Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 02

CVE-2022-21907,  CVE-2022-21849 : Multiples vulnérabilités dans Microsoft Windows

Le 11 janvier 2022, l’éditeur a publié sa mise à jour mensuelle, qui contient, entre autres, des correctifs pour deux vulnérabilités critiques affectant Windows.

La vulnérabilité CVE-2022-21907 a un score CVSSv3 de 9.8 et affecte les systèmes d’exploitation Windows 10, Windows 11, Windows Server 2019 et Windows Server 2022. Il s’agit d’une vulnérabilité de type débordement de pile présente dans le module noyau http.sys et qui permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Une alerte a été émise sur le site du CERT-FR  à propos de cette vulnérabilité.

L’éditeur considère que cette vulnérabilité peut être exploitée dans le cadre d’attaques à propagation de type « ver informatique ».

La vulnérabilité CVE-2022-21849 a un score CVSSv3 de 9.8, il s’agit d’une vulnérabilité de type débordement de pile introduite dans le service IKEv2 permettant à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

La vulnérabilité concerne les environnements pour lesquels le service IPSec est activé.

Il est fortement recommandé d’appliquer les correctifs fournis par l’éditeur.

Liens :

CVE-2022-21846, CVE-2022-21855 et CVE-2022-21969 : Multiples vulnérabilités dans Microsoft Exchange

Le 11 janvier 2022, l’éditeur a également publié des correctifs pour trois vulnérabilités critiques affectant les produits Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 et Microsoft Exchange Server 2019.

Chacune de celles-ci a un score CVSSv3 de 9.0. Il s’agit de vulnérabilités permettant à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Selon l’éditeur, il est probable que ces vulnérabilités fassent l’objet d’exploitations. Le vecteur d’attaque CVSS est fixé à adjacent, ce qui signifie que la vulnérabilité n’est pas opérationnelle directement à partir d’un service en écoute sur Internet, un attaquant devrait, au préalable, être présent dans l’environnement topologique adjacent avant de cibler les services Exchange vulnérables.

Il est recommandé d’appliquer les correctifs fournis par l’éditeur.

Liens :

CVE-2022-20658 : Vulnérabilité dans Cisco Unified Contact Center

Le 13 janvier 2022, l’éditeur Cisco a publié un correctif pour une vulnérabilité critique affectant les produits Cisco Unified Contact Center Management Portal et Unified Contact Center Domain Manager.

Le score CVSSv3 est fixé à 9.6. Cette vulnérabilité permet à un attaquant déjà authentifié de tenter une élévation de privilèges, les versions vulnérables du produit n’effectuant pas de validation des autorisations de l’utilisateur côté serveur.

Liens :

Alertes CERT-FR

CVE-2022-21907 : Vulnérabilité dans Microsoft Windows

L’alerte a été ajoutée afin de prendre en compte la vulnérabilité CVE-2022-21907.

Le CERT-FR a repris les informations publiées par l’éditeur sur les mesures de contournement à appliquer sur les environnements Windows 10 version 1809 et Windows Server 2019. Il n’existe pas de mesure de contournement pour les autres environnements Windows et Windows Server.

Se référer à l’alerte pour plus d’information.

Liens :

 

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 10 au 16 janvier 2022, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :