Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’actions lorsqu’elles génèrent des risques sur le système d’information.
Vulnérabilités significatives de la semaine 44
CVE-2020-21867 : ARC Informatique PcVue
Cette vulnérabilité critique permet à un attaquant non authentifié d’injecter un code malveillant, via l’interface, qui sera exécuté par le serveur Web & Mobile. L’application des correctifs est fortement recommandée, dans le cas contraire il est possible de désinstaller ces fonctionnalités si elles ne sont pas utilisées.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-685/
- https://www.pcvuesolutions.com/france/index.php/support/ressources/alertes-de-securite
CVE-2020-7197 : HPE 3PAR StoreServ Management et Core Software Media
Cette vulnérabilité critique permet à un attaquant non authentifié de contourner le mécanisme d’authentification, pouvant donc résulter en une prise de contrôle de la console d’administration avec les droits administrateurs. L’éditeur a attribué le score CVSSv3 de 10 à cette vulnérabilité. Le CERT-FR rappelle que les interfaces d’administration doivent être sécurisées et recommande de consulter le guide de sécurisation de l’administration des SI publié par l’ANSSI [1].
Liens :
- https://support.hpe.com/hpesc/public/docDisplay?docLocale=en_US&docId=emr_na-hpesbst04045en_us
- [1] https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
Multiples vulnérabilités permettant une exécution de code arbitraire : QNAP
De nombreuses vulnérabilités avaient été déclarées en 2018 par le constructeur QNAP. Le constructeur a ré-émis des alertes le 30 octobre 2020. Ces vulnérabilités permettent d’injecter du code malveillant via différents logiciels associés au système d’exploitation QTS. Certains malwares ciblant les matériels QNAP modifient notamment la configuration des équipements pour désactiver les mises à jour automatiques. Il est primordial de contrôler la bonne application des mises à jour de sécurité fournies par l’éditeur.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-695/
- https://www.qnap.com/fr-fr/security-advisory/qsa-20-10
- https://www.qnap.com/fr-fr/security-advisory/qsa-20-11
Multiples vulnérabilités permettant une exécution de code arbitraire : Juniper Contrail et Juniper JIMS
Des vulnérabilités affectant les composants PyYAML et zlib affectent les produits Juniper Contrail et Juniper JIMS. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance. La mise à jour de Juniper Contrail et JIMS est fortement recommandée.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-691/
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11087&cat=SIRT_1&actp=LIST
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11073&cat=SIRT_1&actp=LIST
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 26 octobre au 01 novembre 2020, le CERT-FR a émis les publications suivantes :
- CERTFR-2020-ALE-022 : [MàJ] Vulnérabilité dans Oracle Weblogic
- CERTFR-2020-AVI-678 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2020-AVI-679 : Vulnérabilité dans HPE StoreServ Management Console (SSMC)
- CERTFR-2020-AVI-680 : Multiples vulnérabilités dans Stormshield Network Security
- CERTFR-2020-AVI-681 : Multiples vulnérabilités dans les produits Pulse Secure
- CERTFR-2020-AVI-682 : [SCADA] Vulnérabilité dans Moxa NPort 5100A
- CERTFR-2020-AVI-683 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2020-AVI-684 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2020-AVI-685 : [SCADA] Multiples vulnérabilités dans ARC Informatique pcVue
- CERTFR-2020-AVI-686 : Multiples vulnérabilités dans les produits Sonicwall
- CERTFR-2020-AVI-687 : Multiples vulnérabilités dans QNAP QTS
- CERTFR-2020-AVI-688 : Vulnérabilité dans Juniper Junos
- CERTFR-2020-AVI-689 : Multiples vulnérabilités dans les produits F5
- CERTFR-2020-AVI-690 : Multiples vulnérabilités dans Juniper Junos
- CERTFR-2020-AVI-691 : Multiples vulnérabilités dans les produits Juniper
- CERTFR-2020-AVI-692 : [SCADA] Vulnérabilité dans les produits Moxa
- CERTFR-2020-AVI-693 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2020-AVI-694 : Multiples vulnérabilités dans Samba
- CERTFR-2020-AVI-695 : Multiples vulnérabilités dans QNAP QTS
- CERTFR-2020-AVI-696 : Multiples vulnérabilités dans les produits Tenable
- CERTFR-2020-AVI-697 : Multiples vulnérabilités dans Wireshark
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2020-AVI-659 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2020-AVI-672 : Multiples vulnérabilités dans le noyau Linux de SUSE