Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 05
Vulnérabilité dans Libgcrypt
Le 29 janvier 2021, Tavis Ormandy, chercheur chez Google, a publié les détails d’une vulnérabilité affectant la bibliothèque Libgcrypt, l’un des composants de Gnupg. Cette vulnérabilité permet à un attaquant d’effectuer un débordement de tampon dans le tas lorsque l’utilisateur utilise Gnupg pour déchiffrer un fichier ou un message. Comme cette vulnérabilité est exploitable avant une quelconque vérification ou validation de signature et qu’elle permet une exécution de code arbitraire à distance, elle est particulièrement critique.
Cette vulnérabilité a été introduite dans la version 1.9.0 publiée le 19 janvier 2021. il est donc urgent de migrer vers la version 1.9.1 pour ceux qui avaient installé la version vulnérable.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-070/
- https://lists.gnupg.org/pipermail/gnupg-announce/2021q1/000456.html
CVE-2021-1289, CVE-2021-1290, CVE-2021-1291, CVE-2021-1292, CVE-2021-1293, CVE-2021-1294 et CVE-2021-1295 : Multiple vulnérabilités critiques dans les routeur Cisco RV160, RV160W, RV260, RV260P et RV260W
Des correctifs ont été publiés le 03 février 2021 pour sept vulnérabilités critiques affectant des routeurs Cisco. Elles permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance avec les privilèges root. Ces vulnérabilités affectent l’interface web d’administration des routeurs. Le CERT-FR rappelle que l’accès aux interfaces d’administration doit être restreint dans le cadre des réseaux internes. Cet accès est à proscrire à partir d’internet, du moins de manière directe.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-082/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv160-260-rce-XZeFkNHf
Suivi des alertes
CVE-2021-20016 : Vulnérabilité dans SonicWall SMA séries 100
Le 01 février 2021, SonicWall a confirmé l’existence d’une vulnérabilité de type 0 jour dans leurs passerelles d’accès sécurisé SMA séries 100 (à savoir SMA 200, SMA 210, SMA 400, SMA 410 et 500v). Celle-ci affecte uniquement les versions 10.x. Le 03 février 2021, SonicWall a publié un correctif pour cette vulnérabilité qui permet à un attaquant non authentifié d’obtenir les informations de connexions et de prendre complètement la main sur l’équipement. Le CERT-FR rappelle qu’il ne suffit pas d’appliquer ce correctif, il est également nécessaire de changer tous les mots de passe. Le CERT-FR recommande également d’activer l’authentification multi-facteurs.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-001/
- https://www.sonicwall.com/support/product-notification/urgent-patch-available-for-sma-100-series-10-x-firmware-zero-day-vulnerability-updated-feb-3-2-p-m-cst/210122173415410/
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
CVE-2021-21148 : Vulnérabilité dans Google Chrome et Microsoft Edge
Le 04 février 2021, Google a publié un correctif pour la vulnérabilité CVE-2021-21148 qui permet un débordement de tampon dans le tas. Google indique avoir connaissance de l’existence d’un code d’attaque exploitant cette vulnérabilité. Microsoft Edge étant basé sur Chromium également, l’éditeur a publié un correctif à son tour.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-088/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-089/
- https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html
- https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-21148
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 01 au 07 février 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-ALE-001 : |MàJ] Vulnérabilité dans SonicWall SMA100
- CERTFR-2021-ALE-002 : [MàJ] Vulnérabilité dans Google Chrome et Microsoft Edge
- CERTFR-2021-AVI-069 : Multiples vulnérabilités dans Wireshark
- CERTFR-2021-AVI-070 : Vulnérabilité dans Libgcrypt
- CERTFR-2021-AVI-071 : Multiples vulnérabilités dans Google Android
- CERTFR-2021-AVI-072 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2021-AVI-073 : Vulnérabilité dans Foxit PhantomPDF et Reader
- CERTFR-2021-AVI-074 : Vulnérabilité dans Tenable Nessus AMI
- CERTFR-2021-AVI-075 : Multiples vulnérabilités dans GitLab
- CERTFR-2021-AVI-076 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-077 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2021-AVI-078 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-079 : Vulnérabilité dans Belden Hirschmann RSP, RSPE et OS2
- CERTFR-2021-AVI-080 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2021-AVI-081 : Vulnérabilité dans IBM WebSphere
- CERTFR-2021-AVI-082 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2021-AVI-083 : Vulnérabilité dans SonicWall SMA100
- CERTFR-2021-AVI-084 : Multiples vulnérabilités dans PHP
- CERTFR-2021-AVI-085 : Multiples vulnérabilités dans les produits Trend Micro
- CERTFR-2021-AVI-086 : Vulnérabilité dans Citrix Hypervisor
- CERTFR-2021-AVI-087 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-088 : Vulnérabilité dans Google Chrome
