VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#047-2022] [TLP:CLEAR] Sårbarheter i produkter fra Citrix, SAP, Fortinet og Cisco

16-06-2022

JustisCERT ønsker å varsle om sårbarheter i:

Citrix Application Delivery Management (ADM) server og agent. Totalt 2 CVE (CVE-2022-27511 og CVE-2022-27512) som blant annet gjør det mulig for en uautentisert angriper å tilbakestille administrator-passord til det løsningen har som standard ved første oppsett. Standard passord er da nsroot for brukerne nsrecover (SSH) og nsroot (GUI). Citrix har publisert oppdateringer til berørte produkter. [1]
Flere av SAP sine produkter. SAP Security Patch Day for juni 2022 inneholder 10 nye bulletiner med CVSS-score til og med 8.6. SAP har publisert nødvendige oppdateringer. [2]
Flere produkter fra Fortinet. Totalt 13 CVE (CVE-2022-22305, CVE-2021-22131, CVE-2022-29060, CVE-2022-26113, CVE-2022-22304, CVE-2022-30301 og 7 som berører FortiAnalyzer) med CVSS-score til og med 9.8. Fortinet har publisert oppdateringer til berørte produkter. [3]
Flere produkter fra Cisco. Totalt 7 CVE, hvor 2 er kritiske (CVE-2022-20798 og CVE-2022-20825), 1 er alvorlig (CVE-2022-20664) og 4 er medium (CVE-2022-20819, CVE-2022-20817, CVE-2022-20736 og CVE-2022-20733) med CVSS-score til og med 9.8. Cisco har publisert oppdateringer til supporterte produkter, men ikke til produkter som er end of life (EOL). [4]

Berørte produkter er blant annet:

SAP NetWeaver og ABAP Platform (CVSS-score 8.6)
SAP PowerDesigner Proxy (CVSS-score 7.8)
SAP 3D Visual Enterprise Viewer (CVSS-score 6.5)
SAP NetWeaver Development Infrastructure (CVSS-score 6.1)
SAP NetWeaver, ABAP Platform og SAP Host Agent (CVSS-score 5.0)
SAP ERP, Financials og Hana Core (CVSS-score 5.0)
SAP Adaptive Server Enterprise (ASE) (CVSS-score 3.2-5.0)
SAP NetWeaver AS ABAP, AS Java, ABAP Platform og HANA Database (CVSS-score 4.9)
SAP NetWeaver Developer Studio (CVSS-score 3.4)

FortiAnalyzer (CVSS-score til og med 9.8)
FortiSandbox (CVSS-score 5.8)
FortiOS (CVSS-score 5.8)
FortiManager (CVSS-score 5.8)
FortiTokenAndroid (CVSS-score 6.1)
FortiTokenIOS (CVSS-score 6.1)
FortiDDoS (CVSS-score 7.8)
FortiClientWindows (CVSS-score 7.5)
FortiAuthenticator (CVSS-score 6.1)
FortiAP-U (CVSS-score 7.4)

Cisco Email Security Appliance (CVSS-score 7.7-9.8)
Cisco Secure Email and Web Manager (CVSS-score 7.7-9.8)
Cisco Small Business RV110W, RV130, RV130W og RV215W routere (CVSS-score 9.8) (NB! Blir ikke oppdatert da produktene er EOL)
Cisco Identity Services Engine (CVSS-score 5.3-6.5)
Cisco IP Phone (CVSS-score 7.4)
Cisco AppDynamics Controller (CVSS-score 5.3)

Anbefalinger:

Avinstaller programvare som ikke benyttes
Patch/oppdater berørte produkter
Skru på automatisk oppdatering der det er mulig
Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]

Kilder:
[1] https://support.citrix.com/article/CTX460016
[2] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[3] https://www.fortiguard.com/psirt?date=06-2022
[4] https://tools.cisco.com/security/center/publicationListing.x
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up