Tilkynnt var um nokkra alvarlega veikleika í MobileIron Core hjá Ivanti, Firefox ESR og Thunderbird hjá MozillaUR32L og MilesightVPN hjá MilesightBIG-IP hjá F5 og Aruba CX hjá HPE. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður eða útfæra þær mótvægisaðgerðir samkvæmt upplýsingum frá fyrirtæki.
Alvarlegir veikleikar (e. critical)
MobileIron Core
Veikleikinn CVE-2023-35082 með CVSSv3 veikleikastig upp á 10.0 gerir óauðkenndum ógnaraðila kleift að nálgast persónugreinanlegar upplýsingar notandans og gera takmarkaðar breytingar á þjóninum [1].
Firefox ESR og Thunderbird
Mozilla sendi frá sér lista af veikleikum, í heildina voru gefnir út 14 veikleikar og eru 9 af þeim flokkaðir sem alvarlegir [2]. Veikleikarnir gera ógnaraðila meðal annars fært að fjarkeyra kóða (e. remote code execution) og brjótast út úr einangruðu umhverfi (e. sandbox escape) [3].
UR32L og MilesightVPN
Talos hefur gefið út niðurstöður úr rannsókn sem framkvæmd var fyrir veikleika í algengustu netbeinunum (e. routers) sem finna má á heimilum og í fyrirtækjum. Þar er meðal annars fjallað um alvarlega veikleika í Milesight UR32L netbeinum og MilesightVPN þar sem að sá alvarlegasti er CVE-2023-23902 með CVSSv3 veikleikastig upp á 9.8 og gefur óauðkenndum ógnaraðila færi á að fjarkeyra kóða (e. remote code execution) [4,5].
BIG-IP
F5 sendi frá sér lista af veikleikum, í heildina voru gefnir út 7 veikleikar og eru 3 af þeim flokkaðir sem alvarlegir. Veikleikarnir gera ógnaraðila meðal annars kleift að öðlast aukin réttindi, taka yfir kerfi og beina netumferð yfir á sýktan þjón. Í öllum tilfellum þarf ógnaraðili að vera auðkenndur til þess að mistnota veikleikana. Búið er að gefa út uppfærslur fyrir hluta af veikleikunum, ásamt mótvægisaðgerðum fyrir hina [6,7].
Aruba CX
Veikleikinn CVE-2023-3718 með CVSSv3 veikleikastig upp á 8.8 felur í sér galla í AOS-CX skipanalínuviðmóti (e. command line interface) sem gerir ógnaraðila kleift að keyra skipanir (e. arbitrary commands) með auknum réttindum [8,9].
Eftirfarandi kerfi eru veik fyrir göllunum:
MobileIron Core: 11.2
Firefox ESR: < 116, < 115.1 og < 102.14
Thunderbird: < 115.1 og < 102.14
Milesight UR32L og MilesightVPN: < 32.3.0.5
BIG-IP: 17.0.0 – 17.1.0, 16.1.0 – 16.1.3, 15.1.0 – 15.1.9, 14.1.0 – 14.1.5, 13.1.0 – 13.1.5
BIG-IP APM Clients: 7.2.3 – 7.2.4
AOS-CX fyrir Aruba CX [10000, 9300, 8400, 8360, 8325, 8320, 6400, 6300, 6200, 6100, 6000, 4100i] Switch Series: < 10.11.1010 og < 10.10.1050
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
MobileIron Core: 11.3
Firefox ESR: 116, 115.1 og 102.14
Thunderbird: 115.1, 102.14
Milesight UR32L og MilesightVPN: 32.3.0.5
BIG-IP: 17.1.0.2, 16.1.3.5, 15.1.9.1, 14.1.5.5 (Aðeins CVE-2023-38138)
BIG-IP APM Clients: 7.2.4.3
AOS-CX fyrir Aruba CX [10000, 9300, 8400, 8360, 8325, 8320, 6400, 6300, 6200, 6100, 6000, 4100i] Switch Series: >= 10.12.0006, >= 10.11.1021, >= 10.10.1060
Tilvísanir:
[1] https://forums.ivanti.com/s/article/CVE-2023-35082-Remote-Unauthenticated-API-Access-Vulnerability-in-MobileIron-Core-11-2-and-older?language=en_US
[2] https://www.cisa.gov/news-events/alerts/2023/08/02/mozilla-releases-security-updates-firefox-and-firefox-esr
[3] https://www.securityweek.com/firefox-116-patches-high-severity-vulnerabilities/
[4] https://blog.talosintelligence.com/router-researcher-vulnerability-spotlight-23/
[5] https://talosintelligence.com/vulnerability_reports/TALOS-2023-1697
[6] https://my.f5.com/manage/s/article/K000135479
[7] https://my.f5.com/manage/s/article/K000134990
[8] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-010.txt
[9] https://nvd.nist.gov/vuln/detail/CVE-2023-3718
