Popis zranitelnosti:

Neautentizovaný útočník, který má dostupnou (např. není blokováno ACL/FW/…) HTTP/HTTPS administraci zařízení, si může na zařízení vytvořit nového uživatele s právy administrátora.

Seznam HW, který používá tento IOS (seznam nemusí být kompletní):

• ASR routery
• switche Cisco Catalyst řada 9XXX
• ISR routery řady 4000
• nový WiFi kontroler – Cisco 9800
• Cisco Cloud Services Routery

Řešení:

Ke dni 19.10.2023 není dostupná novější verze IOS s vyřešením tohoto problému.

Doporučeno aplikovat některé z doporučení:

• vypnout HTTP/HTTPS na rozhraních volně dostupných potencionálnímu útočníkovi (WAN / DMZ)
• rozhraní HTTP/HTTPS mít za FW
• rozhraní HTTP/HTTPS povolit jen vyjmenovaných adres pomocí ACL

Zdroj:

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
• https://vulncheck.com/blog/cisco-implants

Popis zranitelnosti:

Posláním speciálně vytvořeného UDP paketu na port 8211 (PAPI, Aruba’s access point management protocol) útočník může provést libovolný kód na podkladovém OS.

Kompletní seznam zranitelností:

• CVE-2022-25667, CVSS 7.5
• CVE-2023-35980, CVSS 9.8
• CVE-2023-35981, CVSS 9.8
• CVE-2023-35982, CVSS 9.8

Postižené verze:

• ArubaOS 10.4.x.x: 10.4.0.1 a nižší
• InstantOS 8.11.x.x: 8.11.1.0 a nižší
• InstantOS 8.10.x.x: 8.10.0.6 a nižší
• InstantOS 8.6.x.x: 8.6.0.20 a nižší
• InstantOS 6.5.x.x: 6.5.4.24 a nižší
• InstantOS 6.4.x.x: 6.4.4.8-4.2.4.21 a nižší

Postižené verze, již mimo  podporu výrobce (již pro ně nebude záplata):

• ArubaOS 10.3.x.x
• InstantOS 8.9.x.x
• InstantOS 8.8.x.x
• InstantOS 8.7.x.x
• InstantOS 8.5.x.x
• InstantOS 8.4.x.x

Netýká se:

• Aruba Mobility Conductor
• Aruba Mobility Controller
• AP řízené Mobility Controller (HW kontroler)
• Aruba SD-WAN Gateway
• Aruba Instant On

Řešení:

Verze ArubaOS, které by měli být záplatované:

• ArubaOS 10.4.x.x: 10.4.0.2 a vyšší
• InstantOS 8.11.x.x: 8.11.1.1 a vyšší
• InstantOS 8.10.x.x: 8.10.0.7 a vyšší
• InstantOS 8.6.x: 8.6.0.21 a vyšší
• InstantOS 6.5.x: 6.5.4.25 a vyšší
• InstantOS 6.4.x: 6.4.4.8-4.2.4.22 a vyšší

Ke dni 2.8.2023 nám není znám volně dostupný PoC kód zneužívající výše uvedené, ale přesto doporučujeme zaplánovat aktualizaci na nejnovější verzi firmware s obsaženou záplatou.

Zdroj:

• HPE Aruba Networking Product Security Advisory ARUBA-PSA-2023-009

Popis zranitelnosti:

Pokud používáte routery Mikrotik s firmware 6.X, doporučujeme aktualizovat na poslední verzi 6.49.8 (dostupné jako aktuálně poslední long-term). Více viz odkaz níže.

Zdroj:

• Exploiting MikroTik RouterOS Hardware with CVE-2023-30799

Popis zranitelnosti:

Chyba se nachází v implementaci SSL VPN a aktuálně jsou zranitelné všechny zařízení, které mají SSL VPN portál vystavený do Internetu. Útočník pomocí této zranitelnosti může vykonat na zařízení spuštění libovolného kódu a ani nasazení MFA (vícefaktorová autentizace) v tomto případě nepomůže.

Řešení:

Aktualizovat firmware na jednu z verzí:

• 6.0.17
• 6.2.15
• 6.4.13
• 7.0.12
• 7.2.5.

Zdroj:

• https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vpn-devices-patch-now/

Aktualizace příspěvku:

• 12.6. – původní verze článku
• 19.6. – doplnění CVSS a přezdívky zranitelnosti

Popis zranitelnosti:

Zasláním vhodně připraveného provozu na webové rozhraní firewallu může vést k spuštění libovolného kódu připraveného útočníkem či znemožnění fungování zařízení.

Týká se řad:

• ATP
• USG FLEX
• VPN
• ZyWALL/USG

Řešení:

Aktualizace firmware na verzi 5.36 patch 2.

Doporučení:

• webové rozhraní firewallu ponechat povolené jen z vybraných veřejných IP

Zdroj:

• https://securityonline.info/cve-2023-33009-cve-2023-33010-critical-zyxel-firewall-vulnerabilities/

Popis zranitelnosti:

Zasláním vhodně připraveného provozu na webové rozhraní firewallu může vést k spuštění libovolného kódu připraveného útočníkem.

Týká se řad:

• ATP
• USG FLEX
• VPN
• ZyWALL/USG

Řešení:

Aktualizace firmware na verzi 5.36.

Doporučení:

• webové rozhraní firewallu ponechat povolené jen z vybraných veřejných IP

Zdroj:

• https://www.securityweek.com/critical-vulnerability-in-zyxel-firewalls-leads-to-command-execution/

https://www.veeam.com/

Ke stažení je i Community Edition.

Veeam Backup & Replication je komplexní řešení ochrany dat a obnovy po havárii. Pomocí Veeam Backup & Replication můžete vytvářet zálohy na úrovni bitové kopie virtuálních, fyzických a cloudových počítačů a obnovovat z nich. Technologie použitá v produktu optimalizuje přenos dat a spotřebu zdrojů, což pomáhá minimalizovat náklady na úložiště a dobu obnovy v případě havárie.

Citace použita z webu Veeam.com

Popis zranitelnosti:

Útočník s přímým síťovým přístupem k Veeam serveru (výchozí síťový port TCP/9401) si je schopný vytáhnout hesla interních uživatelů bez jakékoli autentizace.

Řešení:

Verze firmware, ve které je tato zranitelnost opravena:

• 12 (build 12.0.0.1420 P20230223)
• 11a (build 11.0.1.1261 P20230227)

Doporučení:

• provést aktualizaci
• nenechávat Veeam server přístupný do Internetu

Zdroj:

• informace od výrobce: KB4424
• souhrnný článek: Martin Haller @ LinkedIn

Popis zranitelnosti:

Speciálně upravený e-mail, který obsahuje UNC cestu (směřující na stroj ovládaný útočníkem), vynutí na straně oběti autentizaci uživatele. To se může stát bez interakce uživatele  a v úspěšném případě Outlook odešle útočníkovi Net-NTLMv2 hash oběti. Ten lze použít pro pohyb útočníka v rámci lokální sítě oběti pro přihlašování k dalším zařízení, kde hash lze použít namísto hesla (forma útoku Pass the Hash).

Doporučení:

• aktualizace Outlook klienta na verzi, která byla vydána minimálně 14.3.2023 či později
• blokovat odchozí SMB (TCP/445) do Internetu
• případně přidání uživatelů do Protected Users Security Group – použít s rozvahou, může mít negativní vliv na autentizaci na další služby v rámci organizace

Zdroj:

• https://www.nukib.cz/cs/infoservis/hrozby/1945-upozornujeme-na-zranitelnost-cve-2023-23397/
• https://www.bleepingcomputer.com/news/security/critical-microsoft-outlook-bug-poc-shows-how-easy-it-is-to-exploit/ (obsahuje video úspěšného útoku)

Popis zranitelnosti:

Webové (HTTP/HTTPS) rozhraní pro administraci vystavené do Internetu může být zneužito útočníkem k spuštění libovolného kódu případně k úplnému znefunkčnění daného zařízení (DOS).

Řešení:

Aktualizace zařízení na jednu z následujících verzí:

• FortiOS verze 7.4.0 či novější
• FortiOS verze 7.2.4 či novější
• FortiOS verze 7.0.10 či novější
• FortiOS verze 6.4.12 či novější
• FortiOS verze 6.2.13 či novější
• FortiProxy verze 7.2.3 či novější
• FortiProxy verze 7.0.9 či novější
• FortiProxy verze 2.0.12 či novější
• FortiOS-6K7K verze 7.0.10 či novější
• FortiOS-6K7K verze 6.4.12 či novější
• FortiOS-6K7K verze 6.2.13 či novější

Doporučení:

• aktualizace na doporučenou verzi viz výše
• omezit zdrojové IP, ze kterých je možné zařízení administrovat
• případně vypnout HTTP(S) přístup z Internetu

Zdroj:

• https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-critical-unauthenticated-rce-vulnerability/