TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#046-2024] [TLP:CLEAR] Sårbarheter i produkter fra Fortinet og HPE Aruba Networking

15-05-2024

JustisCERT ønsker å varsle om sårbarheter i:

Produkter fra Fortinet. Totalt 17 bulletiner (omfatter 20 CVE) ble publisert av FortiGuard Labs den 14.05.2024, hvor 4 er kategorisert som alvorlig (omfatter CVE-2024-23105, CVE-2024-21760, CVE-2024-23667, CVE-2024-23668, CVE-2024-23669, CVE-2024-23670 og CVE-2024-31491 med CVSS-score 7.1 - 8.6). De alvorlige sårbarhetene berører FortiPortal, FortiSOAR, FortiWebManager og FortiSandbox. Fortinet har publisert oppdateringer til støttede produkter. [1]
HPE Aruba Access Points. Totalt 18 CVE ble publisert av HPE Aruba Networking den 14.05.2024, hvor 8 er kategorisert som kritisk (CVE-2024-31466, CVE-2024-31467, CVE-2024-31468, CVE-2024-31469, CVE-2024-31470, CVE-2024-31471, CVE-2024-31472 og CVE-2024-31473, alle med CVSS-score 9.8). HPE Aruba har publisert oppdateringer til støttede produkter. [2]

Berørte produkter er:

Fortinet FortiADC
Fortinet FortiAuthenticator
Fortinet FortiNAC
Fortinet FortiOS
Fortinet FortiPAM
Fortinet FortiPortal
Fortinet FortiProxy
Fortinet FortiSandbox
Fortinet FortiSOAR
Fortinet FortiSwitchManager
Fortinet FortiVoice
Fortinet FortiWeb
Fortinet FortiWebManager
HPE Aruba ArubaOS < 10.6.0.0
HPE Aruba ArubaOS < 10.5.1.1
HPE Aruba ArubaOS < 10.4.1.1
HPE Aruba InstantOS < 8.12.0.0
HPE Aruba InstantOS < 8.11.2.2
HPE Aruba InstantOS < 8.10.0.11
HPE Aruba InstantOS < 8.6.0.24
HPE Aruba ArubaOS 10.3.x.x (End of Maintenance, får ikke oppdatering)
HPE Aruba InstantOS 8.9.x.x (End of Maintenance, får ikke oppdatering)
HPE Aruba InstantOS 8.8.x.x (End of Maintenance, får ikke oppdatering)
HPE Aruba InstantOS 8.7.x.x (End of Maintenance, får ikke oppdatering)
HPE Aruba InstantOS 8.5.x.x (End of Maintenance, får ikke oppdatering)
HPE Aruba InstantOS 8.4.x.x (End of Maintenance, får ikke oppdatering)
HPE Aruba InstantOS 6.5.x.x (End of Maintenance, får ikke oppdatering)
HPE Aruba InstantOS 6.4.x.x (End of Maintenance, får ikke oppdatering)

Anbefalinger:

Patch/oppdater berørte produkter snarest
Skru på automatisk oppdatering der det er mulig
Avinstaller programvare som ikke benyttes
Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillatt f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
Følg NSM Grunnprinsipper for IKT-sikkerhet [3]
Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [4]

Kilder:
[1] https://www.fortiguard.com/psirt
[2] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2024-006.txt
[3] https://nsm.no/grunnprinsipper-ikt
[4] https://www.cisa.gov/shields-up