Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 28

CVE-2021-22772, CVE-2021-22779 : Multiple vulnérabilités dans les produits Schneider

Le 13 juillet l'éditeur a corrigé deux vulnérabilités ayant un score CVSSv3 supérieure à 9. La première vulnérabilité, CVE-2021-22772, affecte les produits Easergy T200 (Modbus, IEC104, DNP3) et permet à un attaquant à distance de pouvoir contourner l'authentification. Dans l'avis de sécurité [1], l'éditeur émet des recommandations en parallèle de l'application du correctif et rappel les bonnes pratiques pour limiter le risque des vulnérabilités.

La second vulnérabilité, CVE-2021-22779, affecte plusieurs produits Schneider : EcoStruxure, SCADAPack RemoteConnect for x70 et Modicon M580/M340 CPU. Cette vulnérabilité permet à un attaquant à distance et non authentifié d'accéder aux modes lecture et écriture du contrôleur en usurpant la communication Modbus entre le logiciel ingénierie et le contrôleur. N'ayant pour le moment pas de correctif pour cette vulnérabilité, l'éditeur émet des mesures de contournement pour réduire le risque de l'exploitation de cette vulnérabilité.

Le CERT-FR recommande très fortement de suivre les recommandations de l'éditeur.

Liens :

CVE-2021-34458, CVE-2021-34473, CVE-2021-34523 : Multiple vulnérabilités dans les produits Microsoft

A l’occasion de son correctif mensuel du mois de juillet 2021, Microsoft a corrigé de nombreuses vulnérabilités.

Deux vulnérabilités critiques affectant Microsoft Exchange ont été corrigées. Elles permettent à un attaquant de pouvoir réaliser une exécution de code arbitraire (CVE-2021-34473) et une élévation de privilèges (CVE-2021-34523).

Une troisième vulnérabilité critique corrigée affecte le noyau Windows. La CVE-2021-34458 a un score CVSSv3 de 9.9. Cette vulnérabilité touche les instances Windows virtualisées qui utilisent des périphériques supportant la fonctionnalité SR-IOV (single root input/output virtualization). Pour rappel, cette spécification qui est une extension du PCIe permet de partager un périphérique, telle qu'une carte réseau, entre plusieurs machines virtuelles. Cette vulnérabilité permet à un attaquant ayant le contrôle d'une machine virtuelle, d'interférer potentiellement avec les autres périphériques PCI-E utilisés par d'autres machines virtuelles.

Liens :

CVE-2021-0276 : Vulnérabilité dans Juniper Juniper Networks SBR Carrier

L'éditeur a déclaré une vulnérabilité avec un score CVSSv3 de 9.8. Cette vulnérabilité affecte le produit Juniper Networks SBR Carrier et permet à un attaquant de réaliser une exécution de code arbitraire lorsque le mécanisme d'authentification EAP (Extensible Authentication Protocol) est configuré.

Liens :

CVE-2021-28809 : Vulnérabilité dans Qnap HBS

Le 6 juillet 2021 l'éditeur a corrigé une vulnérabilité critique affectant HBS 3. Elle permet à un attaquant de contourner le contrôle d'accès afin de compromettre le système.

Liens :

Vulnérabilité dans SonicWall SMA/SRA

Le jour de la fête nationale, l'éditeur a déclaré une vulnérabilité critique de type injection SQL qui impact les produits SRA dont des versions en fin de vie (EOL). Veuillez-vous référer à l'alerte CERT-FR, pour plus d'informations.

Liens :

CVE-2021-35211 : Vulnérabilité dans SolarWinds Serv-U

Le 9 juillet 2021, SolarWinds a publié un correctif pour la vulnérabilité CVE-2021-35211 affectant les composants Managed File Transfer et Secure FTP des produits Serv-U avec une version antérieure à 15.2.3 HF2. Veuillez-vous référer à l'alerte CERT-FR, pour plus d'informations.

Liens :

CVE-2021-32726 : Vulnérabilité dans NextCloud Server

L'éditeur a publié une vulnérabilité qui permet à un attaquant de pouvoir réutiliser des anciens jetons d'authentifications d'utilisateurs supprimés.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 02 août 2021 au 08 août 2021, le CERT-FR a émis les publications suivantes :