Objet: Bulletin d’actualité CERTFR-2021-ACT-052

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 49

CVE-2021-20038, CVE-2021-20045 : Multiples vulnérabilités dans les produits SonicWall

Le 08 déc. 2021, l’éditeur a publié un correctif pour plusieurs vulnérabilités, dont deux critiques, affectant ses équipements de gamme SMA 100 (200, 210, 400, 410, 500v).

La CVE-2021-20038 a un score CVSSv3 de 9.8. Il s’agit d’une vulnérabilité de type dépassement de pile qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance. La CVE-2021-20045 a un score de 9.4 et permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance avec les droits du user ‘nobody’.

Il est recommandé d’appliquer les correctifs sans délai.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-926/
• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026
• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0026

CVE-2021-41028, CVE-2021-44168, CVE-2021-42758, CVE-2021-42760, CVE-2021-41017, CVE-2021-36194, CVE-2021-43071 : Multiples vulnérabilités dans les produits Fortinet

Le 08 déc. 2021, l’éditeur a publié 39 avis de sécurité annonçant la correction de vulnérabilités dans la plupart de ses produits.

Parmi ces vulnérabilités, on notera notamment la CVE-2021-41028 qui concerne une défaillance dans le contrôle de validité des certificats ainsi que la présence de secrets par défaut. Les CVE-2021-41017, CVE-2021-36194 et CVE-2021-43071 permettent quand à elles une exécution de code arbitraire à distance par un attaquant authentifié. La CVE-2021-42760 permet à un attaquant non authentifié de voler des données de l’équipement.

Enfin, la CVE-2021-44168 concerne un défaut de contrôle d’intégrité du code permettant donc le chargement d’une mise à jour malveillante. L’éditeur indique avoir identifié la compromission d’un équipement et fournit des indicateurs de compromission dans son avis qu’il convient de rechercher sur les boîtiers FortiGate.

Il est donc fortement recommandé de revoir l’ensemble des avis de l’éditeur mentionnés dans l’avis CERT-FR afin d’appliquer les correctifs.

Liens (liste non exhaustive, se référer à l’avis CERT-FR ci-dessous) :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-927/
• https://www.fortiguard.com/psirt/FG-IR-21-075
• https://www.fortiguard.com/psirt/FG-IR-21-201
• https://www.fortiguard.com/psirt/FG-IR-21-200
• https://www.fortiguard.com/psirt/FG-IR-21-129
• https://www.fortiguard.com/psirt/FG-IR-21-160
• https://www.fortiguard.com/psirt/FG-IR-21-152
• https://www.fortiguard.com/psirt/FG-IR-21-188

CVE-2021-37298 : Vulnérabilité dans Laravel

Le 09 déc. 2021, l’éditeur a corrigé une vulnérabilité dans le mécanisme de dé-sérialisation permettant d’exécuter du code arbitraire à distance dans la version 5.1 de Laravel.

Cette CVE a un score de 9.8, il est recommandé de mettre à jour Laravel.

Liens :

• https://nvd.nist.gov/vuln/detail/CVE-2021-37298

CVE-2021-43798 : Vulnérabilité dans Grafana

Le 09 déc. 2021, l’éditeur a corrigé une vulnérabilité permettant à un attaquant non authentifié d’accéder de façon arbitraire à tout fichier présent sur le serveur. Il est alors possible de voler des informations sensibles comme des mots de passe ou des secrets mal protégés. Des codes d’exploitation sont disponibles publiquement et ont été utilisés pour voler des informations sur les serveurs Grafana exposés sur Internet. Il est important d’appliquer la mise à jour et de renouveler les mots de passe de tous les utilisateurs de l’application et du serveur ainsi que les clés secrètes, comme les clés associées à des certificats TLS.

Liens :

• https://github.com/grafana/grafana/security/advisories/GHSA-8pjx-jj86-j47p

Alertes CERT-FR

CVE-2021-44228 : Vulnérabilité dans Apache log4j

La vulnérabilité affectant la bibliothèque Java Apache Log4j a été annoncé le 9 décembre mais semble avoir fait l’objet de tentatives d’exploitation dès le 1er décembre 2021. Se référer à l’alerte CERTFR-2021-ALE-022 pour plus d’information.

Liens :

• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

Anciennes vulnérabilités

CVE-2021-42278, CVE-2021-42287 : Vulnérabilités dans Microsoft Active Directory

Lors de son Patch Tuesday du 09 novembre 2021, Microsoft a corrigé plusieurs vulnérabilités affectant les mécanismes d’authentification et de contrôle des droits permettant à un attaquant d’élever ses privilèges et devenir administrateur du domaine Active Directory. Des codes d’exploitations ont été publiés récemment. Il est donc fortement recommandé d’appliquer les correctifs rapidement, sachant que le prochain Patch Tuesday a lieu le 15 décembre 2021.

Lien :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-862/
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42287
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42278

---

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 06 au 12 décembre 2021, le CERT-FR a émis les publications suivantes :

• CERTFR-2021-ALE-022 : [MaJ] Vulnérabilité dans Apache Log4j
• CERTFR-2021-AVI-917 : Vulnérabilité dans Red Hat
• CERTFR-2021-AVI-918 : Vulnérabilité dans F5 NGINX
• CERTFR-2021-AVI-919 : Multiples vulnérabilités dans Google Chrome
• CERTFR-2021-AVI-920 : Multiples vulnérabilités dans Android
• CERTFR-2021-AVI-921 : Multiples vulnérabilités dans les produits GitLab
• CERTFR-2021-AVI-922 : Vulnérabilité dans Red Hat
• CERTFR-2021-AVI-923 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2021-AVI-924 : Multiples vulnérabilités dans Mozilla Firefox et Firefox ESR
• CERTFR-2021-AVI-925 : Multiples vulnérabilités dans Mozilla Thunderbird
• CERTFR-2021-AVI-926 : Multiples vulnérabilités dans les produits SonicWall
• CERTFR-2021-AVI-927 : Multiples vulnérabilités dans les produits Fortinet
• CERTFR-2021-AVI-928 : Multiples vulnérabilités dans les produits Stormshield
• CERTFR-2021-AVI-929 : Vulnérabilité dans SonicWall Global VPN Client
• CERTFR-2021-AVI-930 : Multiples vulnérabilités dans SolarWinds Serv-U
• CERTFR-2021-AVI-931 : Multiples vulnérabilités dans les produits Cisco
• CERTFR-2021-AVI-932 : Multiples vulnérabilités dans les produits IBM
• CERTFR-2021-AVI-933 : Vulnérabilité dans les produits QNAP
• CERTFR-2021-AVI-934 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2021-AVI-940 : Multiples vulnérabilités dans le noyau Linux de Red Hat

Durant la même période, les publications suivantes ont été mises à jour :

• CERTFR-2021-AVI-910 : Vulnérabilité dans Fortinet FortiClient