Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 9

CVE-2022-22947 : Vulnérabilité dans les produits VMware Spring Cloud Gateway

Le 02 mars 2022, l'éditeur a corrigé une vulnérabilité dans VMware Spring Cloud Gateway permettant à un attaquant de provoquer une exécution de code à distance. Le numéro de CVE attribué est CVE-2022-22947.

Les applications utilisant Spring Cloud Gateway sont vulnérables à une attaque par injection de code lorsque le point de terminaison (endpoint) Gateway Actuator est activé, exposé et non sécurisé. Il est défini par la route par défaut /actuator/gateway.

Des preuves de concept sont actuellement disponibles sur internet.

Liens :

CVE-2021-36166 : Vulnérabilité dans les produits Fortinet

Le 02 mars 2022, l'éditeur a déclaré une vulnérabilité identifiée par le numéro de CVE CVE-2021-36166 dans son produit FortiMail. Elle possède un score CVSSv3 s'élevant à 9.3. Cette vulnérabilité exploite un défaut de sécurité au sein du système d'authentification des administrateurs. Elle permet à un attaquant distant, par observation de certains propriétés du système, d'inférer de façon efficiente le jeton d'authentification d'un compte disposant de privilèges administrateur.

Liens :

 

CVE-2022-20754, CVE-2022-20755: Multiples vulnérabilités dans les produits Cisco

Le 03 mars 2022, l'éditeur a déclaré deux vulnérabilités identifiées par leur numéro de CVE CVE-2022-20754 et CVE-2022-20755. Le score CVSSv3 attribué s'élève à 9.0. Les produits affectés sont Cisco Expressway Series et Cisco TelePresence VCS.

De multiples vulnérabilités dans l'API et les interfaces de gestion basées sur le Web de Cisco Expressway Series et Cisco TelePresence Video Communication Server (VCS) permettraient à un attaquant distant authentifié et disposant de privilèges de lecture / écriture sur l'application, d'écrire des fichiers ou d'exécuter du code arbitraire sur le système d'exploitation sous-jacent d'un périphérique affecté en tant qu'utilisateur root.

Cette vulnérabilité est due à une validation d'entrée insuffisante des arguments de commande fournis par l'utilisateur. Un attaquant peut exploiter cette vulnérabilité en s'authentifiant sur le système en tant qu'utilisateur avec des privilèges administrateur, puis en soumettant des données modifiées à la commande concernée. Une exploitation réussie permettrait à l'attaquant d'écraser des fichiers arbitraires sur le système d'exploitation sous-jacent en tant qu'utilisateur root.

Enfin, les vulnérabilités ne sont pas dépendantes les unes des autres. L'exploitation d'une des vulnérabilités n'est pas nécessaire pour exploiter l'autre vulnérabilité. L'éditeur indique qu'une version logicielle affectée par l'une des vulnérabilités peut ne pas être affectée par l'autre vulnérabilité.

Liens :

 

CVE-2022-23990, CVE-2021-23450 : Multiples vulnérabilités dans les produits IBM

Le 03 mars 2022, l'éditeur a déclaré plusieurs vulnérabilités affectant les produits IBM Spectrum Control et IBM QRadar SIEM. Ces derniers sont affectés car dépendants d'autres produits / services vulnérables.

La première, identifiée par le numéro de CVE CVE-2021-23450 possède un score CVSSv3 de 9.8 et affecte Dojo. Il s'agit d'un cadriciel en JavaScript pour le développement d’applications Web. Dojo pourrait permettre à un attaquant distant d'exécuter du code arbitraire sur le système, en raison d'une pollution de prototype dans la fonction setObject. En envoyant une requête spécialement forgée, un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire sur le système.

La seconde vulnérabilité, identifiée par le numéro de CVE CVE-2021-44790 possède un score CVSSv3 de 9.8. Elle affecte Apache HTTP Server. Apache HTTP Server, tel qu'utilisé par IBM QRadar SIEM, contient plusieurs vulnérabilités, notamment un dépassement de tampon et un déni de service. Le serveur HTTP Apache est en effet vulnérable à un dépassement de tampon, causé par une vérification incorrecte des limites dans l'analyseur multipartite mod_lua appelé à partir de scripts Lua. En envoyant une requête spécialement forgée, un attaquant distant peut faire déborder une mémoire tampon et exécuter un code arbitraire sur le système ou faire planter l'application.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 28 février 2022 au 06 mars 2022, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :