker å varsle om flere sårbarheter: 

  • En sårbarhet på Zyxel-enheter som har eksponert admingrensesnitt eller har SSL VPN aktivert [1]. Sårbarheten tillater angriper å omgå autentisering og utføre konfigurasjonsendringer på enheten. Sårbarheten er ifølge Zyxel (24.06.2021) under aktiv utnyttelse. Zyxel oppfordrer alle til å oppdatere berørte produkter samt sikre løsningene best mulig [2].
  • En tidligere varslet XSS sårbarhet i Cisco ASA (CVSS 6.1) [3] er under aktiv utnyttelse. En bruker på en Cisco ASA enhet kan ved å bli utsatt for målrettet phishing eller trykke på en ondsinnede lenke, tillate angriper å eksekvere JavaScript kommandoer i brukerens nettleser. En vellykket utnyttelse kan tillate angriper å kjøre vilkårlig kode for å få tilgang sensitiv informasjon fra den eksponerte brukers nettleser. Cisco har publisert oppdateringer til de berørte produktene.
  • En kritisk sårbarhet i Cisco HyperFlex HX (CVSS 9.8) [4]. Sårbarheten tillater angriper å omgå autentisering og kjøre vilkårlig kode som root. Cisco har publisert oppdateringer til de berørte produktene.


Berørte produkter er:

  • Zyxel USG/ZyWALL
  • Zyxel USG FLEX
  • Zyxel ATP
  • Zyxel VPN med ZLD firmware
     
  • Cisco ASA ≤ 9.6.x (oppgrader til støttet versjon)
  • Cisco ASA 9.7.x (oppgrader til støttet versjon)
  • Cisco ASA < 9.8.4.34
  • Cisco ASA < 9.9.2.85
  • Cisco ASA 9.10.x (oppgrader til støttet versjon)
  • Cisco ASA < 9.12.4.13
  • Cisco ASA < 9.13.1.21
  • Cisco ASA < 9.14.2.8
  • Cisco ASA < 9.15.1.15
  • Cisco FTD < 6.4.0.12
  • Cisco FTD 6.5.x (oppgrader til støttet versjon)
  • Cisco FTD < 6.6.4
  • Cisco FTD < 6.7.0.2
  • Cisco HyperFlex HX < 4 (oppgrader til støttet versjon)
  • Cisco HyperFlex HX < 4.0(2e)
  • Cisco HyperFlex HX < 4.5(2a)

 

 

Anbefalinger:

  • Patch/oppdater berørte produkter
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Ikke eksponer admingrensesnitt mot internett
  • Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
  • Aktiver IPS-signaturer/Geo-blokking/annen beskyttelse i brannmurer som kan bidra til å beskytte internetteksponerte løsninger
  • Prioriter systemer som kan nås fra internett først samt servere/tjenester som er viktige for virksomheten

 

 

Kilder:
[1] https://thehackernews.com/2021/06/watch-out-zyxel-firewalls-and-vpns.html
[2] https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-attacks-against-security-appliances
[3] https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-asaftd-xss-multiple-FCB3vPZe.html#fs
[4] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR