VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#051-2022] [TLP:CLEAR] Sårbarheter i produkter fra Juniper, Citrix og VMware
14-07-2022
JustisCERT ønsker å varsle om sårbarheter i:
- Flere produkter fra Juniper. Totalt 21 bulletiner publisert 13.07.2022, hvor 4 er kritisk (JSA69722, JSA69726, JSA69723 og JSA69703 med CVSS-score til og med 10.0), 8 er alvorlig og 9 er viktig. Juniper har publisert oppdateringer til berørte produkter. [1]
- Citrix Hypervisor og XenServer. Totalt 2 CVE kategorisert som alvorlig (CVE-2022-23825 og CVE-2022-29900). Citrix har publisert nødvendige oppdateringer. [2]
- VMware vCenter Server. Den 12.07.2022 publiserte VMware en oppdatering som blant annet retter CVE-2021-22048 (CVSS-Score 7.1) i VMware vCenter Server 7.0 [3]. Dersom vCenter er konfigurert med Integrated Windows Authentication (IWA) kan en ondsinnet aktør med tilgang utnytte sårbarheten for å elevere sine rettigheter. VMware har publisert mitigerende tiltak til andre/eldre versjoner av vCenter Server [4]. JustisCERT minner om at VMware vCenter Server 6.5 og 6.7 er "End of General Support" den 15.10.2022, så sørg for å oppgradere til versjon 7.x før denne dato [5].
Berørte produkter er blant annet:
- Juniper Junos OS (CVSS-score til og med 7.8)
- Juniper Contrail Networking < 21.4.0 (CVSS-score til og med 10.0)
- Juniper Junos Space < 22.1R1 (CVSS-score til og med 9.8)
- Juniper NorthStar Controller < 6.2.2 og < 5.1.0 Service Pack 6 (CVSS-score til og med 9.4)
- Citrix Hypervisor 8.2 < Cumulative Update 1
- Citrix XenServer 7.1 < Cumulative Update 2
- VMware vCenter Server < 7.0 U3f
- VMware Cloud Foundation (vCenter Server)
Anbefalinger:
- Avinstaller programvare som ikke benyttes
- Patch/oppdater berørte produkter
- Skru på automatisk oppdatering der det er mulig
- Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Revider sentrale brannmurregler og verifiser at kun helt nødvendig utgående/inngående trafikk er tillatt, ingen ting annet
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Følg NSM Grunnprinsipper for IKT-sikkerhet [6]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [7]
Kilder:
[1] https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=date%20descending&numberOfResults=25&f:ctype=[Security%20Advisories]
[2] https://support.citrix.com/article/CTX461397/citrix-hypervisor-security-bulletin-for-cve202223816-and-cve202223825
[3] https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3f-release-notes.html
[4] https://kb.vmware.com/s/article/86292
[5] https://lifecycle.vmware.com/#/
[6] https://nsm.no/grunnprinsipper-ikt
[7] https://www.cisa.gov/shields-up