NCSC ønsker å videreformidle et varsel mottatt av HelseCERT om aktiv utnyttelse av en Microsoft Exchange-sårbarhet som fikk sikkerhetsoppdateringer i november. Vi støtter forøvrig HelseCERTs vurdering om at det vil utgjøre en høy risiko å la internetteksponerte systemer stå uten sikkerhetsoppdateringer.
Microsoft har totalt 45 bulletiner, hvor de vurderer 6 som kritiske, offentliggjort i den månedlige sikkerhetsoppdateringen. Flere av sårbarhetene kan utnyttes til å kjøre kode over internett og ta kontroll over brukere og systemer.
NCSC ønsker å varsle om en kritisk sårbarhet (CVE-2022-27518) i Citrix ADC og Citrix Gateway. Sårbarheten gjør det mulig for en ekstern, uautentisert angriper å kjøre vilkårlig kode på systemet.
Sårbarheten har fått CVSS-score 9.3 og gjør det mulig for en ekstern, uautentisert angriper å kjøre vilkårlig kode på systemet via spesielt utformede forespørsler.
Citrix har publisert sikkerhetsoppdateringer til tre kritiske sårbarheter i Citrix Gateway og Citrix ADC.
Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i kveld1. Det er totalt 68 bulletiner, hvor 10 er vurdert som kritiske av Microsoft.
Sårbarheten i OpenSSL er mindre alvorlig enn forventet.
NCSC videresender varsel fra JustisCERT om Oracle sine kvartalsvise sikkerhetsoppdateringer.
NCSC videresender varsel fra HelseCERT angående sårbarheter i Aruba Edgeconnect Enterprise Orchestrator.