Важно:
В результате объявления об уязвимости в OpenSSL3.x, группа кибербезопасности пользовательского интерфейса работала с различными группами разработчиков над аудитом наших продуктов. Мы хотели бы подтвердить, что следующие устройства НЕ являются уязвимым:
Как всегда, команда по кибербезопасности UI будет усердно отслеживать потенциальные уязвимости и быстро устранять их. Для получения дополнительной информации вы можете обратиться к оригинальному сообщению: https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
-Команда кибербезопасности пользовательского интерфейса.
Резюме:
Уязвимость связана с удаленным выполнением кода в EdgeRouters (версия 2.0.9-hotfix.4 и более ранние), которая позволяет злоумышленнику с учетной записью оператора выполнять произвольные команды от имени администратора.
Эта уязвимость устранена в версии 2.0.9-hotfix.5 и в более новых версиях.
Затронутые продукты:
EdgeRouters
Решение:
Обновить EdgeRouter до версии 2.0.9-hotfix.5 или новее.
Опубликовано: 7 декабря 2022г.
Версия: 1.0 Редакция: 1.0
Резюме:
Неправильная проверка доступа позволяет злоумышленнику получать данные о состоянии и использовании с устройств UISP, указанных ниже.
Затронутые устройства:
airMAX AC
airFiber 60/LR
airFiber 60 XG/HD
GBE
Решение:
Обновить airMAX AC до версии 8.7.11 или более новой.
Обновить airFiber 60/LR до версии 2.6.2 или более новой.
Обновить airFiber 60 XG/HD до версии 1.0.0 или более новой.
Обновить GBE до версии 1.4.1 или более новой.
Информационный бюллетень по безопасности №028 Опубликовано: 23 января 2023г.
Версия: 1.0 Редакция: 1.0
Резюме:
Уязвимость, обнаруженная в маршрутизаторах EdgeRouter и шлюзах безопасности UniFi (USG) с делегированием префикса DHCPv6, установленным в dhcpv6-stateless или dhcpv6-stateful, позволяет злоумышленнику, напрямую подключенному к WAN-интерфейсу уязвимого устройства, создать возможность для удаленного выполнения кода.
Затронутые устройства:
Все маршрутизаторы EdgeRouter, работающие под управлением версии 2.0.9-hotfix.5 и более ранних версий.
Все USG под управлением версии 4.4.56 и более ранних.
Решение:
Обновить все EdgeRouter до версии 2.0.9-hotfix.6 или более новой.
Обновить все USG до версии 4.4.57 или более новой.
Информационный бюллетень по безопасности №029 Опубликовано: 11 апреля 2023г.
Версия: 1.0 Редакция: 1.0
Резюме 1 из 3:
Уязвимость в повышении локальных привилегий (LPE) в UI Desktop для Windows (версия 0.59.1.71 и более ранние) позволяет злоумышленнику с локальным доступом к устройству Windows, на котором запущено указанное приложение, отправлять произвольные команды от имени SYSTEM..
Эта уязвимость устранена в версии 0.62.3 и выше.
Затронутые устройства:
Пользовательский интерфейс рабочего стола Windows.
Решение:
Обновить пользовательский интерфейс рабочего стола Windows до версии 0.62.3 или более поздней.
Неправильная конфигурация разрешений в UI Desktop для Windows (версия 0.59.1.71 и более ранние) может позволить пользователю перехватить учетные данные VPN во время запуска UID VPN.
Эта уязвимость устранена в версии 0.62.3 и выше.
Затронутые устройства:
Пользовательский интерфейс рабочего стола Windows.
Решение:
Обновить пользовательский интерфейс рабочего стола Windows до версии 0.62.3 или более поздней.
Неправильное использование симметричного шифрования в UI Desktop для Windows (версия 0.59.1.71 и более ранние) может позволить пользователям, имеющим доступ к файлам конфигурации UI Desktop, расшифровать чужой контент.
Эта уязвимость устранена в версии 0.62.3 и выше.
Затронутые устройства:
Пользовательский интерфейс рабочего стола Windows.
Решение:
Обновить пользовательский интерфейс рабочего стола Windows до версии 0.62.3 или более поздней.
Информационный бюллетень по безопасности №030 Опубликовано: 10 мая 2023г.
Версия: 1.0 Редакция: 1.0
Уязвимость Cross-site WebSocket Hijacking (CSWSH), обнаруженная в UniFi OS 2.5 и более ранних версиях, позволяет злоумышленнику получить доступ к определенной конфиденциальной информации (убедив пользователя UniFi OS посетить вредоносную веб-страницу).
Затронутые устройства:
Cloud Key Gen2
Cloud Key Gen2 Plus
UNVR
UNVR Professional
UDM
UDM Professional
UDM SE
UDR
Решение:
Обновите уязвимые устройства до UniFi OS 3.0.13 или более поздней версии.
Опубликовано: 8 июня 2023г.
Версия: 1.0 Редакция: 1.0
Уязвимость файла резервной копии, обнаруженная в приложениях UniFi (версия 7.3.83 и более ранние), работающих в операционных системах Linux, позволяет администраторам приложений выполнять вредоносные команды на восстанавливаемом хост-устройстве.
Эта уязвимость устранена в версии 7.4.156 и выше.
Затронутое ПО: Приложение UniFi (версия 7.3.83 и старее)
Решение:
Обновите приложение UniFi до версии 7.4.156 или новее.
Информационный бюллетень по безопасности №032 Опубликовано: 27 июня 2023г.
Версия: 1.0 Редакция: 1.0
UniFi OS 3.1 привносит неправильную конфигурацию на консоли с UniFi Network, которая позволяет пользователям в локальной сети получать доступ к MongoDB.
Эта уязвимость устранена в UniFi OS 3.1.13 и более поздних версиях.
Затронутые устройства:
Подходящие облачные ключи: (1) которые работают под управлением UniFi 3.1 OS и (2) на которых размещено приложение UniFi Network. «Applicable Cloud Keys» включают в себя следующие устройства: Cloud Key Gen2 и Cloud Key Gen2 Plus.
Решение:
Обновите UniFi OS до версии 3.1.13 или выше.
Информационный бюллетень по безопасности №035 Опубликовано: 09 августа 2023г.
Версия: 1.1 Редакция: 1.1
Резюме 1 из 2
Уязвимость целочисленного переполнения во всех точках доступа и коммутаторах UniFi, за исключением Switch Flex Mini, с включенным мониторингом SNMP и настройками по умолчанию может привести к удаленному выполнению кода (RCE).
Затронутые устройства:
Все точки доступа UniFi (версия 6.5.50 и более ранние)
Все коммутаторы UniFi (версия 6.5.32 и более ранние)
USW Flex Mini исключен.
Решение:
Обновить точки доступа UniFi до версии 6.5.62 или новее.
Обновите коммутаторы UniFi до версии 6.5.59 или новее.
Резюме 2 из 2
Уязвимость внедрения команд в функции DHCP-клиента всех точек доступа и коммутаторов UniFi, за исключением Switch Flex Mini, может привести к удаленному выполнению кода (RCE).
Затронутые устройства:
Все точки доступа UniFi (версия 6.5.53 и более ранние)
Все коммутаторы UniFi (версия 6.5.32 и более ранние)
USW Flex Mini исключен.
Решение:
Обновить точки доступа UniFi до версии 6.5.62 или новее.
Обновите коммутаторы UniFi до версии 6.5.59 или новее.