Objet: Bulletin d’actualité CERTFR-2020-ACT-008

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’actions lorsqu’elles génèrent des risques sur le système d’information.

Vulnérabilités significatives de la semaine 42

CVE-2020-16951, CVE-2020-16952 : Microsoft SharePoint

Ces deux vulnérabilités critiques permettent à un attaquant authentifié de réaliser une exécution de code arbitraire à distance dans le contexte du pool d’applications SharePoint et du compte de batterie de serveurs SharePoint. Il convient de noter qu’un code d’exploitation a été publié dès la publication des correctifs et qu’il est donc très fortement recommandé de procéder à l’application des correctifs

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-633/
• https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-16951
• https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-16952

CVE-2020-16898 : Pile TCP/IP de Windows

Cette vulnérabilité affecte les versions Windows 10 (à partir de la version 1709) ainsi que Windows Server 2019 lorsqu’une interface IPv6 est configurée (ce qui est le cas par défaut). La vulnérabilité concerne la fonctionnalité de configuration automatique des serveurs DNS via les messages RDNSS du protocole ICMPv6 Router Advertisement (RA), qui sont une alternative à l’utilisation de DHCPv6 pour le paramétrage DNS. L’exploitation de cette vulnérabilité permet à un attaquant ayant un accès au réseau local de provoquer un arrêt brutal de la machine cible (« Blue Screen of Death« ). L’éditeur annonce que l’exécution de code arbitraire à distance, via l’exploitation de cette vulnérabilité, est extrêmement difficile.

Le CERT-FR recommande donc :

• d’appliquer le correctif dès que possible;
• ou, si le redémarrage des machines n’est pas envisageable, d’appliquer le contournement proposé par l’éditeur lorsque la configuration des postes et des serveurs ne repose pas sur les ICMPv6 RA RDNSS pour le paramétrage des serveurs DNS;
• de veiller à désactiver les interfaces IPv6 configurées par défaut si le réseau ne s’appuie pas sur IPv6.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-634/
• https://portal.msrc.microsoft.com/fr-FR/security-guidance/advisory/CVE-2020-16898

CVE-2020-6364 : SAP Solution Manager et SAP Focused Run

Cette vulnérabilité permet à un attaquant non authentifié de réaliser une injection de commande arbitraire et donc de prendre le contrôle du serveur.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-630/
• https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=558632196

CVE-2020-10188 : Juniper

Une vulnérabilité dans le service telnet permet à un attaquant non authentifié d’exploiter un dépassement de tampon pour exécuter du code arbitraire à distance. Le CERT-FR rappelle que le service telnet est à proscrire et qu’il est recommandé d’utiliser un protocole sécurisé pour l’administration des équipements [1]

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-645/
• https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11057&actp=METADATA
• [1] https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/

CVE-2017-14491 : Siemens SCALANCE et RUGGEDCOM

Une vulnérabilité dans les produits SCALANCE et RUGGEDCOM permet à un attaquant de corrompre la mémoire en envoyant des paquets de réponse à une requête DNS dont la taille n’est pas gérée correctement. Cela débouche sur un déni de service ou potentiellement sur une exécution de code arbitraire à distance.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-632/
• https://cert-portal.siemens.com/productcert/pdf/ssa-689071.pdf

CVE-2020-11896, CVE-2020-14509, CVE-2020-7533 : Schneider Electric

La CVE-2020-11896 est une vulnérabilité qui affecte la pile TCP/IP de Treck, utilisée dans un grand nombre d’équipements Schneider Electric. Le fabricant a mis à jour son avis de sécurité avec la liste des équipements affectés. La CVE-2020-14509 est une vulnérabilité dans le composant CodeMeter des produits EcoStruxure et E+PLC qui permet à un attaquant de corrompre la mémoire dans le but de réaliser une exécution de code arbitraire à distance. Enfin, la CVE-2020-7533 permet à un attaquant de contourner le mécanisme d’authentification du serveur web pour exécuter des commandes à distance sur des équipements de type Modicon.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-643/
• https://www.se.com/ww/en/download/document/SEVD-2020-175-01/
• https://www.se.com/ww/en/download/document/SEVD-2020-287-02/
• https://www.se.com/ww/en/download/document/SEVD-2020-287-01/

CVE-2020-24400, CVE-2020-24407 : Magento

Ces vulnérabilités permettent de réaliser une exécution de code arbitraire et d’accéder en lecture et en écriture à la base de données sur des sites basés sur Magento 2. Le CERT-FR signale que des attaques semblent viser la version 1 de Magento qui n’est plus maintenue par l’éditeur [2].

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-648/
• https://helpx.adobe.com/security/products/magento/apsb20-59.html
• [2] https://sansec.io/research/cardbleed

 

---

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 12 au 18 octobre 2020, le CERT-FR a émis les publications suivantes :

• CERTFR-2020-AVI-626 : Multiples vulnérabilités dans Apache Tomcat
• CERTFR-2020-AVI-627 : Multiples vulnérabilités dans IBM Db2
• CERTFR-2020-AVI-628 : Multiples vulnérabilités dans phpMyAdmin
• CERTFR-2020-AVI-629 : Multiples vulnérabilités dans les produits IBM
• CERTFR-2020-AVI-630 : Multiples vulnérabilités dans les produits SAP
• CERTFR-2020-AVI-631 : Multiples vulnérabilités dans le noyau Linux de Red Hat
• CERTFR-2020-AVI-632 : [SCADA] Multiples vulnérabilités dans les produits Siemens
• CERTFR-2020-AVI-633 : Multiples vulnérabilités dans Microsoft Office
• CERTFR-2020-AVI-634 : Multiples vulnérabilités dans Microsoft Windows
• CERTFR-2020-AVI-635 : Vulnérabilité dans Microsoft .Net
• CERTFR-2020-AVI-636 : Multiples vulnérabilités dans les produits Microsoft
• CERTFR-2020-AVI-637 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
• CERTFR-2020-AVI-638 : Vulnérabilité dans IBM QRadar SIEM
• CERTFR-2020-AVI-639 : Vulnérabilité dans F5 BIG-IP
• CERTFR-2020-AVI-640 : Multiples vulnérabilités dans Google Chrome OS
• CERTFR-2020-AVI-641 : Multiples vulnérabilités dans le Plug-in Citrix Gateway pour Windows
• CERTFR-2020-AVI-642 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2020-AVI-643 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
• CERTFR-2020-AVI-644 : Multiples vulnérabilités dans Adobe Flash Player
• CERTFR-2020-AVI-645 : Multiples vulnérabilités dans les produits Juniper
• CERTFR-2020-AVI-646 : Multiples vulnérabilités dans IBM Netcool Performance Insight
• CERTFR-2020-AVI-647 : Vulnérabilité dans Juniper Junos
• CERTFR-2020-AVI-648 : Multiples vulnérabilités dans Magento
• CERTFR-2020-AVI-649 : Vulnérabilité dans VMware Horizon

Durant la même période, les publications suivantes ont été mises à jour :

• CERTFR-2020-ALE-16 : Vulnérabilité dans Microsoft Domain Name System (DNS) Server
• CERTFR-2020-ALE-17 : Multiples vulnérabilités dans SAP Netweaver AS JAVA