Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 21
CVE-2021-0268 : Vulnérabilité dans Juniper Junos OS
Le 27 mai 2021 l'éditeur a déclaré une vulnérabilité affectant J-Web dans Juniper Network Junos OS avec un score CVSSv3 de 8.8. Cette vulnérabilité de type HTTP Response Splitting, permet à un attaquant non authentifié de réaliser, entre autre, une exécution de code arbitraire ainsi qu'une élévation de privilège. La NVD a rehaussé le score CVSSv3 de cette vulnérabilité à 9.3 en passant l'atteinte à l'intégrité de 'faible' à 'élevé'.Liens :
- /avis/CERTFR-2021-AVI-411/
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11159&cat=SIRT_1&actp=LIST
- https://nvd.nist.gov/vuln/detail/CVE-2021-0268
CVE-2021-21985 : Vulnérabilité dans VMware vCenter Server
Le 25 mai 2021 l'éditeur a déclaré une vulnérabilité affectant le client vSphere (HTML5) avec un score CVSSv3 de 9.8. Cette vulnérabilité permet une exécution de code à distance due à un manque de vérification des entrées dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server. Un acteur malveillant disposant d'un accès réseau au port 443 peut exploiter ce défaut de sécurité afin exécuter des commandes avec des privilèges non restreints sur le système d'exploitation sous-jacent qui héberge vCenter Server.Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des systèmes d'exploitation affectés en commençant par les machines exposées sur des réseaux non sécurisés. Dans le cas où l'application du correctif n'est pas disponible le CERT-FR recommande de désactiver le plug-in Virtual SAN Health Check en suivant la documentation de l'éditeur [1].
Enfin, le CERT-FR a constaté la présence d'instances de vCenter directement accessibles sur internet. Ceci est contraire aux bonnes pratiques. Pour rappel, ce type de services ne doit jamais être exposé sur internet. Lorsque cela se révèle absolument nécessaire, il est fortement recommandé de recourir à des solutions d'accès sécurisés à distance.
Liens :
- /avis/CERTFR-2021-AVI-403/
- https://www.vmware.com/security/advisories/VMSA-2021-0010.html
- [1] https://kb.vmware.com/s/article/83829
CVE-2021-31474 : Vulnérabilité dans SolarWinds Orion
Le 25 mars 2021 l'éditeur a déclaré une vulnérabilité affectant le produit SolarWinds Network Performance Monitor 2020.2.1 avec un score CVSSv3 de 9.8. Cette vulnérabilité permet l'exécution à distance de code arbitraire sur les installations utilisant SolarWinds Network Performance Monitor 2020.2.1. L'authentification n'est pas nécessaire pour exploiter cette vulnérabilité et la faille réside au sein de la bibliothèque SolarWinds.Serialization. En effet, l'absence de vérification des entrées fournies par un utilisateur malveillant peut entraîner une désérialisation non sécurisée. Un attaquant peut ainsi tirer parti de cette vulnérabilité pour exécuter du code avec les droits et privilèges du compte SYSTEM.Liens :
- /avis/CERTFR-2021-AVI-222/
- https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/orion_platform_2020-2-5_release_notes.htm
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.