Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 21

CVE-2021-0268 : Vulnérabilité dans Juniper Junos OS

Le 27 mai 2021 l’éditeur a déclaré une vulnérabilité affectant J-Web dans Juniper Network Junos OS avec un score CVSSv3 de 8.8. Cette vulnérabilité de type HTTP Response Splitting, permet à un attaquant non authentifié de réaliser, entre autre, une exécution de code arbitraire ainsi qu’une élévation de privilège. La NVD a rehaussé le score CVSSv3 de cette vulnérabilité à 9.3 en passant l’atteinte à l’intégrité de ‘faible’ à ‘élevé’.

Liens :

CVE-2021-21985 : Vulnérabilité dans VMware vCenter Server

Le 25 mai 2021 l’éditeur a déclaré une vulnérabilité affectant le client vSphere (HTML5) avec un score CVSSv3 de 9.8. Cette vulnérabilité permet une exécution de code à distance due à un manque de vérification des entrées dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server. Un acteur malveillant disposant d’un accès réseau au port 443 peut exploiter ce défaut de sécurité afin exécuter des commandes avec des privilèges non restreints sur le système d’exploitation sous-jacent qui héberge vCenter Server.

Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des systèmes d’exploitation affectés en commençant par les machines exposées sur des réseaux non sécurisés. Dans le cas où l’application du correctif n’est pas disponible le CERT-FR recommande de désactiver le plug-in Virtual SAN Health Check en suivant la documentation de l’éditeur [1].

Enfin, le CERT-FR a constaté la présence d’instances de vCenter directement accessibles sur internet. Ceci est contraire aux bonnes pratiques. Pour rappel, ce type de services ne doit jamais être exposé sur internet. Lorsque cela se révèle absolument nécessaire, il est fortement recommandé de recourir à des solutions d’accès sécurisés à distance.

Liens :

CVE-2021-31474 : Vulnérabilité dans SolarWinds Orion

Le 25 mars 2021 l’éditeur a déclaré une vulnérabilité affectant le produit SolarWinds Network Performance Monitor 2020.2.1 avec un score CVSSv3 de 9.8. Cette vulnérabilité permet l’exécution à distance de code arbitraire sur les installations utilisant SolarWinds Network Performance Monitor 2020.2.1. L’authentification n’est pas nécessaire pour exploiter cette vulnérabilité et la faille réside au sein de la bibliothèque SolarWinds.Serialization. En effet, l’absence de vérification des entrées fournies par un utilisateur malveillant peut entraîner une désérialisation non sécurisée. Un attaquant peut ainsi tirer parti de cette vulnérabilité pour exécuter du code avec les droits et privilèges du compte SYSTEM.

Liens :

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 24 au 30 mai 2021, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :