VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#077-2022] [TLP:CLEAR] Sårbarheter i produkter fra VMware, Fortinet, Aruba, Sophos og Cisco
09-12-2022
JustisCERT ønsker å varsle om sårbarheter i:
- Flere produkter fra VMware. Totalt 4 CVE ble publisert 8. desember 2022, hvor 1 er kategorisert som alvorlig (CVE-2022-31696 med CVSS-score 7.5) og berører VMware ESXi 7.0. Vær oppmerksom på at ESXi 6.5 og 6.7 ikke vil motta nødvendig sikkerhetsoppdatering da disse er end of life. VMware har publisert oppdateringer til supporterte produkter. [1]
- Flere produkter fra Fortinet. Totalt 6 CVE ble publisert 6. desember 2022, hvor 1 er kategorisert som alvorlig (CVE-2022-35843 med CVSS-score 7.7) og berører FortiOS og FortiProxy. Fortinet har publisert oppdateringer til berørte produkter. [2]
- Aruba ClearPass Policy Manager. Totalt 12 CVE ble publisert 6. desember 2022, hvor 10 er kategorisert som alvorlig (CVSS-Score til og med 8.8). Aruba har publisert oppdateringer til berørte produkter. [3]
- Sophos Firewall. Totalt 7 CVE ble publisert 1. desember 2022, hvor 1 er kategorisert som kritisk (denne ble rettet med hotfix i september 2022) og 3 som alvorlig (CVSS-score til og med 9.8). Sophos har publisert oppdateringer til supporterte produkter. [4]
- IP Phone fra Cisco. Totalt 1 CVE kategorisert som alvorlig (CVE-2022-20968 med CVSS-score 8.1) ble publisert 8. desember 2022. Cisco har publisert mitigerende tiltak, nødvendig oppdatering forventes i januar 2023. [5]
Berørte produkter er blant annet:
- VMware ESXi < 7.0 Update 3i
- VMware vCenter Server
- VMware Cloud Foundation
- Fortinet FortiOS
- Fortinet FortiADC
- Fortinet FortiProxy
- Fortinet FortiSandbox
- Fortinet FortiSOAR
- Fortinet FortiDeceptor
- Aruba ClearPass Policy Manager < 6.10.8
- Aruba ClearPass Policy Manager < 6.9.13
- Sophos Firewall < 19.5.0
- Cisco IP Phone 7800 Series
- Cisco IP Phone 8800 Series
Anbefalinger:
- Avinstaller programvare som ikke benyttes
- Patch/oppdater berørte produkter
- Skru på automatisk oppdatering der det er mulig
- Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
- Følg NSM Grunnprinsipper for IKT-sikkerhet [6]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [7]
Kilder:
[1] https://www.vmware.com/security/advisories/VMSA-2022-0030.html
[2] https://www.fortiguard.com/psirt?date=12-2022
[3] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-020.txt
[4] https://www.sophos.com/en-us/security-advisories/sophos-sa-20221201-sfos-19-5-0
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U
[6] https://nsm.no/grunnprinsipper-ikt
[7] https://www.cisa.gov/shields-up