Nie ma to jak rozpocząć tydzień od łatania krytycznych podatności – a miało być tak pięknie! Pod koniec zeszłego tygodnia świat cybersecurity obiegły informacje o krytycznych podatnościach w bezpieczeństwie Cisco oraz Fortinet. Tych, którzy nie zabrali się jeszcze za ich łatanie, zachęcamy do przeprowadzenia tego procesu jak najszybciej. Podatności są bardzo ważne i mogą umożliwić atakującym dokonanie ataku na firmę.
Długo zastanawialiśmy się od opisania których luk zacząć, bo wszystkie są ciekawe. Gdybyśmy patrzyli „historycznie”, pod względem wystąpień i częstotliwości występowania ich na Kapitanie, zdecydowanym zwycięzcą zostałby tutaj Fortinet. Z drugiej strony nie tak dawno, bo na początku lutego, opisywaliśmy inne, grube podatności w Cisco. No cóż, rzuciliśmy monetą i wyszło Cisco, więc poniżej rozpoczynamy od tego producenta.
Podatności w Cisco i dostępne łatki
Podatności Cisco dotyczą kilku produktów zabezpieczających i sieciowych dla przedsiębiorstw. Naprawione zostały między innymi:
- krytyczna luka (CVE-2023-20032) w bibliotece skanowania ClamAV, używanej przez Secure Endpoint, Secure Endpoint Private Cloud i Secure Web Appliance oraz
- dwie luki wysokiego ryzyka (CVE-2023-20009, CVE-2023-20075) mające wpływ na urządzenie Email Security Appliance oraz Cisco Secure Email and Web Manager, dla których jest już dostępny kod exploita typu proof-of-concept (PoC).
Podatność CISCO CVE-2023-20032
Pierwsza luka, CVE-2023-20032, to luka w parserze plików partycji HFS+ różnych wersji ClamAV – bezpłatnego wieloplatformowego zestawu narzędzi do ochrony przed złośliwym oprogramowaniem, utrzymywanym przez Cisco Talos. „Wykryty błąd wynika z braku sprawdzania rozmiaru bufora, co może skutkować zapisem przepełnienia bufora sterty. Osoba atakująca może wykorzystać tę lukę, przesyłając spreparowany plik partycji HFS+ do przeskanowania przez ClamAV na zagrożonym urządzeniu. Udany exploit może pozwolić atakującemu na wykonanie dowolnego kodu z uprawnieniami procesu skanowania ClamAV lub też spowodować awarię procesu, powodując stan odmowy usługi (DoS)” – wyjaśnia Cisco.
Wersje ClamAV zawierające poprawkę tej podatności oraz poprawkę dla CVE-2023-20052, luki powodującej wyciek informacji, zostały wydane w środę, ale ponieważ biblioteka jest używana również w rozwiązaniach Secure Web Appliance i Secure Endpoint i nie ma na nie obejścia, te także muszą zostać zaktualizowane. Dobra wiadomość jest taka, iż żadna z tych luk nie jest aktywnie wykorzystywana.
Podatności CISCO CVE-2023-20009, CVE-2023-20075 i exploit
Kolejne podatności to możliwość przeprowadzania eskalacji uprawnień (CVE-2023-20009 ) i luka w zabezpieczeniach umożliwiająca wstrzykiwanie poleceń (CVE-2023-20075).
Występuje ona w urządzeniach do ochrony poczty e-mail oraz instancji Cisco Secure Email i Web Manager. Obie podatności administratorzy tych urządzeń powinni jak najszybciej naprawić, gdyż pojawił się exploit.
Aby atakujący mógł je wykorzystać i włamać się do środowiska IT, musi zdobyć prawidłowe dane uwierzytelniające użytkownika. Gdy już je uzyska, może użyć luk, aby podnieść swoje uprawnienia do root i wykonać na nich dowolne polecenia na urządzeniu, którego dotyczy problem. Jak wspomniano wcześniej, dla obu dostępny jest exploit PoC.
Podatności w Fortinet i dostępne łatki
Administratorzy urządzeń Fortinet mają ostatnio pełne ręce roboty związanej z aktualizacjami. Opisywana przez nas poważna podatność pozwalała zdalnie zalogować się do urządzenia z Internetu. W przypadku tego producenta wykryto i załatano krytyczne błędy RCE w FortiNAC i FortiWeb.
Podatność Fortinet CVE-2022-39952
Pierwszy błąd wpływa na FortiNAC, jest śledzony jako CVE-2022-39952 oraz posiada wynik CVSS v3 9,8 (krytyczny).
FortiNAC to rozwiązanie do kontroli dostępu do sieci, które pomaga organizacjom uzyskać widoczność sieci w czasie rzeczywistym, egzekwować zasady bezpieczeństwa oraz wykrywać i łagodzić zagrożenia. „Zewnętrzna kontrola luki w zabezpieczeniach nazwy pliku lub ścieżki [CWE-73] w serwerze internetowym FortiNAC może pozwolić nieuwierzytelnionemu atakującemu na wykonanie dowolnego zapisu w systemie” – wyjaśnia Fortinet.
Produkty, w których wykryto lukę, to:
- FortiNAC 9.4.0,
- FortiNAC w wersji od 9.2.0 do 9.2.5,
- FortiNAC w wersji od 9.1.0 do 9.1.7,
- wszystkie wersje FortiNAC 8.8,
- wszystkie wersje FortiNAC 8.7,
- wszystkie wersje FortiNAC 8.6,
- wszystkie wersje FortiNAC 8.5,
- wszystkie wersje FortiNAC 8.3.
Luka CVE-2022-39952 została naprawiona w FortiNAC 9.4.1 i nowszych, 9.2.6 i nowszych, 9.1.8 i nowszych oraz 7.2.0 i nowszych.
Podatność Fortinet CVE-2021-42756
Druga luka w zabezpieczeniach FortiWeb to CVE-2021-42756. Uzyskała wynik CVSS v3 na poziomie 9,3 (krytyczny) i dotyczy WAF-a. O dziwo identyfikator CVE wskazuje, iż luka została odkryta w 2021 r., ale do tej pory nie była publicznie ujawniona.
FortiWeb to zapora sieciowa (WAF) przeznaczona do ochrony aplikacji internetowych i interfejsów API przed atakami typu cross-site scripting (XSS), wstrzykiwaniem kodu SQL, atakami botów, DDoS (rozproszona odmowa usługi) i innymi zagrożeniami internetowymi. „Wiele luk związanych z przepełnieniem bufora opartych na stosie [CWE-121] w demonie proxy FortiWeb może pozwolić nieuwierzytelnionemu zdalnemu atakującemu na wykonanie dowolnego kodu dzięki specjalnie spreparowanych żądań HTTP” – opisuje Fortinet.
CVE-2021-42756 wpływa na poniższe wersje:
- FortiWeb wersje 5.x – wszystkie wersje,
- FortiWeb w wersji 6.0.7 i starszych,
- FortiWeb w wersji 6.1.2 i starszych,
- FortiWeb w wersji 6.2.6 i starszych,
- FortiWeb w wersji 6.3.16 i starszych,
- FortiWeb wersje 6.4 – wszystkie wersje.
W celu pozbycia się luki administratorzy powinni zaktualizować FortiWeb do wersji 7.0.0 lub nowszej, 6.3.17 lub nowszej, 6.2.7 lub nowszej, 6.1.3 lub nowszej oraz 6.0.8 lub nowszej.
Producent nie dostarczył porad dotyczących łagodzenia skutków ani obejść żadnej z tych wad, więc zastosowanie dostępnych aktualizacji zabezpieczeń jest jedynym sposobem na zaradzenie zagrożeniom. Należy pamiętać, iż ci, którzy nie zastosują aktualizacji w przypadku Cisco oraz Fortinet, będą wystawiali infrastrukturę IT na duże ryzyko ataku.