Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 31

CVE-2017-12652, CVE-2019-12450, CVE-2019-11068, CVE-2020-1472, CVE-2019-17006 : Multiples vulnérabilités dans les produits Juniper

Le 3 août 2021, l'éditeur a déclaré de multiples vulnérabilités affectant Junos Space Log Collector, toutes avec un score CVSSv3 supérieur à 9 voire égal à 10. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Liens :

CVE-2020-26867 : Vulnérabilité dans ARC Informatique PcVue ARC Informatique PcVue

Le 3 août 2021, l'éditeur a déclaré que de multiples vulnérabilités ont été découvertes dans ARC Informatique PcVue. Notamment, la CVE CVE-2020-26867, possède un score CVSSv3 de 9.8. En raison de la désérialisation de données non fiables, cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance sur le serveur back-end web et mobile. Un avis avait déjà fait l'objet d'une rédaction sur le site du CERT-FR. Il est disponible à l'adresse suivante : /avis/CERTFR-2020-AVI-685/.

Liens :

CVE-2021-32588 : Vulnérabilité dans Fortinet FortiPortal

Le 4 août 2021, l'éditeur a déclaré une vulnérabilité affectant Fortinet FortinPortal avec un score CVSSv3 s'élevant à 9.3.

Une vulnérabilité liée à l'utilisation d'informations d'identification codées en dur (CWE-798) dans FortiPortal peut permettre à un attaquant distant et non authentifié d'exécuter du code arbitraire à distance avec des droits administrateur en téléchargeant et en déployant des fichiers d'archives d'applications Web malveillantes.

Liens :

CVE-2021-1609 : Vulnérabilité dans Cisco Cisco Small Business Routers

Le 5 août 2021 l'éditeur a déclaré de multiples vulnérabilités dont une possédant un score CVSSv3 supérieur à 9 : la CVE-2021-1609. Il s'agit d'une vulnérabilité de niveau critique dans l'interface de gestion web de Cisco pour les routeurs Cisco Small Business, à laquelle a été attribué un score CVSSv3 de 9.8. Selon Cisco, la faille existe en raison d'une validation incorrecte des requêtes HTTP. Un attaquant distant et non authentifié pourrait exploiter la vulnérabilité en envoyant une requête HTTP spécialement conçue à un appareil vulnérable, ce qui entraînerait une exécution de code arbitraire ainsi que la possibilité de recharger l'appareil, provoquant ainsi un déni de service.

Liens :

 

Multiples vulnérabilités dans NicheStack affectant Schneider Electric

Des chercheurs en sécurité ont révélé mercredi 14 vulnérabilités affectant une pile TCP/IP couramment utilisée dans des millions d'appareils de technologie opérationnelle (OT) fabriqués par pas moins de 200 fournisseurs et déployés dans des usines de fabrication, de production d'électricité, de traitement de l'eau et des secteurs d'infrastructures critiques.

Les failles, collectivement appelées "INFRA:HALT", ciblent NicheStack, et permettent à un attaquant de réaliser une exécution de code à distance, un déni de service, une fuite d'informations, une usurpation d'identité TCP et enfin un empoisonnement de cache DNS.

NicheStack (alias pile InterNiche) est une pile TCP/IP à source fermée pour les systèmes embarqués, conçue pour fournir une connectivité Internet aux équipements industriels. Elle est intégrée par les principaux fournisseurs d'automatisation industrielle tels que Siemens, Mitsubishi Electric et Schneider Electric dans leurs automates programmables (PLC) et autres produits. Il n'existe pour l'heure aucun correctif pour Schneider Electric.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 02 août 2021 au 08 août 2021, le CERT-FR a émis les publications suivantes :