VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#013-2023] [TLP:CLEAR] Sårbarheter i flere Cisco-produkter

02-03-2023

JustisCERT ønsker å varsle om sårbarheter som berører flere av Cisco sine produkter. Totalt 7 CVE ble publisert 01.03.2023 hvor 1 er kategorisert som kritisk (CVE-2023-20078 med CVSS-Score 9.8), 1 som alvorlig (CVE-2023-20079 med CVSS-Score 7.5) og 5 som viktig (CVE-2023-20104, CVE-2023-20088, CVE-2023-20061, CVE-2023-20062 og CVE-2023-20069 med CVSS-Score til og med 6.5). Den kritiske og alvorlige sårbarheten berører Cisco IP Phones, Cisco Unified IP Conference Phone og Cisco Unified IP Phone. Sårbarhetene tillater en uautentisert angriper å kjøre vilkårlig kode eller forårsake tjenestenekt (DoS) via administrasjonsgrensesnittet på en berørt enhet. Flere av de berørte produktene er end of life og vil ikke motta nødvendige oppdateringer.

 

Cisco har publisert oppdateringer til støttede produkter. [1]

 


Berørte produkter er blant annet:

  • Cisco IP Phone 6800 Series with Multiplatform Firmware < 12.0.1
  • Cisco IP Phone 7800 Series with Multiplatform Firmware < 12.0.1
  • Cisco IP Phone 8800 Series with Multiplatform Firmware < 12.0.1
  • Cisco Unified IP Conference Phone 8831 (end of life, får ikke oppdatering)
  • Cisco Unified IP Conference Phone 8831 with Multiplatform Firmware (end of life, får ikke oppdatering)
  • Cisco Unified IP Phone 7900 Series (end of life, får ikke oppdatering)
  • Cisco Webex App for Web (skyløsning som oppdateres automatisk av Cisco)
  • Cisco Finesse
  • Cisco Unified Intelligence Center < 12.6(2) (Mar 2023)
  • Cisco Packaged Contact Center Enterprise (PCCE)
  • Cisco Unified Contact Center Enterprise (UCCE)
  • Cisco Unified Contact Center Express (UCCX)
  • Cisco Prime Infrastructure < 3.10.3
  • Cisco EPN Manager < 7.0

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [2]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [3] 

 


Kilder:
[1] https://sec.cloudapps.cisco.com/security/center/publicationListing.x 
[2] https://nsm.no/grunnprinsipper-ikt
[3] https://www.cisa.gov/shields-up