Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités.
Toutes les vulnérabilités mentionnées dans les avis et alertes du CERT-FR doivent être prises en compte dans les plus brefs délais. Toutefois, ce bulletin a vocation à aider à établir une priorité dans le cadre des stratégies de mise à jour.
Vulnérabilités significatives de la semaine 33
CVE-2020-1472 : Microsoft Netlogon
Cette vulnérabilité affecte le protocole Netlogon Remote Protocol et permet une élévation de privilèges. Si un utilisateur clique sur une pièce jointe malveillante, l’attaquant peut se retrouver administrateur de domaine. Toutefois, l’application de la mise à jour uniquement ne permet pas de se prémunir contre l’exploitation de cette vulnérabilité. Microsoft a publié un article détaillant les différentes phases de la mise à jour (cf. paragraphe Liens).
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/
- https://support.microsoft.com/fr-fr/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
- https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-1472
CVE-2020-1380 : Internet Explorer
Cette vulnérabilité, affectant le moteur de script d’Internet Explorer 11, permet à un attaquant d’exécuter du code arbitraire à distance avec les privilèges de l’utilisateur qui exécute ce code. Microsoft a indiqué que cette vulnérabilité fait l’objet d’une exploitation active dans le cadre d’attaques ciblées.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-498/
- https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-1380
CVE-2020-1464 : Microsoft Windows
Cette vulnérabilité permet à un attaquant de contourner une fonctionnalité de sécurité de Windows. Il est possible de charger des fichiers dont la signature est incorrecte. Microsoft indique que cette vulnérabilité fait également l’objet d’une exploitation active dans le cadre d’attaques ciblées.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/
- https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-1464
CVE-2020-1337 : Spouleur d’impression de Microsoft Windows
Du code d’attaque est publiquement disponible pour cette vulnérabilité qui permet d’élever ses privilèges.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-501/
- https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-1337
CVE-2020-6284 : SAP Netweaver
Une vulnérablité de type XSS a été corrigée dans Netweaver.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-495/
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552603345
CVE-2020-8597 : Siemens RUGGEDCOM RM1224 et SCALANCE M-800 / S615
Une vulnérabilité dans un composant tiers, pppd, permet une exécution de code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-494/
- https://cert-portal.siemens.com/productcert/pdf/ssa-809841.pdf
CVE-2020-10055 : Siemens Desigo CC et Desigo CC Compact
Une vulnérabilité dans un composant tiers, BIRT, permet une exécution de code arbitraire à distance si le module de journalisation avancé est activé (Advanced Reporting Engine).
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-494/
- https://cert-portal.siemens.com/productcert/pdf/ssa-786743.pdf
CVE-2020-7521 et CVE-2020-7522 : Schneider Electric APC Easy UPS On-Line
Ces vulnérabilités permettent de contourner la politique de sécurité et de téléverser des fichiers malveillants sur l’équipement.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-493/
- https://www.se.com/ww/en/download/document/SEVD-2020-224-04/
CVE-2020-8209 : Citrix Endpoint Management
L’exploitation de cette vulnérabilité, lorsqu’elle est combinée avec les autres mentionnées dans l’avis Citrix ci-dessous, permet à un attaquant de prendre la main sur l’équipement.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-492/
- https://support.citrix.com/article/CTX277457
- https://www.citrix.com/blogs/2020/08/11/citrix-provides-security-update-on-citrix-endpoint-management/
CVE-2019-0230 et CVE-2019-0231 : Apache Struts
Ces deux vulnérabilités permettent respectivement une exécution de code arbitraire à distance et un déni de service à distance. Du code d’attaque est disponible publiquement pour l’exploitation de ces vulnérabilités.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-509/
- https://cwiki.apache.org/confluence/display/WW/s2-059
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-505/
- https://cwiki.apache.org/confluence/display/WW/s2-060
Autres vulnérabilités
Dans cette deuxième partie, nous vous proposons de revenir sur d’autres vulnérabilités dont les correctifs n’ont pas été publiés la semaine dernière mais que nous estimons important de rappeler et qui vous permettront de vérifier que les correctifs ont bien été appliqués.
CVE-2020-3187 : Cisco ASA et FTD
Le 28 juillet 2020, nous avons publié l’alerte CERTFR-2020-ALE-018 concernant la vulnérabilité CVE-2020-3452 et affectant Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD). En mai dernier, Cisco avait publié un correctif pour une autre vulnérabilité, identifiée par CVE-2020-3187, qui permet à un attaquant non authentifié de lire et supprimer des fichiers sur l’équipement. Du code d’attaque est publiquement disponible pour ces deux vulnérabilités. Il est donc important de vérifier que les correctifs ont bien été appliqués.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-274/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-path-JE3azWw43
CVE-2020-16139, CVE-2020-16138 et CVE-2020-16137 : Cisco 7937G
Ces vulnérabilités permettent des déni de service et une élévation de privilège. L’équipement étant en fin de vie, Cisco ne prévoit pas de publier de correctif. Si des modèles sont présents sur votre parc, il convient de les décommissionner.
Rappel des avis émis
Dans la période du 10 au 16 août 2020, le CERT-FR a émis les publications suivantes :
- CERTFR-2020-AVI-491 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2020-AVI-492 : Multiples vulnérabilités dans Citrix Endpoint Management
- CERTFR-2020-AVI-493 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2020-AVI-494 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2020-AVI-495 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2020-AVI-496 : Multiples vulnérabilités dans Adobe Reader et Acrobat
- CERTFR-2020-AVI-497 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2020-AVI-498 : Multiples vulnérabilités dans Microsoft IE
- CERTFR-2020-AVI-499 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2020-AVI-500 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2020-AVI-501 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2020-AVI-502 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2020-AVI-503 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2020-AVI-504 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
- CERTFR-2020-AVI-505 : Vulnérabilité dans Apache Struts
- CERTFR-2020-AVI-506 : [SCADA] Multiples vulnérabilités dans Schneider Electric PACTware
- CERTFR-2020-AVI-507 : Vulnérabilité dans IBM WebSphere
- CERTFR-2020-AVI-508 : Vulnérabilité dans Wireshark
- CERTFR-2020-AVI-509 : Vulnérabilité dans Apache Struts
- CERTFR-2020-AVI-510 : Multiples vulnérabilités dans PostgreSQL
- CERTFR-2020-AVI-511 : Multiples vulnérabilités dans le noyau Linux de Red Hat
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2020-AVI-490 : Multiples vulnérabilités dans Apache Server
