TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#060-2022] [TLP:HVIT] Sårbarheter i produkter fra Cisco og Fortinet

08-09-2022

JustisCERT ønsker å varsle om sårbarheter i:

  • Flere produkter fra Cisco. Totalt 4 CVE, hvor 2 er alvorlig (CVE-2022-20696 og CVE-2022-28199 med CVSS-score til og med 8.6) og 2 er viktig (CVE-2022-20863 og CVE-2022-20923 med CVSS-score til og med 4.3). Cisco har også publisert informasjon om anbefalt konfigurasjon av Cisco Meraki MR Splash Page/Captive Portal access control. Vær oppmerksom på at sårbarheter i Cisco Small Business RV110W, RV130, RV130W og RV215W ikke blir rettet da produktene er end of life (EOL). Cisco har ikke publisert oppdateringer til alle supporterte produkter enda. [1][2]

 

  • Flere produkter fra Fortinet. Totalt 12 CVE er rettet, hvor 1 er alvorlig (CVE-2022-29058 med CVSS-score 7.6) og 9 er viktig (CVE-2021-43076, CVE-2022-26114, CVE-2022-38377, CVE-2022-27491, CVE-2021-43080, CVE-2022-29061, CVE-2022-29062, CVE-2022-30298 og CVE-2022-35847 med CVSS-score til og med 6.8). Fortinet har publisert oppdateringer til supporterte produkter. [3]

 


Berørte produkter er blant annet: 

  • Cisco SD-WAN vManage < 20.9.1
  • Cisco Catalyst 8000V Edge Software < 17.6.4, < 17.7.2 og < 17.9.1
  • Cisco Adaptive Security Virtual Appliance (ASAv) < 9.17.1, <9.18.2 < 9.19.x
  • Cisco Secure Firewall Threat Defense Virtual (formerly FTDv) < 7.1.0.3-x, < 7.2.1.x og < 7.3.x
  • Cisco Webex App < 42.7
  • Cisco Meraki MR Series (dersom Captive Portal strength er satt til "Allow non-HTTP traffic prior to sign-on" så kan dette utnyttes av en angriper)
  • Cisco Small Business RV110W, RV130, RV130W og RV215W routere (NB! Blir ikke oppdatert da produktene er EOL)

 

  • FortiWeb
  • FortiADC
  • FortiAP-U
  • FortiAP-W2
  • FortiAP-S
  • FortiAP
  • FortiMail
  • FortiManager
  • FortiAnalyzer
  • FortiOS
  • FortiSOAR

 


Anbefalinger:

  • Avinstaller programvare som ikke benyttes
  • Patch/oppdater berørte produkter
  • Skru på automatisk oppdatering der det er mulig
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
  • Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
  • Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [4]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [5]

 

Kilder:
[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-config-Ab3Da
[2] https://tools.cisco.com/security/center/publicationListing.x
[3] https://www.fortiguard.com/psirt?date=09-2022
[4] https://nsm.no/grunnprinsipper-ikt
[5] https://www.cisa.gov/shields-up