Сообщения об уязвимостях

[ChangeLog]

Заявление об уязвимости OpenSSL 3.x

Важно:
В результате объявления об уязвимости в OpenSSL3.x, группа кибербезопасности пользовательского интерфейса работала с различными группами разработчиков над аудитом наших продуктов. Мы хотели бы подтвердить, что следующие устройства НЕ являются уязвимым:

AmpliFi Alien
AmpliFi HD
AmpliFi Instant
Cloud Key
Cloud Key Gen2
Cloud Key Gen2 Plus
EdgeRouters
EdgeSwitches
UFIBER
UISP airCube
UISP airFiber
UISP airMAX
UISP LTU
UISP Router
UISP Switches
UISP Wave
UniFi Access Points
UniFi Gateways
UniFi Protect Cameras
UniFi Switches
UNVR
UNVR PRO

Как всегда, команда по кибербезопасности UI будет усердно отслеживать потенциальные уязвимости и быстро устранять их. Для получения дополнительной информации вы можете обратиться к оригинальному сообщению: https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
-Команда кибербезопасности пользовательского интерфейса.

 

[ChangeLog]

Информационный бюллетень по безопасности №026

Версия: 1.0
Редакция: 1.0

Резюме:
Уязвимость связана с удаленным выполнением кода в EdgeRouters (версия 2.0.9-hotfix.4 и более ранние), которая позволяет злоумышленнику с учетной записью оператора выполнять произвольные команды от имени администратора.
Эта уязвимость устранена в версии 2.0.9-hotfix.5 и в более новых версиях.

Затронутые продукты:
EdgeRouters

Решение:
Обновить EdgeRouter до версии 2.0.9-hotfix.5 или новее.

CVSS v3.0:
Базовая оценка: 8,8 (высокая)

Вектор:
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVE: CVE-2022-43553

Ссылка:
https://community.ui.com/releases/EdgeMAX-EdgeRouter-Firmware-v2-0-9-hotfix-5/b3882362-9d9a-4efd-8110-30a1e86e0154

 

[ChangeLog]

Информационный бюллетень по безопасности №027

Опубликовано: 7 декабря 2022г.
Версия: 1.0
Редакция: 1.0

Резюме:
Неправильная проверка доступа позволяет злоумышленнику получать данные о состоянии и использовании с устройств UISP, указанных ниже.

Затронутые устройства:
airMAX AC
airFiber 60/LR
airFiber 60 XG/HD
GBE

Решение:
Обновить airMAX AC до версии 8.7.11 или более новой.
Обновить airFiber 60/LR до версии 2.6.2 или более новой.
Обновить airFiber 60 XG/HD до версии 1.0.0 или более новой.
Обновить GBE до версии 1.4.1 или более новой.

CVSS v3.0:
Базовая оценка: 5,3 (средняя)

Вектор:
CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
CVE: CVE-2022-44565 semaja2

Ссылки:
https://community.ui.com/releases/airMAX-AC-8-7-11/9312e633-63de-4d4b-b242-c34381462861
https://community.ui.com/releases/AF60-AF60-LR-Firmware-2-6-2/7a975862-adc2-44f1-aab2-fe402f99abfb
https://community.ui.com/releases/AF60-HD-XG-Firmware-v1-0-0/aceb9eef-44f1-4de1-a1f2-cde2caa4f4cf
https://community.ui.com/releases/GigaBeam-1-4-1-1-4-1/6f19b4e5-d57a-47b2-99ed-f001b00bd4be

 

[ChangeLog]

Информационный бюллетень по безопасности №028

Опубликовано: 23 января 2023г.
Версия: 1.0
Редакция: 1.0

Резюме:
Уязвимость, обнаруженная в маршрутизаторах EdgeRouter и шлюзах безопасности UniFi (USG) с делегированием префикса DHCPv6, установленным в dhcpv6-stateless или dhcpv6-stateful, позволяет злоумышленнику, напрямую подключенному к WAN-интерфейсу уязвимого устройства, создать возможность для удаленного выполнения кода.

Затронутые устройства:

• Все маршрутизаторы EdgeRouter, работающие под управлением версии 2.0.9-hotfix.5 и более ранних версий.
• Все USG под управлением версии 4.4.56 и более ранних.

Решение:

• Обновить все EdgeRouter до версии 2.0.9-hotfix.6 или более новой.
• Обновить все USG до версии 4.4.57 или более новой.

CVSS v3.0:
Базовая оценка: 7,5 (высокая)

Вектор:
CVSS: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
CVE: CVE-2023-23912 (ZDI-CAN-19687 — NCC Group EDG (@alexjplaskett @saidelike @FidgetingBits @_mccaulay), работающая с Trend Micro Zero Day Initiative)

Ссылки:
https://community.ui.com/releases/UniFi-Security-Gateway-4-4-57/72409267-0f18-400f-8f44-7242a553e449
https://community.ui.com/releases/EdgeMAX-EdgeRouter-Firmware-v2-0-9-hotfix-6/63aa2542-db99-4f2d-8be2-0717dd2452de