CERT-IS vill vekja athygli á alvarlegum veikleikum í ýmsum búnaði sem er víða notaður hérlendis, þ.m.t. Fortinet og VM2 javascript library. Mælt er með að huga að öryggisuppfærslum við fyrsta tækifæri.
Alvarlegir veikleikar í búnaði frá Fortinet
Fortinet hefur gefið út uppfærslur vegna veikleika í búnaði tengt uppfærslum í apríl mánuði (e. April 2023 Vulnerability Advisories). Meðal annars er einn mjög alvarlegur veikleiki í Fortinet FortiPresence og þrír alvarlegir veikleikar í Fortiweb, FortiSandbox/FortiDeceptor og FortiOS og FortiProxy. CERT-IS mælir með að uppfæra án tafa samkvæmt leiðbeiningum frá Fortinet [1][2][3][4].
Veikleiki CVE-2022-41331 með CVSS skor 9.3 í Fortinet Fortipresense.
Veikleikinn gefur ógnaraðila færi á að hafa samskipti við Redis og MongoDB bakenda án auðkenningar. Fram kemur í tilkynningu Fortinet að veikleikinn sé ekki til staðar í skýjaútgáfu af FortiPresense. Veikleikinn er til staðar í öllum útgáfum af FortiPresence 1.0, 1.1. 1.2. Ráðlegging Fortinet er að uppfæra í útgáfu 2.0.0 eða hærri af FortiPresence.
Veikleiki CVE-2022-43955 með CVSS skor 8.0 í FortiWeb.
Veikleikinn er til staðar í tilbúnum HTML skýrslum og er af XSS tegund (e. Cross Site Scripting). Veikleikinn er til staðar í öllum útgáfum af FortiWeb 6.0, 6.1, 6.2, útgáfum frá 6.3.0 til og með 6.3.21, öllum útgáfum af 6.4 og 7.0.0 til og með 7.0.3. Ráðlegging Fortinet er að uppfæra í útgáfur 6.3.22 eða hærri, 7.0.4 eða hærri eða útgáfu 7.2.0 eða hærri af FortiWeb.
Veikleiki CVE-2022-27487 með CVSS skor 8.3 í FortiSandbox/FortiDeceptor.
Veikleikinn byggir á aðgangsstýringum fyrir forritunarskil (e. API) sem voru rangt útfærðar.
Veikleikinn er til staðar í FortiDeceptor 1.1, öllum útgáfum 2.0, 2.1, 3.0, 3.1, 3.2, 3.3.0 til og með 3.3.3, frá 4.0.0 til og með 4.0.2 og 4.1.0. Öllum útgáfum af FortiSandbox 2.5, 3.0, 3.1, frá 3.2.0 til og með 3.2.3, frá 4.0.0 til og með 4.0.2 frá 4.2.0 til og með 4.2.2.
Ráðlegging Fortinet er að uppfæra í útgáfu 3.3.3 eða hærri af FortiDeceptor, útgáfu 4.0.2 eða hærri af FortiDeceptor, útgáfu 4.1.1 eða hærri af FortiDeceptor, útgáfu 4.2.0 eða hærri af FortiDeceptor, útgáfu 3.2.4 eða hærri af FortiSandbox, útgáfu 4.0.3 eða hærri af FortiSandbox eða útgáfu 4.2.3 eða hærri af FortiSandbox.
Veikleiki CVE-2022-41330 með CVSS skor 8.3 í FortiOS og FortiProxy
Veikleikinni er til staðar í vefaðgangi fyrir kerfisstjóra og er af XSS tegund (e. Cross Site Scripting). Veikleikinn er til staðar í útgáfum af FortiOS 6.2.0 til og með 6.2.12, 6.4.0 til og með 6.4.11, 7.0.0 til og með 7.0.9, 7.2.0 til og með 7.2.3. Veikleikinn er ´i FortiProxy útgáfum 7.0.0 til og með 7.0.7, 7.2.0 til og með 7.2.1.
Ráðlegging Fortinet er að uppfæra í útgáfu 6.2.13 eða hærri af FortiOS, útgáfu 6.4.12 eða hærri af FortiOS, útgáfu 7.0.10 eða hærri af FortiOS, útgáfu 7.2.4 eða hærri af FortiOS, útgáfu 7.0.8 eða hærri af FortiProxy og útgáfu 7.2.2 eða hærri af FortiProxy.
Alvarlegir veikleikar í SAP hugbúnaði og VM2 javascript sandbox library
Tilkynnt var um nokkra alvarlega veikleika í hugbúnaði hjá SAP og VM2 javascript sandbox library hjá node.js. SAP hefur gefið út safn af uppfærslum fyrir Apríl 2023, þar á meðal vegna mjög alvarlegra veikleika í SAP Diagnostics Agent, SAP BusinessObjects Business Intelligence Platform og SAP NetWeaver [1][2]. Einnig hefur verið upplýst um mjög alvarlegan veikleika í VM2 hugbúnaðarsafninu (e. library). CERT-IS mælir með að uppfæra án tafa í útgáfu þar sem veikleikinn hefur verið lagfærður eða fari í mótvægisaðgerðir samkvæmt leiðbeiningum frá framleiðendum.
Veikleikinn CVE-2023-27267 með CVSSv3 skor uppá 10.0 í SAP Diagnostics Agent.
Veikleikinn gerir ógnaraðila kleift að keyra kóða á búnaði sem keyrir SAP Diagnostic Agent og taka yfir búnaðinn (e. fully compromise the system). Athugið að í tilvísun [1] er veikleikinn listaður með CVSS skor 9.0 en hjá SAP [2] er veikleikinn listaður með CVSS skor 10.0.
Veikleikinn CVE-2023-28765 með CVSSv3 skor uppá 9.8 SAP BusinessObjects Business Intelligence Platform.
Veikleikinn gerir ógnaraðila með lágmarksréttindi (e. basic privileges) að komast yfir lykilorðaskrár og misnota þá aðganga til frekari spellvirkja.
Veikleikinn CVE-2023-29186 með CVSSv3 skor uppá 8.7 í SAP NetWeaver.
Veikleikinn gerir ógnaraðila kleift að hlaða upp skrám og meðal annars yfirskrifa skrár á SAP þjóni sem er háður veikleikanum.
Veikleikinn CVE-2023-29017 með CVSSv3 skor uppá 10.0 í VM2 javascript sandbox library.
Veikleikinn gerir ógnaraðila kleift að keyra kóða fyrir utan sandboxið. Athugið að það eru misvísandi gögn um hvort veikleikinn er með CVSS skorið 10.0 eða 9.8, valin er sú leið að birta það skor sem er hærra. VM2 pakkinn er vinsæll og er halað niður 4 milljón sinnum á viku og notaður í 721 pakka [8]. Honum getur verið dreift sem hluta af öðrum hugbúnaði og því mælir CERT-IS með að kanna vel hvort VM2 sé hluti af öðrum hugbúnaði og kerfum og fái ráðleggingar frá framleiðendum þeirra kerfa. Gefin var út útgáfa 3.9.15 til að lagfæra veikleikann en eftir að annar svipaðs eðlis veikleiki kom fram í þeirri útgáfu var gefin út útgáfa 3.9.16 til að lagfæra þann veikleika. Það er því ráðlegging CERT-IS að vakta hvort frekari uppfærslur komi frá framleiðanda VM2.
Eftirfarandi kerfi eru veik fyrir göllunum:
SAP Diagnostics Agent: Útgáfa 720
SAP BusinessObjects Business Intelligence Platform: Útgáfur 420 og 430
SAP NetWeaver: Útgáfur 707, 737, 747 og 757
VM2: útgáfur < 3.9.16
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
SAP Diagnostics Agent Ekki uppgefið, sjá [2]
SAP BusinessObjects Business Intelligence Platform Ekki uppgefið, sjá [2]
SAP NetWeaver Ekki uppgefið, sjá [2]
VM2 útgáfa 3.9.16.
Alvarlegir veikleikar í búnaði frá HikVision
HikVision hefur tilkynnt um alvarlegan veikleika í Hybrid SAN/Cluster Storage kerfum. HIKVISION hefur gefið út öryggisuppfærslur fyrir kerfin og hægt er að nálgast þær á heimasíðu þeirra . CERT-IS mælir með að uppfæra án tafa samkvæmt leiðbeiningum frá framleiðendum.
Veikleiki CVE-2023-28808 með CVSS skor 9.1. í Hybrid SAN/Cluster storage kerfum frá HikVision.
Veikleikinn getur gefið árásaraðila stjórnandaaðgang á ákveðnum geymslum framleiðandans sem bjóða upp á streymi samhliða vistun á upptökum.
Vörur háðar veikleikanum
DS-A71024/48/72R, DS-A80624S, DS-A81016S, DS-A72024/72R, DS-A80316S, DS-A82024D og DS-A71024/48R-CVS.