Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 4

CVE-2021-4034 : Vulnérabilité dans pkexec de Polkit

Le 25 janvier 2022, plusieurs éditeurs de distribution Linux ont publié des correctifs de sécurité pour le binaire pkexec. Ce dernier fait partie du cadriciel Polkit qui est une surcouche de gestion des permissions permettant aux applications d'élever leur privilèges.

La vulnérabilité CVE-2021-4034 dispose d'un score CVSSv3 de 7.8 et permet à un attaquant local de tenter une élévation de privilèges afin d'obtenir les droits super utilisateur (root) sur le système vulnérable.

Des preuves de concept ont été publiées sur Internet.

Le CERT-FR a émis des avis pour quatre distributions Linux mais la vulnérabilité est présente sur tous les systèmes Linux qui intègrent Polkit. Nous vous recommandons de vous référer à l'avis de l'éditeur pour identifier les correctifs à installer sur les distributions Linux que vous pourriez utiliser.

Liens :

CVE-2022-22587 : Vulnérabilité dans Apple iOS, iPadOS et macOS

Le 26 janvier 2022, Apple a publié un avis concernant une vulnérabilité affectant l'extension du noyau IOMobileFrameBuffer des systèmes d'exploitation iOS, iPadOS et macOS.

La vulnérabilité CVE-2022-22587 a un score CVSSv3 provisoire de 7.8. Il s'agit d'un débordement de tampon permettant à un attaquant de réaliser une exécution de code arbitraire avec les privilèges du noyau (kernel).

L'éditeur a connaissance d'un rapport indiquant que cette vulnérabilité a pu être exploitée.

Liens :

CVE-2021-44757 : Vulnérabilité dans Zoho ManageEngine Desktop

Le 17 janvier 2022, Zoho a annoncé la publication d'un correctif concernant la solution de gestion centralisée ManageEngine Desktop Central.

La vulnérabilité CVE-2021-44757 dispose d'un score CVSSv3 de 9.1. Elle permet à un attaquant distant de contourner la politique d'authentification du produit et de tenter d'exfiltrer des données ou d'écrire un fichier .zip sur le serveur Desktop Central.

Se référer au bulletin de sécurité de l'éditeur pour identifier les versions vulnérables et installer les correctifs adaptés.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 24 janvier 2022 au 30 janvier 2022, le CERT-FR a émis les publications suivantes :