Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 45

CVE-2021-40501 : Vulnérabilité dans SAP ABAP Platform Kernel, Versions - 7.77, 7.81, 7.85, 7.86

Le 9 novembre 2021, l'éditeur a déclaré une vulnérabilité critique, immatriculée CVE-2021-40501, dans le produit SAP ABAP Platform Kernel. Cette vulnérabilité permet un contournement de l'authentification pour les versions 7.77, 7.81, 7.85 et 7.86.

Liens :

CVE-2021-31886, CVE-2021-40358, CVE-2021-37726 : Multiples vulnérabilités dans les produits Siemens

Le 9 novembre 2021, l'éditeur a déclaré plusieurs vulnérabilités avec un score CVSSv3 supérieure à 9. Ces vulnérabilités affectent de nombreux produits : SCALANCE W1750D, SIMATIC, Nucleus, APOGEE, TALON, etc. Elles permettent à un attaquant à distance de pouvoir réaliser entre autres : une exécution de code arbitraire, un déni de service, des lectures/écritures/suppressions de fichier critiques

Liens :

CVE-2021-26443, CVE-2021-42321, CVE-2021-42282, CVE-2021-42287, CVE-2021-42291, CVE-2021-42278, CVE-2021-42292 : Multiples vulnérabilités dans les produits Microsoft

Dans le cadre du Patch Tuesday de novembre 2021, Microsoft a publié plusieurs vulnérabilités qu'ils considèrent comme critiques.

La CVE-2021-26443 corrige une vulnérabilité qui affecte le mécanisme VMBus d'Hyper-V et permet à un attaquant, ayant accès à une machine virtuelle, d'exécuter du code sur le système hôte. Une mise à jour est fortement recommandée.

La CVE-2021-42321 corrige une vulnérabilité de Microsoft Exchange et a fait l'objet d'une alerte CERT-FR le 10 novembre 2021 car l'éditeur indique que cette vulnérabilité est d'ores et déjà exploitée dans des attaques ciblées. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire après être authentifié. Il est donc primordial d'appliquer la dernière mise à jour cumulative (CU) ainsi que les correctifs de sécurité de novembre 2021 rapidement.

La CVE-2021-42292 corrige une vulnérabilité affectant Microsoft Excel et qui est largement exploitée d'après les informations fournies par l'éditeur. Une mise à jour est très fortement recommandée.

Les CVE-2021-42282, CVE-2021-42287, CVE-2021-42291, CVE-2021-42278 corrigent des vulnérabilités dans Active Directory ainsi que dans Kerberos. Les corrections apportées pour les CVE-2021-42287 et CVE-2021-42291 restent partielle et la protection ne sera complètement effective qu'en avril 2022 et juillet 2022 respectivement. Il est fortement recommandé d'appliquer les mises à jour sur tous les contrôleurs de domaine conformément aux bulletins de l'éditeur et de prendre en compte les nouveaux évènements dans la politique de surveillance des contrôleurs de domaine [1] [2]. Une étude plus approfondie des modifications apportées et des éventuels impacts sur les guides de sécurité de l'ANSSI est actuellement en cours.

Liens :

CVE-2021-3064 : Vulnérabilité dans Palo Alto Network PAN-OS

Le 12 novembre 2021, l'éditeur a déclaré plusieurs vulnérabilités dont une critique affectant toutes les versions PAN-OS antérieures à 8.1.17. Cette vulnérabilité permet à un attaquant non authentifié ayant accès à l'interface GlobalProtect de réaliser un dénis de service et une exécution de code arbitraire.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 08 novembre 2021 au 14 novembre 2021, le CERT-FR a émis les publications suivantes :