Greint hefur verið frá alvarlegum veikleika í Fortinet FortiOS [1,2], veikleikann geta ógnarhópar notað til að keyra kóða sem kerfisstjóri (e. remote code execution). Progress Software hefur tilkynnt um nýja alvarlega veikleika í MOVEit hugbúnaðinum [6,7] og Cisco hefur tilkynnt um 8 veikleika í ýmsum búnaði. CERT-IS hvetur notendur til að keyra inn uppfærslur frá framleiðendum án tafa og fylgjast með frekari tilkynningum frá Fortinet.
Ekki er mikið vitað eins og stendur um veikleikann í FortiOS þrátt fyrir heimildir, vísbendingar eru um að Fortinet sendi frá sér frekari upplýsingar þriðjudaginn 13. júní.
Alvarlegir veikleikar (e. critical)
FortiOS
Veikleikinn CVE-2023-27997 gerir ógnaraðila kleift að keyra kóða sem kerfisstjóri (e. Remote Code Execution) á SSL VPN búnaði Fortinet [1,2,3]. Heimildir gefa til kynna að uppfærslur gefnar út af Fortinet seinasta föstudag (9. júní) hafi lagfært veikleikann sem þar á meðal skv. netöryggisfyrirtæki kemst fram hjá fjölþátta auðkenningu [1,2,4]. Talið er að veikleikinn hafi áhrif á allar eldri útgáfur [1]. Þó við höfum ekki ítarlegri upplýsingar í höndunum mælum við eins og áður með að halda búnaði uppfærðum. CERT-IS vekur athygli á að veikleikar álíka þessum eru fljótir að ná athygli ógnarhópa og líklegir til að vera notaðir í árásum mjög fljótlega og því mikilvægt að bregðast við sem fyrst.
MOVEit
Í framhaldi af því að Progress Software tilkynnti um alvarlega veikleika í MOVEit Transfer þann 1. júní síðastliðinn sem voru þá þegar notaðir af ógnarhópum [5], hefur fyrirtækið farið í frekari kóðarýni [6] og upplýst hefur verið um frekari alvarlega veikleika sem fyrirtækið hefur gefið út uppfærslur vegna [6,7,8]. Í tilkynningu frá Progress Software [8] er lýst mismunandi leiðum til að uppfæra kerfið og þær upplýsingar sem eru settar fram hér að neðan miða við ‘Full Installer’ leiðina. Tekið er fram í tilkynningu Progress Software að þegar sé búið að uppfæra skýjalausn fyrirtækisins. Ekki liggur fyrir nákvæm lýsing á veikleikanum sem hefur ekki fengið úthlutað CVE númeri eða CVSS mati. Veikleikinn telst hins vegar alvarlegur og gefur ógnaraðila færi á að breyta og lesa gögn.
Cisco
Cisco hefur gefið út tilkynningu um alvarlega veikleika í mismunandi vörum [9]. Alls er um að ræða 8 veikleika með CVSS skor frá 7.5 til 9.6. Veikleikarnir CVE-2023-20105 og CVE-2023-20192 eru með CVSS skor 9.6 sem ógnaraðili getur notað til að öðlast kerfisstjóraréttindi (e. Administrator) án auðkenningar. Aðrir veikleikar gefa auðkenndum aðila færi á að öðlast SYSTEM réttindi eða óauðkenndum aðila færi á að skerða þjónustu (e. denial of service). Ekki er vitað til þess að veikleikarnir séu þegar misnotaðir af ógnaraðilum.
Eftirfarandi kerfi eru veik fyrir göllunum
- FortiOS: <6.0.17, <6.2.15, <6.4.13, <7.0.12 og <7.2.5 (óstaðfest)
- MOVEit Transfer: <2023.0.2, <2022.1.6, 2022.0.5, 2021.1.5, 2021.0.7, 2020.1.x, 2020.0.x
- Cisco Expressway Series og Cisco TelePresense VCS: < 14.3.0
- Cisco Unified Communications Manager: < 12.5(1)SU7
- Cisco Unified Communications Manager: < 14SU3
- Cisco Adaptive Security Appliance (ASA) Software og Cisco Firepower Threat Defence (FTD) for Cisco Firepower 2100 Series
- Cisco AnyConnect Secure Mobility Client fyrir Windows hugbúnaður: < 4.10MR7
- Cisco Secure Client fyrir Windows hugbúnaður: < 5.0MR2
- Cisco Secure Workload: < 3.7.1.40
- Cisco Small Business 200 Series Smart Switches EOL
- Cisco Small Business 300 Series Managed Switches EOL og Cisco Small Business 500 Series Stackable Managed Switches EOL. ‘EOL’ vísar til hugbúnaðar sem fær ekki þjónustu lengur frá framleiðanda.
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum
- FortiOS: 6.0.17, 6.2.15, 6.4.13, 7.0.12 og 7.2.5
- MOVEit Transfer: 2023.0.2, 2022.1.6, 2022.0.5, 2021.1.5, 2021.0.7, sér uppfærsla er til fyrir 2020.1.x og aðilar með eldri útgáfur verða að uppfæra í studda útgáfu
- Cisco: Sjá nánar í tilkynningu frá Cisco [9] varðandi uppfærslur
Tilvísanir:
[1] https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vpn-devices-patch-now/
[2] https://www.helpnetsecurity.com/2023/06/11/cve-2023-27997/
[3] https://twitter.com/cfreal_/status/1667852157536616451
[4] https://olympecyberdefense.fr/1193-2/
[5] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/fr%C3%A9ttir/alverleg-nyveila-i-moveit-skraaflutnings-kerfi-fra-progress
[6] https://www.bleepingcomputer.com/news/security/new-moveit-transfer-critical-flaws-found-after-security-audit-patch-now/
[7] https://www.bankinfosecurity.com/moveit-discloses-more-vulnerabilities-issues-patch-a-22274
[8] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-Pending-Reserve-Status-June-9-2023
[9] https://sec.cloudapps.cisco.com/security/center/publicationListing.x
