Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 41

CVE-2021-3757, CVE-2021-3177, CVE-2020-36329, CVE-2018-25011, CVE-2020-36328, CVE-2020-25712, CVE-2020-10878, CVE-2020-8315 : Multiples vulnérabilités dans les produits IBM

Le 08 octobre ainsi que le 14 octobre 2021, l'éditeur a publié des mises à jour pour les produits suivants : IBM App Connect Enterprise, IBM Cognos Analytics et IBM Cloud Pak for Security, plusieurs librairies et projets (Node.js, libwebp, X-org, Python) afin de corriger de nombreuses vulnérabilités critiques les affectant. Ces vulnérabilités permettent, entre autres, à un attaquant de pouvoir exécuter du code arbitraire à distance sur le système. Des codes d'exploitations pour la CVE-2021-3757 sont publiquement disponibles.

Liens :

CVE-2021-30883 : Vulnérabilité dans les produits Apple

Le 11 octobre 2021, l'éditeur a publié un correctif exceptionnel pour iOS et iPadOS afin de corriger la vulnérabilité jour-zéro (zero-day) immatriculée CVE-2021-30883. Cette vulnérabilité, est activement exploitée. Elle permet à un attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges noyau. Des codes exploitations sont publiquement disponibles.

Liens :

CVE-2020-10683, CVE-2021-23926, CVE-2021-38178 : Multiples vulnérabilités dans les produits SAP

Le 12 octobre 2021, dans le cadre de son Patch Tuesday d'octobre, l'éditeur a corrigé trois vulnérabilités critiques affectant SAP Environmental Compliance et SAP NetWeaver. La CVE-2020-10683 et la CVE-2021-23926 permettent la réalisation d'injections XML d'entités externes (XXE) dans SAP Environmental Compliance. La CVE-2021-38178 permet, quant à elle, de contourner les autorisations dans SAP NetWeaver AS ABAP et ABAP Platform.

Liens :

CVE-2021-22802, CVE-2021-22803, CVE-2020-17438 : Multiples vulnérabilités dans les produits Schneider Electric

Le 12 octobre 2021, l'éditeur a déclaré trois vulnérabilités ayant un score CVSSv3 supérieur à 9. Ces vulnérabilités affectent les produits IGSS Data Collector et Modicon TM5 modules. Les vulnérabilités immatriculées CVE-2021-22802 et CVE-2021-22803 permettent à un attaquant d'exécuter du code arbitraire à distance sur le produit IGSS. La CVE-2020-17438 est l'une des 33 vulnérabilités connue sous le nom AMNESIA:33 qui affecte les piles TCP/IP intégrées. Le module Modicon TM5 est affecté par deux de ces 33 vulnérabilités, dont la CVE-2020-17438, permettant à un attaquant de pouvoir réaliser un déni de service voire une exécution de code arbitraire à distance.

Liens :

CVE-2021-27395, CVE-2021-37716 : Multiples vulnérabilités dans les produits Siemens

Le 12 octobre 2021, l'éditeur a corrigé deux vulnérabilités affectant les produits SIMATIC Process Historian et SCALANCE W1750D. La CVE-2021-37716 permet à un attaquant non authentifié de pouvoir exécuter du code arbitraire à distance en envoyant des paquets à destination de PAPI (Aruba Network AP Management protocol) sur des services fonctionnant sous ArubaOS. La CVE-2021-27395 permet, quant à elle, de pouvoir accéder à des fonctions critiques du produit (insertion, modification et suppression de donnée) sans avoir besoin de s'authentifier.

Liens :

CVE-2021-37736, CVE-2021-40997, CVE-2021-40996 : Multiples vulnérabilités dans les produits Aruba

Le 12 octobre 2021, l'éditeur a corrigé trois vulnérabilités critiques affectant l'interface de management de ClearPass Policy Manager. Elles permettent a un attaquant non authentifié de pouvoir de contourner l'authentification du système à distance.

Liens :

CVE-2021-40449 : Vulnérabilité dans Microsoft Win32k

Dans le cadre de son Patch Tuesday, l'éditeur a corrigé une vulnérabilité dans Win32k. Cette vulnérabilité est activement exploitée et permet à un attaquant de réaliser une élévation de privilèges.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 11 octobre 2021 au 17 octobre 2021, le CERT-FR a émis les publications suivantes :


Dans la période du 11 octobre 2021 au 17 octobre 2021, le CERT-FR a mis à jour les publications suivantes :