Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’actions lorsqu’elles génèrent des risques sur le système d’information.
Vulnérabilités significatives de la semaine 36
CVE-2020-1147, CVE-2020-1210, CVE-2020-1595 : Microsoft SharePoint
Ces trois vulnérabilités critiques permettent une exécution de code arbitraire à distance dans le contexte du pool d’applications SharePoint et du compte de batterie de serveurs SharePoint. Il convient de noter que des informations techniques ont été publiées concernant la CVE-2020-1147 et qu’elle affecte également .Net ainsi que Visual Studio.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-561/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1147
- https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1210
- https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1595
CVE-2020-16875 : Microsoft Exchange
Cette vulnérabilité permet à un attaquant d’exécuter du code à distance avec les privilèges System. Toutefois, cette vulnérabilité ne peut être exploitée que par un utilisateur authentifié et avec un rôle Exchange spécifique.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-564/
- https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-16875
CVE-2020-6207, CVE-2020-6320 et CVE-2020-6318 : SAP Solution Manager, SAP Business Client et SAPNetweaver
La vulnérabilité CVE-2020-6207 avait fait l’objet d’un correctif en mars 2020, nous profitons d’une mise à jour du bulletin pour souligner la criticité de cette vulnérabilité affectant SAP Solution Manager. Les deux autres vulnérabilités permettent une exécution de code arbitraire par des utilisateurs authentifiés dans Business Client et Netweaver.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-549/
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=557449700
CVE-2020-14509 : Siemens Information Server, SIMATIC WinCC OA et SINEC INS
Une vulnérabilité dans le composant CodeMeter Runtime permet à un attaquant de corrompre la mémoire en envoyant des paquets dont la taille n’est pas gérée correctement. Cela débouche sur une exécution de code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-550/
- https://cert-portal.siemens.com/productcert/pdf/ssa-455843.pdf
CVE-2020-2040 : Palo Alto Networks PAN-OS
Cette vulnérabilité affecte le portail captif et l’interface d’authentification multi-facteurs. Un attaquant peut envoyer des requêtes malveillantes et obtenir une exécution de code arbitraire à distance avec les privilèges maximum. Palo Alto Networks précise que cette vulnérabilité n’affecte ni GlobalProtect VPN ni l’interface de gestion web.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-566/
- https://security.paloaltonetworks.com/CVE-2020-2040
CVE-2020-0886, CVE-2020-1471 et CVE-2020-1013 : Windows Storage Services, CloudExperienceHost et Group Policy
Ces trois vulnérabilités permettant une élévation de privilèges dans Windows. Les différents chercheurs à l’origine de ces découvertes ont publié leurs travaux en détail le lendemain du Patch Tuesday de Microsoft.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-562/
- https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0886
- https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1471
- https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-1013
CVE-2020-1472 : Microsoft Netlogon
Cette vulnérabilité avait fait l’objet d’un avis CERT-FR le 12 août 2020 ainsi que d’un bulletin CERT-FR le 17 août 2020. Pour rappel, le premier correctif fournit par Microsoft sera suivi d’un second correctif au premier trimestre 2021. Des éléments techniques permettant l’exploitation de cette faille sont publics depuis le 11 septembre 2020.
Rappel des avis émis
Dans la période du 07 au 13 septembre 2020, le CERT-FR a émis les publications suivantes :
- CERTFR-2020-ALE-019 : Recrudescence d’activité Emotet en France
- CERTFR-2020-AVI-548 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2020-AVI-549 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2020-AVI-550 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2020-AVI-551 : [SCADA] Multiples vulnérabilités dans Schneider Electric SCADAPack
- CERTFR-2020-AVI-552 : Vulnérabilité dans le noyau Linux d’Ubuntu
- CERTFR-2020-AVI-553 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2020-AVI-554 : Multiples vulnérabilités dans Google Android
- CERTFR-2020-AVI-555 : Vulnérabilité dans Citrix StoreFront
- CERTFR-2020-AVI-556 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2020-AVI-557 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2020-AVI-558 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2020-AVI-559 : Multiples vulnérabilités dans Microsoft IE
- CERTFR-2020-AVI-560 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2020-AVI-561 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2020-AVI-562 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2020-AVI-563 : Vulnérabilité dans Microsoft .Net
- CERTFR-2020-AVI-564 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2020-AVI-565 : Vulnérabilité dans OpenSSL
- CERTFR-2020-AVI-566 : Multiples vulnérabilités dans Palo Alto Networks PAN-OS
- CERTFR-2020-AVI-567 : Vulnérabilité dans Ruby on Rails
- CERTFR-2020-AVI-568 : Multiples vulnérabilités dans le noyau Linux de SUSE