Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 49
CVE-2021-20038, CVE-2021-20045 : Multiples vulnérabilités dans les produits SonicWall
Le 08 déc. 2021, l'éditeur a publié un correctif pour plusieurs vulnérabilités, dont deux critiques, affectant ses équipements de gamme SMA 100 (200, 210, 400, 410, 500v).La CVE-2021-20038 a un score CVSSv3 de 9.8. Il s'agit d'une vulnérabilité de type dépassement de pile qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. La CVE-2021-20045 a un score de 9.4 et permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance avec les droits du user 'nobody'.
Il est recommandé d'appliquer les correctifs sans délai.
Liens :
- /avis/CERTFR-2021-AVI-926/
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026
CVE-2021-41028, CVE-2021-44168, CVE-2021-42758, CVE-2021-42760, CVE-2021-41017, CVE-2021-36194, CVE-2021-43071 : Multiples vulnérabilités dans les produits Fortinet
Le 08 déc. 2021, l'éditeur a publié 39 avis de sécurité annonçant la correction de vulnérabilités dans la plupart de ses produits.Parmi ces vulnérabilités, on notera notamment la CVE-2021-41028 qui concerne une défaillance dans le contrôle de validité des certificats ainsi que la présence de secrets par défaut. Les CVE-2021-41017, CVE-2021-36194 et CVE-2021-43071 permettent quand à elles une exécution de code arbitraire à distance par un attaquant authentifié. La CVE-2021-42760 permet à un attaquant non authentifié de voler des données de l'équipement.
Enfin, la CVE-2021-44168 concerne un défaut de contrôle d'intégrité du code permettant donc le chargement d'une mise à jour malveillante. L'éditeur indique avoir identifié la compromission d'un équipement et fournit des indicateurs de compromission dans son avis qu'il convient de rechercher sur les boîtiers FortiGate.
Il est donc fortement recommandé de revoir l'ensemble des avis de l'éditeur mentionnés dans l'avis CERT-FR afin d'appliquer les correctifs.
Liens (liste non exhaustive, se référer à l'avis CERT-FR ci-dessous) :
- /avis/CERTFR-2021-AVI-927/
- https://www.fortiguard.com/psirt/FG-IR-21-075
- https://www.fortiguard.com/psirt/FG-IR-21-201
- https://www.fortiguard.com/psirt/FG-IR-21-200
- https://www.fortiguard.com/psirt/FG-IR-21-129
- https://www.fortiguard.com/psirt/FG-IR-21-160
- https://www.fortiguard.com/psirt/FG-IR-21-152
- https://www.fortiguard.com/psirt/FG-IR-21-188
CVE-2021-37298 : Vulnérabilité dans Laravel
Le 09 déc. 2021, l'éditeur a corrigé une vulnérabilité dans le mécanisme de dé-sérialisation permettant d'exécuter du code arbitraire à distance dans la version 5.1 de Laravel.Cette CVE a un score de 9.8, il est recommandé de mettre à jour Laravel.
Liens :
CVE-2021-43798 : Vulnérabilité dans Grafana
Le 09 déc. 2021, l'éditeur a corrigé une vulnérabilité permettant à un attaquant non authentifié d'accéder de façon arbitraire à tout fichier présent sur le serveur. Il est alors possible de voler des informations sensibles comme des mots de passe ou des secrets mal protégés. Des codes d'exploitation sont disponibles publiquement et ont été utilisés pour voler des informations sur les serveurs Grafana exposés sur Internet. Il est important d'appliquer la mise à jour et de renouveler les mots de passe de tous les utilisateurs de l'application et du serveur ainsi que les clés secrètes, comme les clés associées à des certificats TLS.Liens :
Alertes CERT-FR
CVE-2021-44228 : Vulnérabilité dans Apache log4j
La vulnérabilité affectant la bibliothèque Java Apache Log4j a été annoncé le 9 décembre mais semble avoir fait l'objet de tentatives d'exploitation dès le 1er décembre 2021. Se référer à l'alerte CERTFR-2021-ALE-022 pour plus d'information.Liens :
Anciennes vulnérabilités
CVE-2021-42278, CVE-2021-42287 : Vulnérabilités dans Microsoft Active Directory
Lors de son Patch Tuesday du 09 novembre 2021, Microsoft a corrigé plusieurs vulnérabilités affectant les mécanismes d'authentification et de contrôle des droits permettant à un attaquant d'élever ses privilèges et devenir administrateur du domaine Active Directory. Des codes d'exploitations ont été publiés récemment. Il est donc fortement recommandé d'appliquer les correctifs rapidement, sachant que le prochain Patch Tuesday a lieu le 15 décembre 2021.Lien :
- /avis/CERTFR-2021-AVI-862/
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42287
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42278
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.