Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 33
CVE-2021-26937 : Vulnérabilité dans les produits Juniper
Le 18 août 2021, l'éditeur a publié un correctif pour son produit Junos Space, sa plateforme centralisée de gestion et d'orchestration des équipements et des services réseau. Cette nouvelle version du Junos Space corrige notamment une vulnérabilité critique : la CVE-2021-26937 affecte l'utilitaire screen de Linux et permet une exécution de code arbitraire. L'éditeur indique également qu'il corrige la vulnérabilité CVE-2020-1472, affectant le protocole Netlogon de Microsoft Windows (vulnérabilité 'ZeroLogon'). Cependant, l'éditeur précise que la configuration par défaut de Junos Space ne permet pas d'exploiter la vulnérabilité car le protocole n'est pas activé.Liens :
- /avis/CERTFR-2021-AVI-638/
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11206&cat=SIRT_1&actp=LIST
CVE-2021-34730 : Vulnérabilité dans les routeurs Cisco Small Business RV110W, RV130, RV130W et RV215W
Le 19 août 2021, l'éditeur a publié un avis de sécurité concernant sa gamme Small Business. Les routeurs RV110W, RV130, RV130W et RV215W sont affectés par une vulnérabilité dans le service UPnP (Universal Plug and Play) permettant à un attaquant non authentifié d'exécuter du code arbitraire à distance. Cette vulnérabilité possède un score CVSSv3 de 9.8. L'éditeur indique que dans sa configuration par défaut, le service UPnP n'est pas accessible depuis une interface réseau externe. Il indique également qu'aucun correctif ne sera publié car ces équipements ne sont plus maintenus. Le CERT-FR recommande fortement de remplacer ces équipements par des produits maintenus par leur éditeur. A défaut, il est requis de désactiver complètement le service UPnP en suivant les directives de l'éditeur.Liens :
- /avis/CERTFR-2021-AVI-642/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-sb-rv-overflow-htpymMB5
Anciennes Vulnérabilités
Autres Vulnérabilités
CVE-2021-38530, CVE-2021-38527, CVE-2021-38516, CVE-2021-38529, CVE-2021-38528 : Multiples vulnérabilités dans les produits Netgear
Le 18 juin 2021, l'éditeur Netgear a publié un grand nombre d'avis de sécurité et des identifiants CVE ont été finalement publiés le 11 août 2021. Parmi les vulnérabilités corrigées, plusieurs d'entre elles permettent à un attaquant non authentifié d'exécuter des commandes arbitraires à distance ou de contourner le contrôle d'accès. Le CERT-FR recommande fortement d'appliquer les mises à jour sur les équipements affectés par l'une de ces vulnérabilités en se référant aux avis de l'éditeur.Liens :
CVE-2021-22123 : Vulnérabilité dans Fortinet FortiWeb
Le 18 août 2021, l'éditeur a publié un avis de sécurité concernant son produit FortiWeb annonçant la possibilité pour un attaquant authentifié via de l'interface d'administration Web d'exécuter des commandes arbitraires à distance au niveau du système d'exploitation de l'équipement. Cette vulnérabilité, identifiée CVE-2021-22123, a un score CVSSv3 de 7.6 mais n'est pour l'instant pas corrigée. La date de mise à disposition des versions correctives n'est pas connue.Un chercheur a publié une preuve de concept le jour même. Des attaquants ayant connaissance d'identifiants administrateurs et disposant d'un accès à une interface d'administration pourraient être en mesure d'exploiter rapidement cette vulnérabilité.
Le CERT-FR rappelle que les interfaces d'administration doivent être accessibles uniquement depuis des réseaux sécurisés.
Liens :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.