Inleiding
Access42 voert periodiek een analyse uit na de publicatie van nieuwe (ernstige) kwetsbaarheden. In de vulnerability update van november 2022 ligt de nadruk op kwetsbaarheden die betrekking hebben tot producten van Microsoft en Citrix.
Citrix producten
Er zijn drie ernstige kwetsbaarheden gepubliceerd (CVE-2022-27510, CVE-2022-27513 en CVE-2022-27516) die betrekking hebben op producten van Citrix ADC en Citrix Gateway.
De meest prominente kwetsbaarheid kan leiden tot leiden tot ongeautoriseerd toegang tot gebruikersfunctionaliteiten, indien gebruik wordt gemaakt van een VPN (Gateway).
Kwetsbaarheden
- CVE-2022-27510 – Een authenticatie bypass. Een aanvaller kan ongeautoriseerde toegang krijgen tot gebruikersfunctionaliteiten van de Gateway. Citrix wijst erop dat alle systemen die als gateway werken (apparaten/systemen die de SSL VPN functionaliteit gebruiken of worden ingezet als een ICA-proxy met authenticatie ingeschakeld) worden beïnvloed.
- CVE-2022-27513 – Onvoldoende verificatie van gegevensauthenticiteit, een aanvaller kan de kwetsbaarheid misbruiken om via phishing aanvallen een externe remote desktop overname te bewerkstelligen. De kwetsbaarheid kan alleen worden misbruikt als het systeem is geconfigureerd als een VPN (Gateway) en de RDP-proxyfunctionaliteit is geconfigureerd.
- CVE-2022-27516 – De kwetsbaarheid is een bypass van de brute force-beveiligingsfunctionaliteit bij het inloggen. De fout kan alleen worden misbruikt als Citrix is geconfigureerd als een VPN (Gateway) of AAA virtuele server met de configuratie “Max Login Attempts”.
Dreiging
Op dit moment is er (nog) geen informatie of deze kwetsbaarheden actief misbruikt worden in aanvallen. Maar gezien de voorliefde van aanvallers voor Citrix-kwetsbaarheden is de aanbeveling van Citrix om deze kwetsbaarheid “zo snel mogelijk” te verhelpen op zijn plaats.
Advies
Klanten met een Citrix ADC en Citrix Gateway worden geadviseerd om de relevante geüpdate versie zo snel mogelijk te installeren. Raadpleeg de Citrix vendor informatie voor de laatste en juiste informatie.
Microsoft producten
Microsoft heeft op 8 november 2022 nieuwe beveiligingsupdates uitgebracht. In deze updates worden in totaal 64 kwetsbaarheden gemitigeerd. Hiervan zijn 11 van deze kwetsbaarheden hebben een classificatie Critical en 53 de classificatie ‘belangrijk’.
Enkele prominente kwetsbaarheden, maar niet beperkt tot:
- CVE-2022-41118 en CVE-2022-41128 – Windows Scripting Languages Remote Code Execution Vulnerability
- CVE-2022-41082 – Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2022-41040 – Microsoft Exchange Server Elevation of Privilege Vulnerability
- CVE-2022-41125 – Windows CNG Key Isolation Service Elevation of Privilege Vulnerability
- CVE-2022-41073 – Windows Print Spooler Elevation of Privilege Vulnerability
- CVE-2022-41091 en CVE-2022-41091 Windows Mark of the Web Security Feature Bypass Vulnerability
Dreiging
Er is dreigingsinformatie dat 6 zero-day kwetsbaarheden die actief misbruikt worden.
Advies
Pas de laatste Microsoft security updates om de kwetsbaarheden te mitigeren. Raadpleeg de vendor informatie van Microsoft voor de laatste informatie.
Bronnen
- https://msrc.microsoft.com/update-guide/en-us/releaseNote/2022-Nov
- https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516
- https://www.tenable.com/blog/microsofts-november-2022-patch-tuesday-addresses-62-cves-cve-2022-41073
- https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2022-patch-tuesday-fixes-6-exploited-zero-days-68-flaws/
.
