Cisco – Small Business Series Switches
Alls eru átta af níu veikleikunum með CVSSv3 skor 8.6 og hærra, þar af fjórir með 9.8. Veikleikana geta ógnaraðilar nýtt sér þá til að keyra kóða sem kerfisstjóri (e. remote code execution as root) og í DoS árásir.
Kóðabútar (e. proof-of-concept) sem nýta veikleikana hafa verið gefnir út en Cisco veit ekki til þess að veikleikarnir hafi verið misnotaðir til þessa [1].
Eftirfarandi kerfi eru veik fyrir göllunum:
– 250 Series Smart Switches: firmware version <= 2.5.9.15
– 350 Series Managed Switches: firmware version <= 2.5.9.15
– 350X Series Stackable Managed Switches: firmware version <= 2.5.9.15
– 550X Series Stackable Managed Switches: firmware version <= 2.5.9.15
– Business 250 Series Smart Switches: firmware version <= 3.3.0.15
– Business 350 Series Managed Switches: firmware version <= 3.3.0.15
– Small Business 200 Series Smart Switches: Fær ekki öryggisuppfærslu [2]
– Small Business 300 Series Managed Switches: Fær ekki öryggisuppfærslu [3]
– Small Business 500 Series Stackable Managed Switches: Fær ekki öryggisuppfærslu [4]
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
– 250 Series Smart Switches: firmware version 2.5.9.16
– 350 Series Managed Switches: firmware version 2.5.9.16
– 350X Series Stackable Managed Switches: firmware version 2.5.9.16
– 550X Series Stackable Managed Switches: firmware version 2.5.9.16
– Business 250 Series Smart Switches: firmware version 3.3.0.16
– Business 350 Series Managed Switches: firmware version 3.3.0.16
[1] – https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv
[2] – https://www.cisco.com/c/en/us/products/collateral/switches/small-business-smart-switches/eos-eol-notice-c51-740541.html
[3] – https://www.cisco.com/c/en/us/products/switches/small-business-300-series-managed-switches/eos-eol-notice-listing.html
[4] – https://www.cisco.com/c/en/us/products/collateral/switches/small-business-500-series-stackable-managed-switches/eos-eol-notice-c51-739827.html
Elementor (fyrir WordPress) – Essential Addons
Veikleikinn CVE-2023-32243 (CVSSv3 skor 9.8) gefur ógnaraðilum færi á að endursetja lykilorð aðganga og taka þannig yfir þá. Vitað er til þess að ógnarhópar séu að skanna eftir vefsíðum sem háðar eru veikleikanum til að nýta sér hann. [5,6]
Eftirfarandi kerfi eru veik fyrir göllunum:
– Essential Addons – Elementor: 5.4.0 til og með 5.7.1
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
– Essential Addons – Elementor: 5.7.2
[5] – https://nvd.nist.gov/vuln/detail/CVE-2023-32243
[6] – https://www.bleepingcomputer.com/news/security/hackers-target-vulnerable-wordpress-elementor-plugin-after-poc-released/
Trend Micro – Mobile Security for Enterprise
Trend Micro hefur tilkynnt um alls átta veikleika í Mobile Security for Enterprise 9.8 vörunni sinni. Einn veikleikann CVE-2023-32521 hefur fengið (CVSSv3 skor 9.1) gerir ógnaraðilum kleift að eyða skrám af kerfi notenda. [7]
Eftirfarandi kerfi eru veik fyrir göllunum:
– Mobile Security (Enterprise): 9.8 SP5
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
– Mobile Security (Enterprise): 9.8 SP5 Critical Patch B3284
[7] – https://success.trendmicro.com/dcx/s/solution/000293106
Apple – ýmsar vörur
Apple hefur gefið út öryggisuppfærslur sem eiga við þrjá nýveilu veikleika (zero-day vulnerabilities) sem hafa verið misnotaðir til brjótast í iPhone, Mac og iPad. Veikleikarnir geta gert ógnaraðila kleift að komast í viðkvæm gögn, keyra upp spillikóða og brjótast úr Web Content sandboxi. Veikleikarnir tengjast allir Apple WebKit sem er notað af Safari og öðrum vöfrum í iOS. [8]
Öryggisuppfærslur voru gefnar út af Apple þann 18. maí og hvetur CERT-IS notendur slíkra tækja að uppfæra þau, ef það hefur ekki þegar verið gert [9]. Hægt er að kveikja á sjálfvirkum uppfærslum í stillingum tækjanna (Settings > General > Software Updates > Enable Automatic Update).
Eftirfarandi kerfi eru veik fyrir göllunum:
– iOS og iPadOS: <= 16.4.1 – Þetta á við [iPhone 8 og nýrri, iPad Pro, iPad Air frá þriðju kynslóð og nýrri, iPad frá fimmtu kynslóð og nýrri, og iPad mini frá fimmtu kynslóð og nýrri]
– iOS og iPadOS: <= 15.7.5 – Þetta á við – [iPhone 6s, iPhone 7, iPhone SE (fyrsta kynslóð), iPad Air 2, iPad mini (fjórða kynslóð), og iPod touch (sjöunda kynslóð)]
– MacOS Big Sur: <= 11.7.6
– MacOS Ventura: <= 13.3.1
– MacOS Monterey: <= 12.6.5
– TvOS: <= 16.4
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
– iOS og iPadOS: 16.5 – Þetta á við [iPhone 8 og nýrri, iPad Pro, iPad Air frá þriðju kynslóð, iPad frá fimmtu kynslóð og iPad mini frá fimmtu kynslóð]
– iOS og iPadOS: 15.7.6 – Þetta á við – [iPhone 6s, iPhone 7, iPhone SE (fyrsta kynslóð), iPad Air 2, iPad mini (fjórða kynslóð), og iPod touch (sjöunda kynslóð)]
– MacOS Big Sur: 11.7.7
– MacOS Ventura: 13.4
– MacOS Monterey: 12.6.6
– TvOS: 16.5
[8] – https://www.csa.gov.sg/alerts-advisories/alerts/2023/al-2023-065
[9] – https://support.apple.com/en-sg/HT201222
Johnson OpenBlue Enterprise Manager Data Collector
Veikleikinn CVE-2023-2024 er með hæsta mögulega CVSSv3 skor 10.0 og gerir fjartengdum ógnaraðilum kleift að komast að viðkvæmum gögnum í gegnum óauðkennd API köll á OpenBlue Enterprise Manager Data Collector [4].
Eftirfarandi kerfi eru veik fyrir göllunum:
– Johnson OpenBlue Enterprise Manager Data Collector: < 3.2.5.75
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
– Johnson OpenBlue Enterprise Manager Data Collector 3.2.5.75 – Athugið að hafa þarf samband við Johnson Controls til að fá uppfærsluna
[10] – https://www.cisa.gov/news-events/ics-advisories/icsa-23-138-04