TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#063-2024] [TLP:CLEAR] Sårbarheter i produkter fra GitLab, HPE Aruba, Palo Alto Networks, Fortinet, Juniper Networks og Citrix

12-07-2024

JustisCERT ønsker å varsle om sårbarheter i:

GitLab. Totalt 6 CVE ble publisert av GitLab den 10.07.2024, hvor 1 er kategorisert som kritisk (CVE-2024-6385 med CVSS-score 9.6). GitLab har publisert oppdateringer til støttede produkter. [1]
Produkter fra HPE Aruba. Totalt 1 CVE ble publisert 09.07.2024, kategorisert som kritisk (CVE-2024-3596 med CVSS-score 9.0). Sårbarheten er også kjent som Blast-RADIUS [2]. HPE Aruba har ikke publisert oppdateringer til alle berørte produkter enda. [3]
Produkter fra Palo Alto Networks. Totalt 5 CVE ble publisert 10.07.2024, hvor 1 er kategorisert som kritisk (CVE-2024-5910 med CVSS-score 9.3) og 1 som alvorlig (CVE-2024-5911 med CVSS-score 7.0). Prisma Access og PAN-OS er også berørt av sårbarheten Blast-RADIUS (CVE-2024-3596) [2] dersom CHAP/PAP benyttes i forbindelse med RADIUS autentisering. Palo Alto Networks har publisert nødvendige oppdateringer til alle produkter bortsett fra Prisma Access. [4]
Produkter fra Fortinet. Totalt 8 bulletiner (omfatter 8 CVE) ble publisert av FortiGuard Labs den 09.07.2024, hvor 2 er kategorisert som alvorlig (CVE-2023-50178 med CVSS-score 7.2 og CVE-2024-23663 med CVSS-score 8.1) og 4 som viktig (CVE-2024-33509, CVE-2023-50179, CVE-2023-50181 og CVE-2024-26006). De alvorlige sårbarhetene berører FortiADC og FortiExtender. Fortinet har publisert oppdateringer til støttede produkter. [5]
Produkter fra Juniper Networks. Totalt 46 bulletiner (omfatter en rekke CVE) ble publisert 10.07.2024, hvor 1 er kategorisert som kritisk (JSA83026 med CVSS-score 9.8) og 18 som alvorlig. Den kritiske sårbarheten berører Junos Space, de alvorlige sårbarhetene berører Junos OS, Junos OS Evolved, BBE Cloudsetup og Session Smart Router. Juniper Networks har publisert nødvendige oppdateringer. [6]
Produkter fra Citrix. Totalt 6 bulletiner ble publisert 09.07.2024 og 1 bulletin den 11.07.2024, hvor 1 er kategorisert som kritisk (omfatter CVE-2024-6235 med CVSS-score 9.4 og CVE-2024-6236 med CVSS-score 7.1) og 3 som alvorlig (omfatter CVE-2024-6151 med CVSS-score 8.5, CVE-2024-6286 med CVSS-score 8.5 og CVE-2024-6677 med CVSS-score 7.3). Den kritiske sårbarheten berører NetScaler Console (tidligere NetScaler ADM), NetScaler SDX (SVM) og NetScaler Agent. De alvorlige sårbarhetene berører Citrix Virtual Apps and Desktops, Citrix Workspace app for Windows og Citrix uberAgent. Citrix har publisert nødvendige oppdateringer. [7]

Berørte produkter er:

GitLab CE/EE < 17.1.2
GitLab CE/EE < 17.0.4
GitLab CE/EE < 16.11.6
Se HPE Aruba sin nettside for en oppdatert liste over berørte produkter
Palo Alto Networks Expedition < 1.2.92
Palo Alto Networks PAN-OS
Palo Alto Networks Cortex XDR Agent
Palo Alto Networks Prisma Access (oppdatering publiseres 30. juli)
Fortinet FortiADC < 7.4.2
Fortinet FortiADC < 7.2.5
Fortinet FortiExtender < 7.4.3
Fortinet FortiExtender < 7.2.5
Fortinet FortiExtender < 7.0.5
Fortinet FortiOS < 7.4.4
Fortinet FortiPortal < 7.2.1
Fortinet FortiPortal < 7.0.7
Fortinet FortiProxy < 7.4.4
Fortinet FortiWeb < 7.2.2
Juniper Networks BBE Cloudsetup (BCS)
Juniper Networks Junos OS
Juniper Networks Junos OS Evolved
Juniper Networks Junos Space
Juniper Networks Session Smart Router
Citrix NetScaler ADC
Citrix NetScaler Agent
Citrix NetScaler Console (tidligere NetScaler ADM)
Citrix NetScaler Gateway
Citrix NetScaler SDX (SVM)
Citrix Provisioning
Citrix uberAgent
Citrix Virtual Apps and Desktops
Citrix Workspace app for HTML5
Citrix Workspace app for Windows

Anbefalinger:

Patch/oppdater berørte produkter snarest
Skru på automatisk oppdatering der det er mulig
Avinstaller programvare som ikke benyttes
Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
Bruk multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillatt f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
Følg NSM Grunnprinsipper for IKT-sikkerhet [8]
Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [9]

Kilder:
[1] https://about.gitlab.com/releases/2024/07/10/patch-release-gitlab-17-1-2-released/
[2] https://www.blastradius.fail/
[3] https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04662en_us&docLocale=en_US
[4] https://security.paloaltonetworks.com/
[5] https://www.fortiguard.com/psirt
[6] https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending&numberOfResults=50&f:ctype=[Security%20Advisories]
[7] https://support.citrix.com/securitybulletins
[8] https://nsm.no/grunnprinsipper-ikt
[9] https://www.cisa.gov/shields-up