Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 29

CVE-2021-20093, CVE-2015-8011, CVE-2021-29998 : Multiple vulnérabilités dans les produits Siemens

Le 20 juillet 2021 l'éditeur a corrigé trois vulnérabilités ayant un score CVSSv3 supérieur à 9. La première vulnérabilité, référencée par l'identifiant CVE-2021-20093 permet à un attaquant distant non authentifié d'exploiter cette vulnérabilité afin non seulement de porter atteinte à la confidentialité du contenu de la mémoire ou causer un déni de service en faisant planter le module CodeMeter Runtime Server.

La seconde, CVE-2015-8011, se caractérise par un dépassement de tampon et permet à un attaquant distant de provoquer un déni de service et éventuellement d'exécuter du code arbitraire.

Enfin, la troisième vulnérabilité, la CVE CVE-2021-29998 affecte le produit Wind River VxWorks pour versions antérieures à 6.5. Il existe en effet un débordement de tas possible dans le client dhcp.

Produits concernés : SIMATIC, SICAM, PSS CAPE Protection Simulation Platform, SIMATIC, TIM, SIMATIC, RUGGEDCOM, SCALANCE, SIMATIC.

Liens :

CVE-2021-22707 : Vulnérabilité dans Schneider Electric

Le 20 juillet 2021 l’éditeur a corrigé une vulnérabilité ayant un score CVSSv3 équivalent à 9.4. Cette vulnérabilité, CVE-2021-22707, affecte les produits EVlink City, EVlink Parking, EVlink Smart Wallbox et permet à un attaquant d'envoyer des commandes non autorisées au serveur Web de la station de charge avec des privilèges administratifs. Dans l’avis de sécurité, l’éditeur émet des recommandations en parallèle de l’application du correctif et rappelle les bonnes pratiques pour limiter le risque des vulnérabilités.

Liens :

CVE-2021-23358, CVE-2019-19919 : Multiples vulnérabilités dans les produits IBM

Le 20 juillet 2021, l’éditeur a corrigé deux vulnérabilités ayant un score CVSSv3 supérieur à 9. La première vulnérabilité, CVE-2021-23358, affecte un module de Node.js au sein du produit IBM App Connect Enterprise et permet à un attaquant distant d'exécuter du code arbitraire sur le système, en raison d'une faille dans la fonction template. En envoyant un argument spécialement forgé, un attaquant peut exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.

La seconde vulnérabilité, la CVE-2019-19919, affecte le produit IBM Security SOAR et permet à un attaquant distant d'exécuter du code arbitraire sur le système. En envoyant une charge utile spécialement conçue, un attaquant peut exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.

Produits concernés : IBM App Connect Enterprise, IBM Security SOAR.

Liens :

Multiples vulnérabilités dans Tenable.sc

Tenable a corrigé de multiples vulnérabilités affectant des composant tiers de Tenable.sc. Certaines vulnérabilités affectant Handlebars, PHP et SQLite sont critiques.

Liens :

 

Multiples vulnérabilités dans les produits Oracle

De multiples vulnérabilités avec un score supérieur CVSSv3 à 9, ont été découvertes dans les produits Oracle dont notamment, ORACLE VIRTUALIZATION, ORACLE SYSTEMS, ORACLE PEOPLESOFT, ORACLE MYSQL, ORACLE JAVA SE ou ORACLE DATABASE SERVER.

Liens :

Vulnérabilité dans Microsoft Windows - Attaque par relais NTLM sur Active Directory

Une faille de sécurité récemment découverte dans le système d'exploitation Windows peut être exploitée pour forcer des serveurs Windows distants, y compris des contrôleurs de domaine, à s'authentifier auprès d'une destination considérée comme malveillante, permettant ainsi à un attaquant de mener une attaque par relais NTLM et in fine de prendre le contrôle complet d'un domaine Windows.

La vulnérabilité, baptisée "PetitPotam", a été découvert par un chercheur, qui a partagé les détails techniques et les preuves de concept (PoC) la semaine dernière, notant que la faille fonctionne en forçant "les hôtes Windows à s'authentifier auprès d'autres machines via la fonction MS-EFSRPC EfsRpcOpenFileRaw".

Mesures d'atténuation

Pour empêcher les attaques par relais NTLM sur les réseaux où NTLM est activé, les administrateurs de domaine doivent s'assurer que les services qui autorisent l'authentification NTLM utilisent des protections telles que la protection étendue pour l'authentification (Extended Protection for Authentication ou EPA) ou des fonctionnalités de signature telles que la signature SMB (SMB signing). PetitPotam profite que les serveurs sur lesquels les services de certification Active Directory (AD CS) ne sont pas configurés avec des protections contre les attaques par relais NTLM. Les mesures d'atténuation décrites dans la KB5005413 indiquent aux utilisateurs la façon de prémunir leurs serveurs AD CS contre de telles attaques.

Sont potentiellement vulnérables les réseaux où l'authentification NTLM est activée au sein d'un domaine et si les services de certification "Active Directory Certificate Services (AD CS)" sont les suivants :

  • Inscription Web de l'autorité de certification (Certificate Authority Web Enrollment)
  • Service Web d'inscription des certificats (Certificate Enrollment Web Service)
Liens :  

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 19 juillet 2021 au 25 juillet 2021, le CERT-FR a émis les publications suivantes :