Hoppa yfir valmynd

Veikleikar í vörum frá Siemens, Gitlab, SAP, Intel, Cisco og fleirum

17. feb. 2023

Í vikunni hafa borist margar tilkynningar um veikleika og er farið yfir það 
helsta í þessari frétt. Meðal annars hefur verið tilkynnt um veikleika í vörum 
frá Siemens, Schneider Electronics, SAP, GitLab, Splunk, Intel, F5, Cisco,  
Citrix og Fortinet.

1. Siemens og Schneider Electronics veikleikar [1] 
---------------------------------------------------
Siemens hefur tilkynnt um 86 veikleika sem eiga m.a. við Comos hugbúnað, 
Brownfield Connectivity, Tecnomatix Plant Simulation, JT Open Toolkit, JT 
Utilities, Parasolid, Solid Edge og Simcenter Femap. Einn veikleiki í Comos 
er með CVSS skor upp á 10.

Schneider Electric hefur tilkynnt um 10 veikleika sem eiga m.a. við 
StruxureWare Data Center Expert, Merten KNX og EcoStruxure GEO SCADA Expert. 
Veikleikana er hægt að misnota til að falsa atburðaskrár (e. logs), gefa 
notendum hærri heimildir (e. privilege escalation) og keyra kóða sem 
kerfisstjóri (e. RCE - Remote Code Execution).


2. SAP veikleikar [2] 
----------------------
SAP hefur hefur gefið út 26 tilkynningar um veikleika í SAP Business Client, 
SAP Start Service, BASIS, BusinessObjects, Business Planning and Consolidation, 
og fleiri vörum.

Helstu veikleikarnir eru CVE-2023-24523 í Start Service með CVSS skor 8.8 og 
veikleikarnir CVE-2023-0020 og CVE-2023-24530 í BusinessObjects. Þeir tveir 
síðarnefndu eru High-Priority samkvæmt SAP en veikleikarnir hafa ekki fengið 
útgefið CVSS skor.


3. GitLab veikleikar [3] 
-------------------------
GitLab hefur gefið út uppfærslur tengt tveimur alvarlegum veikleikum í bæði 
GitLab Community Edition (CE) og GitLab Enterprise Edition (EE).

Veikleikinn á við allar Omnibus útgáfur frá 14.1 til 15.6.7, allar útgáfur 
innan 15.7.x fyrir útgáfu 15.7.7 og allar útgáfur innan 15.8.x fyrir útgáfu 
15.8.2. Uppfærslur sem laga veikleikana eru 15.6.8, 15.7.7 og 15.8.2.

Veikleikarnir eru CVE-2023-23946 og CVE-2023-22490 en ekki hafa verið gefin 
út CVSS skor fyrir veikleikana.

Samkvæmt GitLab er hægt að misnota veikleikana saman sem getur leitt til þess 
að gögn séu afrituð út fyrir GitLab umhverfið (e. data exfiltration).


4. Splunk veikleikar [4] 
-------------------------
Splunk hefur gefið út uppfærslur vegna margra alvarlegra veikleika, meðal 
annars vegna veikleika í hugbúnaði frá þriðja aðila sem eru notaðir í 
hugbúnaði hjá Splunk.

Tveir veikleikanna eru CVE-2023-22939 og CVE-2023-22935, báðir með CVSS skor 
upp á 8.1 sem geta leitt til þess að farið sé fram hjá vörnum gegn hættulegum 
skipunum (e. bypass of safeguards for risky commands). Aðrir alvarlegir 
veikleikar eru t.d. CVE-2023-22932 og CVE-2023-22933 sem eru XSS (e. cross-site 
scripting) veikleikar.

Splunk lagfærir einnig veikleika í hugbúnaðarpakkanum libxml2, þar með talið 
veikleikann CVE-2021-3518 með CVSS skor 8.8 og veikleikann CVE-2021-3517 með 
CVSS skor 8.6. Einnig veikleikann CVE-2022-32212 í Node.js með CVSS skor 8.1.

Útgáfur 8.1.13, 8.2.10 og 9.0.4 af Splunk Enterprise eru útgáfur sem innihalda 
uppfærslur gegn þessum og fleirum veikleikum.


5. Intel veikleikar [5][6] 
---------------------------
Intel hefur gefið út uppfærslur vegna margra veikleika sem eru alvarlegir og 
sumir mjög alvarlegir.

Veikleikinn CVE-2021-39296 er með CVSS skor 10 og er til staðar í Integrated 
Baseboard Management Controller (BMC) og OpenBMC fastbúnaði (e. firmware) í 
nokkrum vörum frá Intel. Veikleikinn er m.a. til staðar í netipmid sem gerir 
ógnaraðila kleift að fá rótaraðgang.

Útgáfur sem innihalda uppfærslur gegn þessum veikleikum eru útgáfur 2.86, 2.09 
og 2.78 af Integrated BMC fastbúnaði (e. firmware) og útgáfur 0.72, wht-1.01-61 
og egs-0.91-179 af OpenBMC fastbúnaði.

Aðrir veikleikar koma fram í tilkynningu frá Intel.


6. F5 veikleikar [7] 
---------------------
F5 hefur gefið út viðvörun um alvarlegan veikleika í BIG-IP sem getur leitt til 
DoS árása og einnig mögulega keyrslu kóða (e. arbitrary code execution of 
system commands). Veikleikinn er CVE-2023-22374 með CVSS skor 8.5.

Eftirfarandi útgáfur eru háðar veikleikanum: 
- Útgáfa 17.0.0
- Útgáfur 16.1.2.2 til og með 16.1.3
- Útgáfur 15.1.5.1 til og með 15.1.8
- Útgáfur 14.1.4.6 til og með 14.1.5
- Útgáfa 13.1.5

F5 hefur gefið út 'hotfix' vegna veikleikans.


7. Cisco veikleikar [8][9] 
---------------------------
Cisco hefur tilkynnt um veikleika sem hafa áhrif á margar vörur frá Cisco. Hægt 
er að misnota suma veikleikanna til að ná stjórn á viðkomandi kerfi.

Þeir helstu eru: 
- ClamAV HFS+ Partition scanning Buffer overflow veikleiki [10]
 Auðkenni veikleika er CVE-2023-20032 með CVSS skor 9.8 skv. mati Cisco, en 
 veikleikinn hefur ekki fengið formlegt mat. Veikleikinn gefur ógnaraðila 
 færi á að keyra kóða sem kerfisstjóri (e. remote code execution).

- Veikleikar í Cisco Email Security Appliance og Cisco Secure Email og Web 
 Manager [11] 
 Veikleikarnir CVE-2023-20009 og CVE-2023-20075 eru báðir með CVSS skor 6.5 
 að mati Cisco, en veikleikinn hefur ekki fengið formlegt mat. Veikleikarnir 
 gefa ógnaraðila færi á að gefa notendum hærri heimildir (e. privilege 
 escalation) og að keyra skipanir (e. command injection).

- Veikleiki í Cisco Nexus Dashboard [12] 
 Veikleikinn CVE-2023-20014 er með CVSS skor 7.5 að mati Cisco, en 
 veikleikinn hefur ekki fengið formlegt mat. Veikleikinn er í dns virkni 
 búnaðarins og ógnaraðili getur nýtt veikleikann til að stöðva coreDNS 
 þjónustu eða valdið endurræsingu á búnaðinum.


8. Citrix veikleikar [13] 
--------------------------
Citrix hefur tilkynnt um fjóra veikleika sem hafa áhrif á Citrix Workspace 
Apps (Linux [14] og Windows [15]) og Citrix Virtual Apps and Desktops [16].

Veikleikarnir eru allir metnir alvarlegir (e. High) af Citrix en formlegt CVSS 
skor liggur ekki fyrir. Veikleikana er hægt að misnota til að taka stjórn á 
tæki háð veikleikunum.


9. Fortinet veikleikar [17] 
------------------------------------------------------------------------
Fortinet hefur gefið út uppfærslur fyrir vörurnar FortiNAC og FortiWEB 
vegna mjög alvarlegra veikleika sem gefa ógnaraðilum færi á að keyra 
kóða og skipanir.

Veikleikinn CVE-2022-39952 með CVSS skor 9.8 er til staðar í eftirfarandi 
FortiNAC útgáfum:

- öllum útgáfum 8.3
- öllum útgáfum 8.5
- öllum útgáfum 8.6
- öllum útgáfum 8.7
- öllum útgáfum 8.8
- útgáfu 9.1.0 til og með 9.1.7
- útgáfu 9.2.0 til og með 9.2.5
- útgáfu 9.4.0

Veikleikinn hefur verið lagfærður í FortiNAC útgáfum:

- 9.4.1 og síðar 
- 9.2.6 og síðar 
- 9.1.8 og síðar 
- 7.2.0 og síðar

Veikleikinn CVE-2021-42756 með CVSS skor 9.3 er til staðar í eftirfarandi 
FortiWEB útgáfum:

- öllum útgáfum 5.x
- útgáfum 6.0.7 og neðar
- útgáfum 6.1.2 og neðar 
- útgáfum 6.2.6 og neðar 
- útgáfum 6.3.16 og neðar 
- útgáfum 6.2.6 og neðar 
- öllum útgáfum 6.4.x

Veikleikinn hefur verið lagfærður í FortiWEB útgáfum:

- 7.0.0 og síðar 
- 6.3.17 og síðar 
- 6.2.7 og síðar 
- 6.1.3 og síðar


10. Rekstrarvandamál tengt uppfærslum í Microsoft Patch Tuesday [18][19] 
------------------------------------------------------------------------
Vísbendingar eru um að sýndarvélar (e. guest system) sem keyra Windows Server 
2022 á vSphere ESXi 6.7 U2/U3 eða vSphere ESXi 7.0.x og eru með Secure Boot 
stillt og með seinustu öryggisuppfærslur frá Microsoft tengt Patch Tuesday 
muni ekki ræsa sig eðlilega.

Ekki er hægt að laga vandamálið með því að keyra út uppfærsluna, en VMWare er 
með leiðbeiningar um hvernig megi komast fram hjá vandanum [17].

Óvissa er um hvort hægt sé að rekja vandann til annarra aðstæðna og ekki er að 
svo stöddu hægt að sjá staðfestingu hjá Microsoft en CERT-IS vill koma þessu á 
framfæri á þessu stigi við þá sem gætu verið í þessum aðstæðum.


11. CISA ICS og CISA Exploited Vulnerability catalog [20][21]
--------------------------------------------------------------
Að lokum viljum við benda á að CISA hefur bætt við 15 tilkynningum 
(e. advisories) tengt ICS búnaði (e. Industrial Control Systems) í vikunni [20] 
og 1 veikleika á lista yfir þekkta veikleika sem ógnaraðilar misnota 
(e. exploited vulnerability catalog) [21].


CERT-IS mælir með að uppfæra án tafa og fara eftir ráðleggingum frá viðkomandi 
framleiðanda.


Tilvísanir: 
[1] https://www.securityweek.com/ics-patch-tuesday-100-vulnerabilities-addressed-by-siemens-schneider-electric/
[2] https://www.securityweek.com/saps-february-2023-security-updates-patch-high-severity-vulnerabilities/
[3] https://about.gitlab.com/releases/2023/02/14/critical-security-release-gitlab-15-8-2-released/
[4] https://www.securityweek.com/splunk-enterprise-updates-patch-high-severity-vulnerabilities/
[5] https://www.securityweek.com/dozens-of-vulnerabilities-patched-in-intel-products/
[6] https://www.theregister.com/2023/02/15/intel_sgx_vulns/
[7] https://my.f5.com/manage/s/article/K000130415
[8] https://www.cisa.gov/uscert/ncas/current-activity/2023/02/16/cisco-releases-security-advisories-multiple-products
[9] https://www.securityweek.com/critical-vulnerability-patched-in-cisco-security-products/
[10] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-clamav-q8DThCy
[11] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-esa-sma-privesc-9DVkFpJ8
[12] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-dnsdos-bYscZOsu
[13] https://www.cisa.gov/uscert/ncas/current-activity/2023/02/14/citrix-releases-security-updates-workspace-apps-virtual-apps-and
[14] https://support.citrix.com/article/CTX477618/citrix-workspace-app-for-linux-security-bulletin-for-cve202324486
[15] https://support.citrix.com/article/CTX477617/citrix-workspace-app-for-windows-security-bulletin-for-cve202324484-cve202324485
[16] https://support.citrix.com/article/CTX477616/citrix-virtual-apps-and-desktops-security-bulletin-for-cve202324483
[17] https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaws-in-fortinac-and-fortiweb/
[18] https://kb.vmware.com/s/article/90947
[19] https://www.reddit.com/r/sysadmin/comments/1128v87/comment/j8lanvs/
[20] https://www.cisa.gov/uscert/ncas/current-activity/2023/02/16/cisa-releases-fifteen-industrial-control-systems-advisories
[21] https://www.cisa.gov/known-exploited-vulnerabilities-catalog