Í vikunni hafa borist margar tilkynningar um veikleika og er farið yfir það
helsta í þessari frétt. Meðal annars hefur verið tilkynnt um veikleika í vörum
frá Siemens, Schneider Electronics, SAP, GitLab, Splunk, Intel, F5, Cisco,
Citrix og Fortinet.
1. Siemens og Schneider Electronics veikleikar [1]
—————————————————
Siemens hefur tilkynnt um 86 veikleika sem eiga m.a. við Comos hugbúnað,
Brownfield Connectivity, Tecnomatix Plant Simulation, JT Open Toolkit, JT
Utilities, Parasolid, Solid Edge og Simcenter Femap. Einn veikleiki í Comos
er með CVSS skor upp á 10.
Schneider Electric hefur tilkynnt um 10 veikleika sem eiga m.a. við
StruxureWare Data Center Expert, Merten KNX og EcoStruxure GEO SCADA Expert.
Veikleikana er hægt að misnota til að falsa atburðaskrár (e. logs), gefa
notendum hærri heimildir (e. privilege escalation) og keyra kóða sem
kerfisstjóri (e. RCE – Remote Code Execution).
2. SAP veikleikar [2]
———————-
SAP hefur hefur gefið út 26 tilkynningar um veikleika í SAP Business Client,
SAP Start Service, BASIS, BusinessObjects, Business Planning and Consolidation,
og fleiri vörum.
Helstu veikleikarnir eru CVE-2023-24523 í Start Service með CVSS skor 8.8 og
veikleikarnir CVE-2023-0020 og CVE-2023-24530 í BusinessObjects. Þeir tveir
síðarnefndu eru High-Priority samkvæmt SAP en veikleikarnir hafa ekki fengið
útgefið CVSS skor.
3. GitLab veikleikar [3]
————————-
GitLab hefur gefið út uppfærslur tengt tveimur alvarlegum veikleikum í bæði
GitLab Community Edition (CE) og GitLab Enterprise Edition (EE).
Veikleikinn á við allar Omnibus útgáfur frá 14.1 til 15.6.7, allar útgáfur
innan 15.7.x fyrir útgáfu 15.7.7 og allar útgáfur innan 15.8.x fyrir útgáfu
15.8.2. Uppfærslur sem laga veikleikana eru 15.6.8, 15.7.7 og 15.8.2.
Veikleikarnir eru CVE-2023-23946 og CVE-2023-22490 en ekki hafa verið gefin
út CVSS skor fyrir veikleikana.
Samkvæmt GitLab er hægt að misnota veikleikana saman sem getur leitt til þess
að gögn séu afrituð út fyrir GitLab umhverfið (e. data exfiltration).
4. Splunk veikleikar [4]
————————-
Splunk hefur gefið út uppfærslur vegna margra alvarlegra veikleika, meðal
annars vegna veikleika í hugbúnaði frá þriðja aðila sem eru notaðir í
hugbúnaði hjá Splunk.
Tveir veikleikanna eru CVE-2023-22939 og CVE-2023-22935, báðir með CVSS skor
upp á 8.1 sem geta leitt til þess að farið sé fram hjá vörnum gegn hættulegum
skipunum (e. bypass of safeguards for risky commands). Aðrir alvarlegir
veikleikar eru t.d. CVE-2023-22932 og CVE-2023-22933 sem eru XSS (e. cross-site
scripting) veikleikar.
Splunk lagfærir einnig veikleika í hugbúnaðarpakkanum libxml2, þar með talið
veikleikann CVE-2021-3518 með CVSS skor 8.8 og veikleikann CVE-2021-3517 með
CVSS skor 8.6. Einnig veikleikann CVE-2022-32212 í Node.js með CVSS skor 8.1.
Útgáfur 8.1.13, 8.2.10 og 9.0.4 af Splunk Enterprise eru útgáfur sem innihalda
uppfærslur gegn þessum og fleirum veikleikum.
5. Intel veikleikar [5][6]
—————————
Intel hefur gefið út uppfærslur vegna margra veikleika sem eru alvarlegir og
sumir mjög alvarlegir.
Veikleikinn CVE-2021-39296 er með CVSS skor 10 og er til staðar í Integrated
Baseboard Management Controller (BMC) og OpenBMC fastbúnaði (e. firmware) í
nokkrum vörum frá Intel. Veikleikinn er m.a. til staðar í netipmid sem gerir
ógnaraðila kleift að fá rótaraðgang.
Útgáfur sem innihalda uppfærslur gegn þessum veikleikum eru útgáfur 2.86, 2.09
og 2.78 af Integrated BMC fastbúnaði (e. firmware) og útgáfur 0.72, wht-1.01-61
og egs-0.91-179 af OpenBMC fastbúnaði.
Aðrir veikleikar koma fram í tilkynningu frá Intel.
6. F5 veikleikar [7]
———————
F5 hefur gefið út viðvörun um alvarlegan veikleika í BIG-IP sem getur leitt til
DoS árása og einnig mögulega keyrslu kóða (e. arbitrary code execution of
system commands). Veikleikinn er CVE-2023-22374 með CVSS skor 8.5.
Eftirfarandi útgáfur eru háðar veikleikanum:
– Útgáfa 17.0.0
– Útgáfur 16.1.2.2 til og með 16.1.3
– Útgáfur 15.1.5.1 til og með 15.1.8
– Útgáfur 14.1.4.6 til og með 14.1.5
– Útgáfa 13.1.5
F5 hefur gefið út ‘hotfix’ vegna veikleikans.
7. Cisco veikleikar [8][9]
—————————
Cisco hefur tilkynnt um veikleika sem hafa áhrif á margar vörur frá Cisco. Hægt
er að misnota suma veikleikanna til að ná stjórn á viðkomandi kerfi.
Þeir helstu eru:
– ClamAV HFS+ Partition scanning Buffer overflow veikleiki [10]
Auðkenni veikleika er CVE-2023-20032 með CVSS skor 9.8 skv. mati Cisco, en
veikleikinn hefur ekki fengið formlegt mat. Veikleikinn gefur ógnaraðila
færi á að keyra kóða sem kerfisstjóri (e. remote code execution).
– Veikleikar í Cisco Email Security Appliance og Cisco Secure Email og Web
Manager [11]
Veikleikarnir CVE-2023-20009 og CVE-2023-20075 eru báðir með CVSS skor 6.5
að mati Cisco, en veikleikinn hefur ekki fengið formlegt mat. Veikleikarnir
gefa ógnaraðila færi á að gefa notendum hærri heimildir (e. privilege
escalation) og að keyra skipanir (e. command injection).
– Veikleiki í Cisco Nexus Dashboard [12]
Veikleikinn CVE-2023-20014 er með CVSS skor 7.5 að mati Cisco, en
veikleikinn hefur ekki fengið formlegt mat. Veikleikinn er í dns virkni
búnaðarins og ógnaraðili getur nýtt veikleikann til að stöðva coreDNS
þjónustu eða valdið endurræsingu á búnaðinum.
8. Citrix veikleikar [13]
————————–
Citrix hefur tilkynnt um fjóra veikleika sem hafa áhrif á Citrix Workspace
Apps (Linux [14] og Windows [15]) og Citrix Virtual Apps and Desktops [16].
Veikleikarnir eru allir metnir alvarlegir (e. High) af Citrix en formlegt CVSS
skor liggur ekki fyrir. Veikleikana er hægt að misnota til að taka stjórn á
tæki háð veikleikunum.
9. Fortinet veikleikar [17]
————————————————————————
Fortinet hefur gefið út uppfærslur fyrir vörurnar FortiNAC og FortiWEB
vegna mjög alvarlegra veikleika sem gefa ógnaraðilum færi á að keyra
kóða og skipanir.
Veikleikinn CVE-2022-39952 með CVSS skor 9.8 er til staðar í eftirfarandi
FortiNAC útgáfum:
– öllum útgáfum 8.3
– öllum útgáfum 8.5
– öllum útgáfum 8.6
– öllum útgáfum 8.7
– öllum útgáfum 8.8
– útgáfu 9.1.0 til og með 9.1.7
– útgáfu 9.2.0 til og með 9.2.5
– útgáfu 9.4.0
Veikleikinn hefur verið lagfærður í FortiNAC útgáfum:
– 9.4.1 og síðar
– 9.2.6 og síðar
– 9.1.8 og síðar
– 7.2.0 og síðar
Veikleikinn CVE-2021-42756 með CVSS skor 9.3 er til staðar í eftirfarandi
FortiWEB útgáfum:
– öllum útgáfum 5.x
– útgáfum 6.0.7 og neðar
– útgáfum 6.1.2 og neðar
– útgáfum 6.2.6 og neðar
– útgáfum 6.3.16 og neðar
– útgáfum 6.2.6 og neðar
– öllum útgáfum 6.4.x
Veikleikinn hefur verið lagfærður í FortiWEB útgáfum:
– 7.0.0 og síðar
– 6.3.17 og síðar
– 6.2.7 og síðar
– 6.1.3 og síðar
10. Rekstrarvandamál tengt uppfærslum í Microsoft Patch Tuesday [18][19]
————————————————————————
Vísbendingar eru um að sýndarvélar (e. guest system) sem keyra Windows Server
2022 á vSphere ESXi 6.7 U2/U3 eða vSphere ESXi 7.0.x og eru með Secure Boot
stillt og með seinustu öryggisuppfærslur frá Microsoft tengt Patch Tuesday
muni ekki ræsa sig eðlilega.
Ekki er hægt að laga vandamálið með því að keyra út uppfærsluna, en VMWare er
með leiðbeiningar um hvernig megi komast fram hjá vandanum [17].
Óvissa er um hvort hægt sé að rekja vandann til annarra aðstæðna og ekki er að
svo stöddu hægt að sjá staðfestingu hjá Microsoft en CERT-IS vill koma þessu á
framfæri á þessu stigi við þá sem gætu verið í þessum aðstæðum.
11. CISA ICS og CISA Exploited Vulnerability catalog [20][21]
————————————————————–
Að lokum viljum við benda á að CISA hefur bætt við 15 tilkynningum
(e. advisories) tengt ICS búnaði (e. Industrial Control Systems) í vikunni [20]
og 1 veikleika á lista yfir þekkta veikleika sem ógnaraðilar misnota
(e. exploited vulnerability catalog) [21].
CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá viðkomandi
framleiðanda.
Tilvísanir:
[1] https://www.securityweek.com/ics-patch-tuesday-100-vulnerabilities-addressed-by-siemens-schneider-electric/
[2] https://www.securityweek.com/saps-february-2023-security-updates-patch-high-severity-vulnerabilities/
[3] https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
[4] https://www.securityweek.com/splunk-enterprise-updates-patch-high-severity-vulnerabilities/
[5] https://www.securityweek.com/dozens-of-vulnerabilities-patched-in-intel-products/
[6] https://www.theregister.com/2023/02/15/intel_sgx_vulns/
[7] https://my.f5.com/manage/s/article/K000130415
[8] https://www.cisa.gov/uscert/ncas/current-activity/2023/02/16/cisco-releases-security-advisories-multiple-products
[9] https://www.securityweek.com/critical-vulnerability-patched-in-cisco-security-products/
[10] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-q8DThCy
[11] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-sma-privesc-9DVkFpJ8
[12] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-dnsdos-bYscZOsu
[13] https://www.cisa.gov/uscert/ncas/current-activity/2023/02/14/citrix-releases-security-updates-workspace-apps-virtual-apps-and
[14] https://support.citrix.com/article/CTX477618/citrix-workspace-app-for-linux-security-bulletin-for-cve202324486
[15] https://support.citrix.com/article/CTX477617/citrix-workspace-app-for-windows-security-bulletin-for-cve202324484-cve202324485
[16] https://support.citrix.com/article/CTX477616/citrix-virtual-apps-and-desktops-security-bulletin-for-cve202324483
[17] https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaws-in-fortinac-and-fortiweb/
[18] https://kb.vmware.com/s/article/90947
[19] https://www.reddit.com/r/sysadmin/comments/1128v87/comment/j8lanvs/
[20] https://www.cisa.gov/uscert/ncas/current-activity/2023/02/16/cisa-releases-fifteen-industrial-control-systems-advisories
[21] https://www.cisa.gov/known-exploited-vulnerabilities-catalog