VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#053-2022] [TLP:CLEAR] Sårbarheter i produkter fra Apple, Cisco, Zyxel samt Atlassian Questions for Confluence
21-07-2022
JustisCERT ønsker å varsle om sårbarheter i:
- Flere produkter fra Apple. Apple publiserte 20.07.2022 informasjon om at de har rettet blant annet 39 sårbarheter i iOS/iPadOS, 27 i watchOS, 3 i Safari samt 56 som berører macOS Monterey. Flere av sårbarhetene er kategorisert som kritiske og alvorlige. Apple har publisert oppdateringer til berørte produkter. [1]
- Flere produkter fra Cisco. Totalt 10 CVE er rettet, hvor 1 er kritisk (CVE-2022-20857), 3 er alvorlig (CVE-2022-20858, CVE-2022-20860, CVE-2022-20861) og 6 er viktig (CVE-2022-20906, CVE-2022-20907, CVE-2022-20908, CVE-2022-20909, CVE-2022-20913 og CVE-2022-20916) med CVSS-score til og med 9.8. I tillegg har Cisco publisert informasjon om 35 CVE for produktene Cisco Small Business RV110W, RV130, RV130W og RV215W som ikke vil bli rettet. Cisco har publisert oppdateringer til supporterte produkter, men ikke til produkter som er end of life (EOL). [2]
- Flere produkter fra Zyxel. Totalt 2 CVE, hvor en 1 alvorlig (CVE-2022-30526 med CVSS-score 7.8) og 1 er viktig (CVE-2022-2030 med CVSS-score 6.5). Zyxel har publisert oppdateringer til berørte produkter. Merk at for oppdatering til Zyxel USG/Zywall, så må man foreløpig kontakte Zyxel. [3]
- Atlassian Confluence Server/Data Center som har benyttet/benytter Questions for Confluence. Totalt 1 CVE (CVE-2022-26138) kategorisert som kritisk. Når Questions for Confluence tas i bruk på Confluence Server/Data Center så opprettes brukeren «disabledsystemuser» med et hardkodet passord. Brukeren meldes inn i gruppen «confluence-users» som har tilgang til å se og redigere alle ikke-begrensede sider. En angriper kan logge på et sårbart system som denne brukeren. Atlassian gjør oppmerksom på at brukeren «disabledsystemuser» bør slettes/deaktiveres manuelt, den blir ikke fjernet/deaktivert dersom Questions for Confluence avinstalleres. [4]
Berørte produkter er blant annet:
- Apple iOS < 15.6
- Apple iPadOS < 15.6
- Apple macOS Catalina < Security Update 2022-005
- Apple macOS Big Sur < 11.6.8
- Apple macOS Montery < 12.5
- Apple tvOS < 15.6
- Apple WatchOS < 8.7
- Apple Safari < 15.6
- Cisco Nexus Dashboard (også kjent som Cisco Application Services Engine) < 2.2(1h)
- Cisco Small Business RV110W, RV130, RV130W og RV215W Routere (EOL)
- Cisco IoT Control Center (Cloud) (Oppdateres automatisk av Cisco)
- Zyxel USG/Zywall ≤ ZLD V4.72
- Zyxel USG FLEX < ZLD V5.31
- Zyxel ATP < ZLD V5.31
- Zyxel VPN < ZLD V5.31
- Confluence Server/Data Center som har benyttet/benytter:
- Atlassian Questions Confluence < 2.7.38
- Atlassian Questions Confluence < 3.0.5
Anbefalinger:
- Avinstaller programvare som ikke benyttes
- Patch/oppdater berørte produkter
- Skru på automatisk oppdatering der det er mulig
- Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
- Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Revider sentrale brannmurregler og verifiser at kun helt nødvendig utgående/inngående trafikk er tillatt, ingen ting annet
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Følg NSM Grunnprinsipper for IKT-sikkerhet [5]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [6]
- Benytt en Mobile Device Management (MDM)-løsning for å sikre enheter og data på best mulig måte vha. blant annet:
- Hindre at utdaterte enheter kan nå virksomhetens ressurser
- Hindre jailbreak/rootede enheter i å nå virksomhetens ressurser
Kilder:
[1] https://support.apple.com/en-us/HT201222
[2] https://tools.cisco.com/security/center/publicationListing.x
[3] https://www.zyxel.com/support/Zyxel-security-advisory-authenticated-directory-traversal-vulnerabilities-of-firewalls.shtml
[4] https://confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html
[5] https://nsm.no/grunnprinsipper-ikt
[6] https://www.cisa.gov/shields-up