Tilkynnt var um níu veikleika í EdgeConnect, þar af tvo alvarlega. Veikleikarnir hafa áhrif á Orchestrator bæði á eigin búnaði og búnaði í umsjón hjá EdgeConnect [1]. Einnig var tilkynnt um tvo veikleika í 7-Zip. CERT-IS mælir með að uppfæra hugbúnað án tafa og fylgja leiðbeiningum framleiðanda.
Alvarlegir veikleikar (e. critical)
CVE-2023-37421
Veikleikinn hefur fengið CVSSv3 veikleikastig upp á 8.1 og hefur áhrif á veflæga útgáfu SD-WAN Orchestrator (e. web-based). Veikleikinn gerir auðkenndum fjartengdum ógnaraðila kleift að keyra XSS árás á stjórnandaaðgang viðmótsins og í framhaldi keyra upp kóða í vafra fórnarlambsins [2].
CVE-2023-37424
Veikleikinn hefur fengið CVSSv3 veikleikastig upp á 8.1 og hefur áhrif á veflæga útgáfu SD-WAN Orchestrator (e. web-based). Veikleikinn gerir óauðkenndum fjartengdum ógnaraðila kleift að keyra skipanir á kerfi ef ákveðnar forsendur eru uppfylltar. Ef skilyrðin eru uppfyllt getur ógnaraðili tekið yfir kerfi [3]
CVE-2023-40481
Veikleikinn hefur fengið CVSSv3 veikleikastig upp á 7.8 og gerir ógnaraðila kleift að keyra upp kóða með sömu réttindum og 7-Zip forritið (e. process). Notandinn þarf hinsvegar að opna sýkta skrá eða hlekk svo ógnaraðili geti nýtt veikleikann [4].
Eftirfarandi kerfi eru veik fyrir göllunum
Orchestrator: 9.3.0, 9.2.0 til 9.2.5, 9.1.0 til 9.1.7 og allar útgáfur 9.0.x
7-Zip: Allar útgáfur eldri en 23.01
Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum
Orchestrator: 9.3.1
7-Zip: 23.01
Tilvísanir
[1] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-012.txt
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-37421
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-37424
[4] https://www.zerodayinitiative.com/advisories/ZDI-23-1164/
