TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#047-2022] [TLP:HVIT] Sårbarheter i produkter fra Citrix, SAP, Fortinet og Cisco

16-06-2022

JustisCERT ønsker å varsle om sårbarheter i:

  • Citrix Application Delivery Management (ADM) server og agent. Totalt 2 CVE (CVE-2022-27511 og CVE-2022-27512) som blant annet gjør det mulig for en uautentisert angriper å tilbakestille administrator-passord til det løsningen har som standard ved første oppsett. Standard passord er da nsroot for brukerne nsrecover (SSH) og nsroot (GUI). Citrix har publisert oppdateringer til berørte produkter. [1]
  • Flere av SAP sine produkter. SAP Security Patch Day for juni 2022 inneholder 10 nye bulletiner med CVSS-score til og med 8.6. SAP har publisert nødvendige oppdateringer. [2]
  • Flere produkter fra Fortinet. Totalt 13 CVE (CVE-2022-22305, CVE-2021-22131, CVE-2022-29060, CVE-2022-26113, CVE-2022-22304, CVE-2022-30301 og 7 som berører FortiAnalyzer) med CVSS-score til og med 9.8. Fortinet har publisert oppdateringer til berørte produkter. [3]
  • Flere produkter fra Cisco. Totalt 7 CVE, hvor 2 er kritiske (CVE-2022-20798 og CVE-2022-20825), 1 er alvorlig (CVE-2022-20664) og 4 er medium (CVE-2022-20819, CVE-2022-20817, CVE-2022-20736 og CVE-2022-20733) med CVSS-score til og med 9.8. Cisco har publisert oppdateringer til supporterte produkter, men ikke til produkter som er end of life (EOL). [4]

 


Berørte produkter er blant annet: 

  • Citrix Application Delivery Management (ADM) server/agent < 13.1-21.53
  • Citrix Application Delivery Management (ADM) server/agent < 13.0-85.19

 

  • SAP NetWeaver og ABAP Platform (CVSS-score 8.6)
  • SAP PowerDesigner Proxy (CVSS-score 7.8)
  • SAP 3D Visual Enterprise Viewer (CVSS-score 6.5)
  • SAP NetWeaver Development Infrastructure (CVSS-score 6.1)
  • SAP NetWeaver, ABAP Platform og SAP Host Agent (CVSS-score 5.0)
  • SAP ERP, Financials og Hana Core (CVSS-score 5.0)
  • SAP Adaptive Server Enterprise (ASE) (CVSS-score 3.2-5.0)
  • SAP NetWeaver AS ABAP, AS Java, ABAP Platform og HANA Database (CVSS-score 4.9)
  • SAP NetWeaver Developer Studio (CVSS-score 3.4)

 

  • FortiAnalyzer (CVSS-score til og med 9.8)
  • FortiSandbox (CVSS-score 5.8)
  • FortiOS (CVSS-score 5.8)
  • FortiManager  (CVSS-score 5.8)
  • FortiTokenAndroid (CVSS-score 6.1)
  • FortiTokenIOS (CVSS-score 6.1)
  • FortiDDoS (CVSS-score 7.8)
  • FortiClientWindows (CVSS-score 7.5)
  • FortiAuthenticator (CVSS-score 6.1)
  • FortiAP-U (CVSS-score 7.4)

 

  • Cisco Email Security Appliance (CVSS-score 7.7-9.8)
  • Cisco Secure Email and Web Manager (CVSS-score 7.7-9.8)
  • Cisco Small Business RV110W, RV130, RV130W og RV215W routere (CVSS-score 9.8) (NB! Blir ikke oppdatert da produktene er EOL)
  • Cisco Identity Services Engine (CVSS-score 5.3-6.5)
  • Cisco IP Phone (CVSS-score 7.4)
  • Cisco AppDynamics Controller (CVSS-score 5.3)

 


Anbefalinger:

  • Avinstaller programvare som ikke benyttes
  • Patch/oppdater berørte produkter
  • Skru på automatisk oppdatering der det er mulig
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
  • Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
  • Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

 


Kilder:
[1] https://support.citrix.com/article/CTX460016
[2] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[3] https://www.fortiguard.com/psirt?date=06-2022
[4] https://tools.cisco.com/security/center/publicationListing.x
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up