Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités.

Toutes les vulnérabilités mentionnées dans les avis et alertes du CERT-FR doivent être prises en compte dans les plus brefs délais. Toutefois, ce bulletin a vocation à aider à établir une priorité dans le cadre des stratégies de mise à jour.

Vulnérabilités significatives de la semaine 33

CVE-2020-1472 : Microsoft Netlogon

Cette vulnérabilité affecte le protocole Netlogon Remote Protocol et permet une élévation de privilèges. Si un utilisateur clique sur une pièce jointe malveillante, l'attaquant peut se retrouver administrateur de domaine. Toutefois, l'application de la mise à jour uniquement ne permet pas de se prémunir contre l’exploitation de cette vulnérabilité. Microsoft a publié un article détaillant les différentes phases de la mise à jour (cf. paragraphe Liens).

Liens :

CVE-2020-1380 : Internet Explorer

Cette vulnérabilité, affectant le moteur de script d'Internet Explorer 11, permet à un attaquant d'exécuter du code arbitraire à distance avec les privilèges de l'utilisateur qui exécute ce code. Microsoft a indiqué que cette vulnérabilité fait l'objet d'une exploitation active dans le cadre d'attaques ciblées.

Liens :

CVE-2020-1464 : Microsoft Windows

Cette vulnérabilité permet à un attaquant de contourner une fonctionnalité de sécurité de Windows. Il est possible de charger des fichiers dont la signature est incorrecte. Microsoft indique que cette vulnérabilité fait également l'objet d'une exploitation active dans le cadre d'attaques ciblées.

Liens :

CVE-2020-1337 : Spouleur d’impression de Microsoft Windows

Du code d'attaque est publiquement disponible pour cette vulnérabilité qui permet d'élever ses privilèges.

Liens :

CVE-2020-6284 : SAP Netweaver

Une vulnérablité de type XSS a été corrigée dans Netweaver.

Liens :

CVE-2020-8597 : Siemens RUGGEDCOM RM1224 et SCALANCE M-800 / S615

Une vulnérabilité dans un composant tiers, pppd, permet une exécution de code arbitraire à distance.

Liens :

CVE-2020-10055 : Siemens Desigo CC et Desigo CC Compact

Une vulnérabilité dans un composant tiers, BIRT, permet une exécution de code arbitraire à distance si le module de journalisation avancé est activé (Advanced Reporting Engine).

Liens :

CVE-2020-7521 et CVE-2020-7522 : Schneider Electric APC Easy UPS On-Line

Ces vulnérabilités permettent de contourner la politique de sécurité et de téléverser des fichiers malveillants sur l'équipement.

Liens :

CVE-2020-8209 : Citrix Endpoint Management

L'exploitation de cette vulnérabilité, lorsqu'elle est combinée avec les autres mentionnées dans l'avis Citrix ci-dessous, permet à un attaquant de prendre la main sur l'équipement.

Liens :

CVE-2019-0230 et CVE-2019-0231 : Apache Struts

Ces deux vulnérabilités permettent respectivement une exécution de code arbitraire à distance et un déni de service à distance. Du code d'attaque est disponible publiquement pour l'exploitation de ces vulnérabilités.

Liens :

Autres vulnérabilités

Dans cette deuxième partie, nous vous proposons de revenir sur d'autres vulnérabilités dont les correctifs n'ont pas été publiés la semaine dernière mais que nous estimons important de rappeler et qui vous permettront de vérifier que les correctifs ont bien été appliqués.

CVE-2020-3187 : Cisco ASA et FTD

Le 28 juillet 2020, nous avons publié l'alerte CERTFR-2020-ALE-018 concernant la vulnérabilité CVE-2020-3452 et affectant Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD). En mai dernier, Cisco avait publié un correctif pour une autre vulnérabilité, identifiée par CVE-2020-3187, qui permet à un attaquant non authentifié de lire et supprimer des fichiers sur l'équipement. Du code d'attaque est publiquement disponible pour ces deux vulnérabilités. Il est donc important de vérifier que les correctifs ont bien été appliqués.

Liens :

CVE-2020-16139, CVE-2020-16138 et CVE-2020-16137 : Cisco 7937G

Ces vulnérabilités permettent des déni de service et une élévation de privilège. L'équipement étant en fin de vie, Cisco ne prévoit pas de publier de correctif. Si des modèles sont présents sur votre parc, il convient de les décommissionner.

Rappel des publications émises

Dans la période du 10 août 2020 au 16 août 2020, le CERT-FR a émis les publications suivantes :


Dans la période du 10 août 2020 au 16 août 2020, le CERT-FR a mis à jour les publications suivantes :