SonicWall har publicerat säkerhetsuppdateringar som hanterar flera kritiska sårbarheter i SonicWall GMS och Analytics [1].

Påverkade produkter

GMS - Virtual Appliance 9.3.2-SP1 och tidigare versioner
GMS - Windows 9.3.2-SP1 och tidigare versioner
Analytics - 2.5.0.4-R7 och tidigare versioner

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt.

Källor

[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0010

Citrix har publicerat säkerhetsuppdateringar som hanterar sårbarheter i Secure Access client för Ubuntu, vilken är kritisk med CVSS-klassificering 9.6 av 10 [1], samt för Windows [2]. 

CVE-2023-24492, som påverkar Citrix Secure Access client för Ubuntu (tidigare Citrix Gateway VPN client för Ubuntu) är en sårbarhet vilken kan utnyttjas av en fjärrangripare som lyckas övertyga en mottagaren att öppna en skadlig länk för att sedan acceptera ytterligare uppmaningar. 

CVE-2023-24491, som påverkar Citrix Secure Access client för Windows, är en sårbarhet vilken kan utnyttjas av en angripare med åtkomst till en sårbar klient med standardanvändarkonto för att utöka rättigheter till NT Authority\System.

Påverkade produkter

Ubuntu
Citrix ADC och Gateway, versioner före 23.5.2

Windows
Citrix ADC och Gateway, versions före 23.5.1.3

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter enligt tillverkarens rekommendationer. 

Källor

[1] https://support.citrix.com/article/CTX564169/citrix-secure-access-client-for-ubuntu-security-bulletin-for-cve202324492
[2] https://support.citrix.com/article/CTX561480/citrix-secure-access-client-for-windows-security-bulletin-for-cve202324491

Fortinet har publicerat säkerhetsuppdateringar för flera sårbarheter varav en kritisk i FortiOS och FortiProxy, vilken har tilldelats CVSS-klassificering 9.8 av 10 [1, 2].

Den kritiska sårbarheten (CVE-2023-33308) påverkar vissa versioner av FortiOS och FortiProxy som är konfigurerade med regler som använder ”proxy mode” tillsammans med ”SSL deep packet inspection” [1]. 

Påverkade produkter

FortiOS
FortiProxy
FortiExtender

För en fullständig förteckning av säkerhetsuppdateringar gällande fler produkter, se tillverkarens webbsida [3].

Rekommendationer

CERT-SE rekommenderar att snarast uppdatera sårbara produkter enligt tillverkarens rekommendationer samt ta del av publicerade mitigerande åtgärder för att ytterligare minska risken för angrepp.

Källor

[1] https://www.fortiguard.com/psirt/FG-IR-23-183
[2] https://www.fortiguard.com/psirt/FG-IR-22-039
[3] https://www.fortiguard.com/psirt

SonicWall har publicerat säkerhetsuppdateringar som hanterar flera kritiska sårbarheter i SonicWall GMS och Analytics [1].

Påverkade produkter

GMS - Virtual Appliance 9.3.2-SP1 och tidigare versioner
GMS - Windows 9.3.2-SP1 och tidigare versioner
Analytics - 2.5.0.4-R7 och tidigare versioner

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt.

Källor

[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0010

En sårbarhet har upptäckts i mjukvaran ArcServe UDP. 

Sårbarheten (CVE-2023-26258), som i skrivande stund inte fått någon CVSS-klassning, möjliggör en oautentiserad användare att få åtkomst inloggningsuppgifter till administratörskonton i hanteringsgränssnittet. [1]

En uppdatering finns tillgänglig. 

Påverkade produkter

Sårbarheterna påverkar följande produkter: 

ArcServe UDP (versionerna 7.0-9.0)

Rekommendationer

CERT-SE rekommenderar användare att uppdatera sina system så snart som möjligt. 

Källor

[1] https://support.arcserve.com/s/article/KB000015720?language=en_US

CERT-SE har sammanställt råd gällande hur man stärker skyddet mot överbelastningsangrepp samt vad man kan göra under ett pågående angrepp.

Behöver du råd och stöd i att hantera ett pågående överbelastningsangrepp?
Kontaka CERT-SE på cert@cert.se eller 010-240 40 40

Överbelastningsangrepp, eller DDoS-angrepp (Distributed Denial of Service), kan orsaka betydande störningar på en webbplats eller onlinetjänst genom att den utsätts för en överdriven mängd trafik. Olika typer av DDoS-angrepp slår mot olika nivåer i den drabbade verksamhetens nätverk. Det finns inte någon enskild lösning som kan skydda mot alla typer av överbelastningsangrepp. En kombination av flera tillvägagångssätt behöver implementeras, samtidigt som det är viktigt att regelbundet granska och uppdatera dessa åtgärder för att följa angreppsmetodernas utveckling. Se över konfigurationer av verksamhetens it-system som är kopplade mot internet.

Säkerställ att verksamheten har rutiner för hur ni ska agera om ni drabbas av överbelastningsangrepp och genomför övningar. Identifiera vilka system och tjänster som är mest kritiska för att underlätta prioritering under pågående angrepp. 

En god dialog med verksamhetens internetleverantör (ISP) är viktig, både i det förebyggande arbetet och vid hantering av ett pågående angrepp.

Det finns flera tillvägagångssätt som kan användas för att mildra effekterna av ett överbelastningsangrepp:

1. Använd skyddstjänster mot överbelastningsangrepp: Många ISP:er erbjuder skyddstjänster som kan absorbera och filtrera den inkommande trafiken och endast dirigera legitim trafik till din server. Alternativt kan ett Content Delivery Network (CDN) användas för att skydda sin webbserver. 
2. Aktivera hastighetsbegränsning: Detta innebär att sätta en gräns för antalet förfrågningar som en användare kan göra till din webbplats inom en given tidsperiod. Detta kan hjälpa till att förhindra att din server överväldigas av överdriven trafik.
3. Använd trafikfiltrering: Implementera filter för att blockera trafik från kända skadliga ip-adresser eller trafik som inte uppfyller vissa kriterier (bedöm om exempelvis blockering av trafik från utlandet kan vara ett alternativ). En web application firewall (WAF) kan nyttjas för att hantera överbelastningsangrepp som riktar in sig på applikationslagret. Tillgången till loggar är viktigt för att kunna avgöra vilken typ av angrepp eller vilka system som drabbats.
4. Ha koll på helheten: Ett överbelastningsangrepp kan ibland vara ett sätt att styra verksamhetens uppmärksamhet och resurser bort från andra typer av angrepp. Det är därför viktigt att säkerställa övervakning av händelser i hela nätverksmiljön för att upptäcka och hantera sådana försök.
5. Uppdatera regelbundet: Håll all programvara och säkerhetsåtgärder uppdaterade för att säkerställa att de kan försvara sig mot de senaste metoderna för överbelastningsangrepp.
6. Upprätta polisanmälan: Glöm inte att upprätta en polisanmälan om ni drabbats av överbelastningsangrepp (se länk nederst på sidan).

Dela loggfiler med CERT-SE

CERT-SE tar gärna emot loggar från verksamheter som drabbats av överbelastningsangrepp eller observerat avvikelser i sin it-miljö kopplat till sådana. Informationen ökar våra möjligheter att följa händelseutvecklingen i samhället och agera proaktivt för att varna andra verksamheter som riskerar att drabbas. Vi kan ta emot råa loggfiler eller sammanställningar. Kontakta oss på cert@cert.se för fortsatt dialog om hur du kan dela loggar med oss.

Mer information och rekommendationer för systematiskt informationssäkerhetsarbete

Uppdatera sårbara system: 
https://cert.se/nyckelord/Sarbarhet/

Se över cyberhygienen: 
https://www.cert.se/2022/02/cert-se-uppmanar-organisationer-att-skarpa-uppmarksamheten

Systematiskt informationssäkerhetsarbete:
https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/systematiskt-informationssakerhetsarbete/

Stöd för uppföljning och förbättring av informationssäkerhetsarbetet:
https://www.msb.se/infosakkollen

Information om polisanmälan hos Polismyndigheten:
https://polisen.se

Källa: CERT.se