VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#006-2023] [TLP:CLEAR] Sårbarheter i produkter fra Lexmark, Cisco, Atlassian, F5 og VMware
03-02-2023
JustisCERT ønsker å varsle om sårbarheter i:
- Flere skrivere fra Lexmark. Totalt 1 CVE ble publisert 23. januar 2023, kategorisert som kritisk (CVE-2023-23560 med CVSS-score 9.0). Sårbarheten gjør det mulig for en angriper å kjøre kode på en berørt enhet. Kode for å utnytte sårbarheten er tilgjengelig på GitHub. Lexmark anbefaler å oppdatere skrivere til siste tilgjengelige firmware hvor blant annet denne feilen er rettet. JustisCERT ønsker å minne om at alle skrivere (ikke bare disse som nå er berørt fra Lexmark) fra alle skriverprodusenter bør oppdateres regelmessig og konfigureres på en sikker måte. [1]
- Flere produkter fra Cisco. Totalt 7 CVE ble publisert 1. februar 2023, hvor 1 er kategorisert som alvorlig (CVE-2023-20076 med CVSS-score 7.2) og 6 som viktig. Den alvorlige sårbarheten berører Cisco-enheter som kjører Cisco IOS XE og benytter IOx. Cisco har ikke publisert oppdateringer til alle supporterte produkter enda. Berørte produkter som er end of life (EOL) vil ikke motta nødvendige oppdateringer. [2]
- Jira-produkter fra Atlassian. Totalt 1 CVE ble publisert 1. februar 2023, kategorisert som kritisk (CVE-2023-22501 med CVSS-score 9.4). Sårbarheten tillater en angriper å utgi seg for en annen bruker og dermed tilegne seg utvidede rettigheter. Atlassian har publisert oppdateringer til berørte produkter. [3]
- F5 BIG-IP. Totalt 1 CVE ble publisert 1. februar 2023, kategorisert som alvorlig (CVE-2023-22374 med CVSS-score 7.5-8.5 alt etter konfigurasjon som benyttes). F5 har publisert det de kaller en «engineering hotfix» som kan benyttes frem til en supportert oppdatering utgis. [4]
- VMware Workstation. Totalt 1 CVE publisert 2. februar 2023, kategorisert som alvorlig (CVE-2023-20854 med CVSS-score 7.8). VMware har publisert nødvendige oppdateringer. [5]
Berørte produkter er blant annet:
- Se Lexmark sin nettside [1] for en fullstendig liste over berørte produkter
- Cisco 800 Series Industrial ISRs
- Cisco Catalyst Access Points (COS-APs)
- Cisco CGR1000 Compute Modules
- Cisco IC3000 Industrial Compute Gateways
- Cisco IR510 WPAN Industrial Routers
- Cisco Prime
- Cisco ISE Software
- Cisco Network Services Orchestrator (NSO)
- Cisco RV340 Dual WAN Gigabit VPN Routers (end of life)
- Cisco RV340W Dual WAN Gigabit Wireless-AC VPN Routers (end of life)
- Cisco RV345 Dual WAN Gigabit VPN Routers (end of life)
- Cisco RV345P Dual WAN Gigabit POE VPN Routers (end of life)
- Atlassian Jira Service Management Server
- Atlassian Jira Service Management Data Center
- F5 BIG-IP
- VMware Workstation < 17.0.1
Anbefalinger:
- Patch/oppdater berørte produkter snarest
- Skru på automatisk oppdatering der det er mulig
- Avinstaller programvare som ikke benyttes
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
- Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
- Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
- Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
- Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
- Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
- Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
- Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
- Følg NSM Grunnprinsipper for IKT-sikkerhet [6]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [7]
Kilder:
[1] https://publications.lexmark.com/publications/security-alerts/CVE-2023-23560.pdf
[2] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
[3] https://confluence.atlassian.com/jira/jira-service-management-server-and-data-center-advisory-cve-2023-22501-1188786458.html
[4] https://my.f5.com/manage/s/article/K000130415
[5] https://www.vmware.com/security/advisories/VMSA-2023-0003.html
[6] https://nsm.no/grunnprinsipper-ikt
[7] https://www.cisa.gov/shields-up