Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 38
CVE-2021-32802 : Vulnérabilité dans Nextcloud
Le 06 septembre 2021, l'éditeur a publié un correctif pour une vulnérabilité permettant à un attaquant de détourner le fonctionnement du serveur Nextcloud et potentiellement exécuter du code arbitraire. Cette vulnérabilité, déclarée avec un score CVSSv3 de 9.8 le 14 septembre, affecte une bibliothèque de traitement des images utilisée par Nextcloud, notamment utilisée pour la prévisualisation d'images dans son interface utilisateur. L'éditeur a remplacé la bibliothèque en cause et recommande fortement d'appliquer les correctifs.Liens :
- /avis/CERTFR-2021-AVI-678/
- https://github.com/nextcloud/security-advisories/security/advisories/GHSA-m682-v4g9-wrq7
CVE-2021-1619, CVE-2021-34770, CVE-2021-34727 : Multiples vulnérabilités dans les produits Cisco
Le 23 septembre 2021, l'éditeur a publié des avis de sécurité concernant IOS XE. La CVE-2021-1619 a un score CVSSv3 de 9.8. Elle permet à un attaquant non authentifié de contourner le mécanisme d'authentification sur l'équipement pour invoquer le service NETCONF ou le service RESTCONF dans le but de modifier la configuration de l'équipement ou de provoquer un déni service. Cette vulnérabilité est exploitable sur un équipement configuré pour utiliser les fonctions AAA avec l'un des services NETCONF ou RESTCONF, lorsque l'authentification par mot de passe est utilisée sans l'option "enable secret". La CVE-2021-34770 se situe dans l'implémentation du protocole CAPWAP et a un score CVSSv3 de 10. Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur l'équipement en forgeant des paquets dans le but d'exploiter la vulnérabilité. La CVE-2021-34727 a un score CVSSv3 de 9.8. Elle affecte le démon vDaemon du logiciel IOS XE SD-WAN et permet à un attaquant non authentifié de provoquer un déni de service ou une exécution potentielle de code arbitraire à distance. Il est fortement recommandé de déployer les correctifs si la configuration des équipements permet l'exploitation de ces vulnérabilités.Liens :
- /avis/CERTFR-2021-AVI-728/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaa-Yx47ZT8Q
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ewlc-capwap-rce-LYgj8Kf
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxesdwan-rbuffover-vE2OB6tp#fs
CVE-2021-22005 : Vulnérabilité dans VMware vCenter
Le 22 septembre 2021, l'éditeur a publié un avis de sécurité portant sur la correction de 19 vulnérabilités affectant les produits vCenter et Clound Foundation. Parmi ces vulnérabilités, la plus critique est la CVE-2021-22005 qui permet à un attaquant non authentifié de téléverser un fichier arbitraire sur le serveur vCenter. Elle a un score CVSSv3 de 9.8.Par ailleurs, il convient de noter que la CVE-2021-22006 et la CVE-2021-22017 permettent à un attaquant de contourner les règles du serveur mandataire (reverse proxy) pour accéder à des URLs normalement non autorisés. Les CVE-2021-22011 et CVE-2021-22012 concernent un défaut d’authentification qui permet à un attaquant d’accéder à l’API et de manipuler la configuration réseau des machines virtuelles ou de récupérer des informations sensibles.
Des codes d'exploitations sont disponibles sur Internet depuis le 24 septembre 2021, il est donc urgent d'appliquer les correctifs. Par ailleurs, le CERT-FR rappelle que ce type de service ne devrait pas être exposé sur Internet [1].
Liens :
- /avis/CERTFR-2021-AVI-724/
- https://www.vmware.com/security/advisories/VMSA-2021-0020.html
- [1] https://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation/
CVE-2021-22941 : Vulnérabilité dans le contrôleur de zone de stockage Citrix ShareFile
Le 21 septembre 2021, l'éditeur a publié un correctif concernant une vulnérabilité dans le contrôleur de zone de stockage ShareFile. Cette vulnérabilité permet à un attaque non authentifié d'exécuter du code arbitraire sur un contrôleur déployé par les Clients. Les contrôleurs proposé dans le cloud Citrix ne sont pas affectés.Liens :
CVE-2021-20034 : Vulnérabilité dans SonicWall SMA 100 Series
Le 24 septembre 2021, l'éditeur a publié des correctifs pour plusieurs vulnérabilités affectant la gamme d'équipements SMA 100. Parmi ces vulnérabilités, la CVE-2021-20034 a un score CVSSv3 de 9.1. Elle permet à un attaquant non authentifié de supprimer n'importe quel fichier sur l'équipement provoquant notamment la réinitialisation de l'équipement sur les paramètres d'usine.Liens :
CVE-2021-36745 : Vulnérabilité dans les produits TrendMicro
Le 24 septembre 2021, l'éditeur a publié un correctif pour une vulnérabilité affectant le logiciel ServerProtect dont le score CVSSv3 est de 9.8. Cette vulnérabilité permet à un attaquant non authentifié de contourner le mécanisme d'authentification à distance et donc de prendre le contrôle de la solution. Il est fortement recommandé de mettre à jour le produit sur les équipements concernés.Liens :
Autres informations
Dans une publication datant du 24 septembre 2021, Microsoft annonce l'ajout d'une fonctionnalité de protection dans son produit de messagerie Exchange. Cette fonctionnalité sera disponible dans les mises à jour cumulatives (Cumulative Update, CU) de septembre pour Exchange 2016 et Exchange 2019, prévues pour être publiées le 28 septembre 2021 ([2]). Cette fonctionnalité requiert d'avoir installé le module IIS URL rewrite v2 et aura pour but de pouvoir appliquer automatiquement des contournements pour les vulnérabilités les plus critiques. Pour plus de détails, se référer à l'article Microsoft [1].Le CERT-FR en profite pour rappeler que les mises à jour de sécurité (Security Update, SU) pour Exchange ne sont proposées par Microsoft que pour les deux dernières mises à jour cumulatives (CU). Ainsi, au 12 octobre 2021, date du prochain Patch Tuesday, il faudra s'assurer que les serveurs Exchange seront bien en version 2019 CU11, 2019 CU10, 2016 CU22 ou 2016 CU21.
Liens :
- [1] https://techcommunity.microsoft.com/t5/exchange-team-blog/new-security-feature-in-september-2021-cumulative-update-for/ba-p/2783155
- [2] https://techcommunity.microsoft.com/t5/exchange-team-blog/delay-of-september-2021-cumulative-update-for-exchange-server/ba-p/2758450
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.