TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#002-2021] Sårbarheter i Firefox og Chromium nettlesere, "bakdør" i produkter fra Zyxel og slutten for Adobe Flash Player

08-01-2021

JustisCERT ønsker å varsle om flere alvorlige sårbarheter og svakheter:
•    I Firefox og Chromium-baserte nettlesere (som Google Chrome, Microsoft Edge Chromium, Brave, Opera, Vivaldi).

Sårbarhetene gjør det mulig for angriper å kjøre kode og ta kontroll over berørte maskiner i gitte situasjoner [1].


•    I programvaren på noen Zyxzel brannmurer og AP-kontrollere er det identifisert en hardkodet brukerkonto, «zyfwp», hvor også passordet er kjent. Eksterne aktører kan utnytte denne root-brukeren og logge inn/ta over systemene dersom gitte tjenester/porter er eksponert [2].


•    Adobe Flash Player var end of life (EOL) den 31.12.2020. Adobe anbefaler at alle versjoner av Flash Player fjernes/avinstalleres snaret. Flash Player finnes som egen installasjon for blant annet macOS og Windows, disse må avinstalleres manuelt [3] [4]. I tillegg finnes Flash Player som plugin til de fleste nettlesere hvor noen av disse vil bli fjernet automatisk (Microsoft vil f.eks. gjennom sin månedlig oppdatering den 12. januar 2021 automatisk fjerne Flash Player for Edge Chromium [5]), mens andre må fjernes manuelt/vha group policyer.


Berørte produkter er blant annet:
•    Google Chrome eldre enn 87.0.4280.141
•    Microsoft Edge Chromium eldre enn 87.0.664.75
•    Firefox eldre enn 84.0.2
•    Firefox ESR eldre enn 78.6.1
•    Firefox for Android eldre enn 84.1.3

•    Zyxel Firewalls og AP controllers
•    Alle installasjoner av Adobe Flash Player


Anbefalinger:
•    Avinstaller nettlesere som ikke benyttes
•    Patch/oppdater berørte produkter som benyttes
•    Avinstaller alle utgaver av Adobe Flash Player
•    Prioriter systemer som kan nås fra internett først

 

Kilder

[1] https://threatpost.com/firefox-chrome-edge-bugs-system-hijacking/162873/

[2] https://www.zyxel.com/support/CVE-2020-29583.shtml

[3] https://helpx.adobe.com/flash-player/kb/uninstall-flash-player-mac-os.html#main_uninstall

[4] https://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html#main_Download_the_Adobe_Flash_Player_uninstaller

[5] https://docs.microsoft.com/en-us/lifecycle/announcements/update-adobe-flash-support