VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#037-2023] [TLP:CLEAR] Sårbarheter i produkter fra Cisco og VMware
08-06-2023
JustisCERT ønsker å varsle om sårbarheter i:
- Produkter fra Cisco. Totalt 8 CVE ble publisert 07.06.2023, hvor 1 er kategorisert som kritisk (CVE-2023-20105 med CVSS-score 9.6) og 4 som alvorlig (CVE-2023-20192, CVE-2023-20108, CVE-2023-20006 og CVE-2023-20178 med CVSS-score til og med 8.4). Den kritiske sårbarheten berører Cisco Express Series og Cisco TelePresence Video Communication Server. Merk at Cisco Small Business 200, 300 og 500 Series Switches er end of life og vil ikke motta nødvendige oppdateringer. Cisco har publisert oppdateringer til støttede produkter. [1]
- VMware Aria Operations for Networks (tidligere kjent som vRealize Network Insight). Totalt 3 CVE ble publisert 07.06 2023, hvor alle er kategorisert som kritisk (CVE-2023-20887, CVE-2023-20888 og CVE-2023-20889 med CVSS-score 8.8 - 9.8). VMware har publisert nødvendige oppdateringer. [2]
Berørte produkter er blant annet:
- Cisco Expressway Series og Cisco TelePresence VCS < 14.3.0
- Cisco Unified Communications Manager < 12.5(1)SU7
- Cisco Unified Communications Manager < 14SU3
- Cisco Adaptive Security Appliance (ASA) Software og Cisco Firepower Threat Defense (FTD) for Cisco Firepower 2100 Series
- Cisco AnyConnect Secure Mobility Client for Windows Software < 4.10MR7
- Cisco Secure Client for Windows Software < 5.0MR2
- Cisco Secure Workload < 3.7.1.40
- Cisco Small Business 200 Series Smart Switches (end of life, får ikke oppdatering)
- Cisco Small Business 300 Series Managed Switches (end of life, får ikke oppdatering)
- Cisco Small Business 500 Series Stackable Managed Switches (end of life, får ikke oppdatering)
- VMware Aria Operations for Networks < 6.x (KB92684)
Anbefalinger:
- Patch/oppdater berørte produkter snarest
- Skru på automatisk oppdatering der det er mulig
- Avinstaller programvare som ikke benyttes
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
- Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
- Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (velg f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
- Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
- Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
- Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
- Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
- Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
- Følg NSM Grunnprinsipper for IKT-sikkerhet [3]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [4]
Kilder:
[1] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
[2] https://www.vmware.com/security/advisories/VMSA-2023-0012.html
[3] https://nsm.no/grunnprinsipper-ikt
[4] https://www.cisa.gov/shields-up