Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 06
CVE-2021-24078 : Vulnérabilité dans Microsoft Windows DNS Server
L'éditeur a publié un correctif pour la CVE-2021-24078 qui affecte le système d'exploitation Windows Server lorsqu'il est configuré en tant que serveur DNS. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance en forgeant une réponse d'un serveur DNS racine à une requête pour un domaine pour lequel le serveur vulnérable n'aurait encore effectué aucune requête préalable. L'exploitation de cette vulnérabilité peut résulter en une exécution de code arbitraire avec les privilèges SYSTEM. Le service Microsoft DNS Server étant généralement activé sur les contrôleurs de domaines Active Directory, l'attaquant est alors capable de compromettre les contrôleurs de domaines Active Directory du système d'information. L'application du correctif est donc urgente.Liens :
CVE-2021-24074, CVE-2021-24094 : Multiples vulnérabilités dans la pile TCP/IP de Microsoft Windows
Lors du Patch Tuesday du 09 février 2021, Microsoft a corrigé trois vulnérabilités affectant la pile IP des différentes versions de son système d'exploitation Windows (Windows 7, Windows 8.1, Windows 10, Windows Server 2008, 2012, 2016 et 2019). La CVE-2021-24074, dont le score CVSSv3 est 9.8, permet de provoquer une exécution de code à distance à partir de paquets IPv4 spécialement construits pour provoquer un débordement de tampon lorsqu'ils sont traitées par le pilote tcpip.sys. Les paquets forgés doivent être fragmentés et avoir l'option "Loose Source and Record Route" activée. Même si Windows n'autorise pas cette option par défaut, ces paquets IP sont néanmoins traités par le pilote pour exploiter la vulnérabilité. La CVE-2021-24094 est une vulnérabilité de score 9.8. Elle peut être exploitée pour permettre une exécution de code à distance lorsque des paquets IPv6 fragmentés spécialement construits sont réassemblés par le pilote tcpip.sys. L'éditeur considère qu'il est difficile de parvenir à une exécution de code arbitraire à distance, cependant le déni de service est très simple à réaliser et il est probable que des codes d'attaques permettant une exécution de code arbitraire puissent être publiés. L'application de ces correctifs doit donc être programmée rapidement.Liens :
- https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-24074
- https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-24094
- /avis/CERTFR-2021-AVI-105/
L'éditeur a publié un correctif pour la CVE-2021-3033 (score CVSSv3 9.1). Cette vulnérabilité permet à un attaquant de forger un jeton d'authentification SAML pour se connecter à la console d'administration sans avoir été préalablement authentifié. L'attaquant est alors en mesure d'exécuter des commandes arbitraires à distance sur l'équipement vulnérable. Le CERT-FR recommande l'application du correctif pour tous les équipements configurés pour utiliser SAML afin d'authentifier les utilisateurs. Le CERT-FR rappelle que les consoles d'administration doivent être protégées sur un réseau d'administration dédié [1]. : Vulnérabilité dans Palo Alto Prisma Cloud Compute
Liens :
- https://security.paloaltonetworks.com/CVE-2021-3033
- /avis/CERTFR-2021-AVI-110/
- [1] https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
Le 09 février 2021, l'éditeur a corrigé une vulnérabilité dans SAP Commerce dans le cadre de son Patch Day mensuel. La CVE-2021-21477 (score CVSSv3 de 9.9) permet à un attaquant authentifié d'exécuter du code arbitraire sur le serveur. Par ailleurs, il convient de noter que l'éditeur a également corrigé, sans préciser les identifiants CVE, plusieurs vulnérabilités critiques (score CVSSv3 de 10) dans les SAP Business Client s’appuyant sur le navigateur Google Chromium. : Vulnérabilité dans les produits SAP
Liens :
L'éditeur a corrigé plusieurs vulnérabilités dans ses produits Ruggedcom Rox II, le 09 février, dont la CVE-2019-17006. Cette vulnérabilité est présente dans les bibliothèques NSS utilisée par les produits pour l'implémentation des différents mécanismes cryptographiques tels que SSL/TLS, x509, PKCS#7, etc. L'exploitation de cette vulnérabilité permet d'exécuter du code arbitraire à distance. : Vulnérabilité dans les produits Siemens RUGGEDCOM ROX II
Liens :
CVE-2021-21014, CVE-2021-21015, CVE-2021-21016, CVE-2021-21018, CVE-2021-21019 : Multiple vulnérabilités dans Magento
L'éditeur de Magento a corrigé plusieurs vulnérabilités qui permettent à un attaquant non authentifier d'exécuter du code arbitraire à distance dans le contexte du serveur. L'application des correctifs est donc urgente.Liens :
CVE-2021-21017 : Vulnérabilité dans Adobe Acrobat et Acrobat Reader
L'éditeur a corrigé plusieurs vulnérabilité dont la CVE-2021-21017 qui permet une exécution de code arbitraire. L'ANSSI a connaissance d'attaques ciblées exploitant cette vulnérabilité. La mise à jour des logiciels Acrobat et Acrobat Reader est donc impérative.Liens :
- https://helpx.adobe.com/security/products/acrobat/apsb21-09.html
- /avis/CERTFR-2021-AVI-102/
CVE-2021-3352 : Vulnérabilité dans Mitel MiContact Center Business
L'éditeur a corrigé une vulnérabilité présente dans le kit de développement de MiContact Center Business. Cette vulnérabilité permet à un attaquant non authentifié d'accéder en lecture et en écriture aux données des utilisateurs.Liens :
- https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin-21-0002-001.pdf
- /avis/CERTFR-2021-AVI-113/
Autres Informations
Incident de sécurité chez Stormshield
Pour rappel, l’ANSSI a été informée d’un incident de sécurité affectant la société Stormshield et travaille en étroite collaboration avec les équipes de la société. L'ANSSI a publié un communiqué le 04 février 2021 : https://www.ssi.gouv.fr/actualite/incident-de-securite-chez-stormshield/
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.