Tilkynnt hefur verið um veikleika í Cloud Director Appliance frá VMWare, Business One frá SAP, aðgangspunktum frá Aruba, örgjörvum og hugbúnaði frá Intel, örgjörvum frá AMD og veikleika í búnaði fyrir sýndarumhverfi (e. hypervisor) frá Citrix [1,3,4,6,7,8,14]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
CERT-IS mælir með að fylgjast með tilkynningum um uppfærslur frá framleiðendum búnaðar sem styðjast við Intel og AMD örgjörva til að koma í veg fyrir misnotkun tengt veikleikunum Reptar og CacheWarp.
Alvarlegir veikleikar (e. critical)
VMWare Cloud Director Appliance
VMWare hefur gefið út uppfærslu [1] vegna veikleikans CVE-2023-34060 með einkunn 9.8. Veikleikinn felur í sér að hægt er að fara fram hjá auðkenningu (e. authentication bypass). Veikleikinn á við þegar uppfært hefur verið í útgáfu 10.5 úr eldri útgáfum. Ógnaraðili með netaðgang að búnaðinum getur misnotað veikleikann þegar auðkennt er á móti porti 22 (ssh) og porti 5480 (appliance management console) en veikleikinn á ekki við port 443 (VCD Provider and Tenant login).
SAP Business One
SAP hefur gefið út safn veikleikatilkynninga fyrir nóvember mánuð [3,4]. Að þessu sinni er tilkynnt um þrjá nýja veikleika og uppfærðar upplýsingar um þrjár eldri tilkynningar. Alvarlegasti veikleikinn sem hefur ekki verið tilkynnt um áður er CVE-2023-31403 með einkunn 9.6 og felst í því að aðgangsstýringar eru ekki viðeigandi (e. improper access control). Veikleikinn gefur óauðkenndum aðilum (e. anonymous) aðgang að möppu sem er deilt yfir SMB (e. SMB shared folder).
Aruba aðgangspunktar
Aruba Networks hefur gefið út tilkynningu um 14 veikleika og þar af þrjá mjög alvarlega [6,7]. Veikleikarnir eru í stýrikerfi fyrir aðgangspunkta (e. access point OS) og gefa meðal annars óauðkenndum ógnaraðila færi á að keyra kóða sem kerfisnotandi (e. … give unauthenticated attackers remote code execution (RCE) as a privileged user).
Intel og AMD
Intel hefur upplýst um yfir 100 veikleika í bæði örgjörvum og hugbúnaði frá fyrirtækinu [8]. Veikleikinn CVE-2023-23583 sem fer undir nafninu Reptar [9,10] er með einkunn 8.8. Ógnaraðili getur misnotað veikleikann innan sýndarvélar (e. guest virtual machine) sem keyrir á netþjóni (e. hypervisor) með Intel örgjörva til að valda rekstrarstöðvun (e. host machine to crash). Intel upplýsti einnig um veikleikann CVE-2023-31237 með einkunn 10.0 í hugbúnaðinum Data Center Manager [8]. AMD hefur gefið út tilkynningu vegna 27 veikleika alls [8]. Meðal annars er tilkynnt um veikleikann CVE-2023-20592 sem fer undir nafninu CacheWarp. Veikleikinn hefur ekki fengið formlega einkunn en AMD gefur honum meðal einkunn (e. medium severity) [13].
Citrix Hypervisor
Citrix hefur upplýst um veikleikann CVE-2023-46835 í Citrix Hypervisor [14] sem gæti gert ógnaraðila kleift að keyra óværu á sýndarvél til að brjótast inn á (e. compromise) netþjóninn sjálfan (e. hypervisor). Ekki liggur fyrir mat á alvarleikaeinkunn veikleikans.
Eftirfarandi kerfi eru veik fyrir göllunum:
VMWare Cloud Director Appliance
Útgáfa 10.5 þegar uppfært hefur verið úr eldri útgáfu
SAP Business One
Útgáfa 10.0
Aruba aðgangspunktar
Tilgreindar útgáfur innan ArubaOS 10.4 og 10.5 ásamt InstantOS 8.6, 8.10 og 8.11 [7].
Intel og AMD
Sjá frekar tilkynningu frá Intel [11] varðandi Reptar veikleika. Intel Data Center Manager útgáfa <5.2 [12]. Sjá upplýsingar frá AMD [13] um tegund örgjörva sem eru háðir CacheWarp veikleikanum.
Citrix Hypervisor
Útgáfa 8.2 CU1 LTSR. Citrix hefur gefið út leiðbeiningar um við hvaða aðstæður veikleikinn eigi við [15].
Veikleikarnir hafa verið lagfærðir í eftirfarandi útgáfum:
VMWare Cloud Director Appliance
Fylgið leiðbeiningum KB95534 [2] frá VMWare
SAP Business One
Sjá tilkynningu 3355658 [5] frá SAP
Aruba aðgangspunktar
ArubaOS útgáfur 10.4.0.3 og 10.5.0.1 ásamt InstantOS útgáfum 8.6.0.23, 8.10.0.9 og 8.11.2.0. Aruba tekur fram að ekki verði gefnar út uppfærslur fyrir óstuddar útgáfur (e. End of Maintenance) sem eru háðar veikleikanum. Einnig koma fram ráðleggingar um hvernig megi loka á misnotkun (e. workaround). Sjá frekar í tilkynningu frá Aruba [7].
Intel og AMD
Til eru uppfærslur (e. microcode) fyrir intel örgjörva sem eru háðir Reptar veikleikanum [11]. Uppfæra í Data Center Manager útgáfu 5.2 [12]. AMD hefur gefið út uppfærslur (e. microcode patch and updated firmware image) ásamt nánari leiðbeiningum vegna CacheWarp [13].
Citrix Hypervisor
Citrix hefur gefið út uppfærslu (e. hotfix) vegna veikleikans [15] ásamt frekari leiðbeiningum.
Tilvísanir:
[1] https://www.vmware.com/security/advisories/VMSA-2023-0026.html
[2] https://kb.vmware.com/s/article/95534
[3] https://www.securityweek.com/sap-patches-critical-vulnerability-in-business-one-product/
[4] https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
[5] https://me.sap.com/notes/3355658
[6] https://www.itnews.com.au/news/aruba-networks-plugs-14-holes-in-access-point-oss-602400
[7] https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-017.txt
[8] https://www.securityweek.com/chipmaker-patch-tuesday-intel-amd-address-over-130-vulnerabilities/
[9] https://www.securityweek.com/new-intel-cpu-vulnerability-reptar-can-allow-dos-attacks-privilege-escalation/
[10] https://lock.cmpxchg8b.com/reptar.html
[11] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html
[12] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00902.html
[13] https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3005.html
[14] https://www.bleepingcomputer.com/news/security/citrix-hypervisor-gets-hotfix-for-new-reptar-intel-cpu-flaw/
[15] https://support.citrix.com/article/CTX583402/hotfix-xs82ecu1057-for-citrix-hypervisor-82-cumulative-update-1
