Forskellige aktører har i en årrække udnyttet sårbarheder i internetvendte netværksenheder som eksempelvis firewalls og VPN-gateways til at få yderligere adgang til systemer på netværket eller som afsæt for cyberangreb mod andre organisationer.  Det er blandt andet set i forbindelse med et angreb mod virksomheder i energisektoren i maj 2023.

 

Center for Cybersikkerhed opfordrer generelt til at være opmærksom på at sikre denne type enheder ved at opdatere softwaren og begrænse adgang til webbaserede administrationsværktøjer.

 

En række aktuelle forsøg på at udnytte nye sårbarheder i netværksenheder understreger vigtigheden af at sikre denne type enheder. Kritiske sårbarheder i netværksudstyr fra Ivanti og Citrix er ifølge leverandørerne blevet udnyttet til at kompromittere udstyret.

 

Ivanti Connect Secure

Ivanti advarede første gang 10. januar 2024 om to sårbarheder i produkterne Ivanti Connect Secure og Ivanti Policy Secure. Det er produkter, som bruges som VPN-gateways. Ivanti oplyser, at selskabets blev gjort opmærksom på sårbarhederne af sikkerhedsfirmaet Volexity.

 

Ivanti forventer at være klar med en sikkerhedsopdatering til softwaren omkring den 22. januar. Selskabet oplyser, at man forventer at udgive opdateringer til de nyeste versioner først, mens ældre udgaver af softwaren vil få opdatering i de efterfølgende uger.

 

I mellemtiden har Ivanti offentliggjort en midlertidig workaround i form af en XML-fil, som kan downloades fra Ivantis supportside. Ivanti gør i den forbindelse opmærksom på, at der er set tegn på, at en aktør, som har udnyttet sårbarheden, forsøger at ændre i det indbyggede værktøj, som bruges til at tjekke filer, som hentes til enhederne. Derfor anbefaler Ivanti at bruge Ivantis eksterne værktøj. Se i øvrigt Ivantis varsel og beskrivelse af den midlertidige workaround.

 

Center for Cybersikkerhed opfordrer berørte Ivanti-kunder til både at installere sikkerhedsopdateringer, når de bliver tilgængelige, og til at tjekke logfiler for de tegn på mulig kompromittering, som er beskrevet i Volexitys blog om sårbarhederne.

 

Yderligere information

CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways

 

KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways

 

Volexity: Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN

 

 

Citrix Netscaler

Citrix har 16. januar 2024 udsendt et varsel om to sårbarheder i selskabets Netscaler-produkter. Ifølge Citrix er sårbarhederne set udnyttet i angreb.

 

Citrix har frigivet sikkerhedsopdateringer til alle supporterede versioner af softwaren. Center for Cybersikkerhed opfordrer Citrix Netscaler-kunder til at opdatere.

 

Den ene sårbarhed (CVE-2023-6548) kræver, at en aktør i forvejen har adgang med begrænsede rettigheder, men vil derfra kunne udnyttes til at eksekvere kode på enheden og på den måde kompromittere den. Det forudsætter imidlertid også, at enheden er konfigureret med adgang til administrationsdelen via enten NSIP, CLIP eller SNIP.

 

Den anden sårbarhed (CVE-2023-6549) kan ifølge Citrix udnyttes til denial-of-service (overbelastningsangreb), hvis Netscaler-enheden er sat op som for eksempel VPN-gateway eller proxy.

 

Yderligere information

NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-6548 and CVE-2023-6549

 

 

Juniper Junos OS

Juniper har den 10. januar 2024 udsendt en sikkerhedsopdatering til Junos OS, der er det styresystem, som bruges på en række af selskabets netværksenheder, herunder firewalls.

 

Opdateringen lukker en kritisk sårbarhed i administrationsværktøjet J-Web, som potentielt kan udnyttes til at kompromittere enheden eller til overbelastningsangreb.

 

I varslet udsendt den 16. januar 2024 oplyser Juniper, at selskabet på daværende tidspunkt ikke var bekendt med forsøg på at udnytte sårbarheden.

 

Aktører har tidligere udnyttet sårbarheder i denne type webbaserede administrationsværktøjer til netværksenheder. På den baggrund opfordrer Center for Cybersikkerhed Juniper-kunder til at opdatere.

 

Yderligere information

2024-01 Security Bulletin: Junos OS: SRX Series and EX Series: Security Vulnerability in J-web allows a preAuth Remote Code Execution (CVE-2024-21591)

 

Sidst opdateret 17. januar, 2024 - Kl. 15.04