Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 10

CVE-2021-37706, CVE-2022-23608 et CVE-2022-21723 : Vulnérabilités dans PJSIP affectant Asterisk

Le 04 mars 2022, l’éditeur a corrigé trois vulnérabilités dans PJSIP. Il s’agit d’une bibliothèque de communication multimédia qui implémente des protocoles tels que SIP ou STUN. Elle est inclue dans le produit Asterisk.

La vulnérabilité identifiée CVE-2021-37706 est introduite par une mauvaise vérification de la taille de l’entête d’un message STUN contenant l’attribut ERROR-CODE. Cette vulnérabilité permet à un attaquant de provoquer un sous-dépassement d’entier (integer underflow) et de provoquer une exécution de code arbitraire à distance.

La vulnérabilité identifiée par le numéro de CVE CVE-2022-23608 est présente lorsque le serveur Asterisk se comporte en tant que client agent utilisateur (UAC) SIP. Une information d’identification d’un dialogue UAC peut être libérée prématurément, un ensemble de dialogues peut alors être référencé plusieurs fois avec la même information d’identification. Dans ce cas, le comportement du serveur devient indéfini. Cette vulnérabilité peut permettre à un attaquant de provoquer un déni de service à distance.

La vulnérabilité identifiée CVE-2022-21723 apparaît lorsqu’un message SIP entrant contient un corps multi parties (multipart) mal formé. Une lecture hors limites de la mémoire peut se produire, ce qui peut entraîner un comportement indéfini du serveur. Cette vulnérabilité pourrait permettre à un attaquant de provoquer un déni de service à distance. L’éditeur précise qu’il n’est pas certain qu’un vecteur d’attaque à distance puisse être exploité pour cette vulnérabilité.

Liens :

CVE-2022-26485 et CVE-2022-26486 : Vulnérabilités dans Firefox et Thunderbird

Le 05 mars 2022, Mozilla a publié un avis concernant deux vulnérabilités critiques affectant les produits Firefox et Thunderbird.

Le score CVSS pour ces deux vulnérabilités est de 8.8. Elles sont provoquées par un appel à un segment mémoire après sa libération (use-after-free).

La vulnérabilité identifiée CVE-2022-26485 présente une faiblesse dans l’analyse de paramètres XSLT.

La vulnérabilité identifiée par le numéro de CVE CVE-2022-26486 décrit une mauvaise gestion d’un message dans le cadriciel de communication inter-processus (IPC) WebGPU. Cette vulnérabilité peut laisser un attaquant s’échapper du bac à sable.

Ces deux vulnérabilités permettent à un attaquant de provoquer une exécution de code arbitraire à distance. Mozilla indique être informé de rapports indiquant que ces deux vulnérabilités sont activement exploitées.

Il est fortement conseillé de mettre à jour ces deux produits aux dernières versions publiées par l’éditeur.

Liens :

CVE-2022-22805, CVE-2022-22806 et CVE-2022-0715 : Vulnérabilités dans les onduleurs APC

Le 08 mars 2022, Schneider Electric a publié des correctifs concernant trois vulnérabilités associées aux onduleurs des familles de produits SmartConnect et Smart-UPS de la marque APC.

Les vulnérabilités identifiées par les numéros CVE-2022-22805 et CVE-2022-22806 ont un score CVSSv3 de 9.0. Elles sont liées à une mauvaise gestion des erreurs par la bibliothèque TLS sous-jacente. Lors de l’apparition d’erreurs TLS spécifiques, la connexion n’est pas immédiatement refermée. Elle reste ouverte et se retrouve alors dans un état qui n’est plus géré correctement par la bibliothèque.

Dans le cadre de la vulnérabilité CVE-2022-22805, un attaquant est alors en mesure de provoquer l’apparition d’erreurs spécifiques et non-gérées afin d’en tirer parti pour exécuter du code arbitraire à distance.

La vulnérabilité identifiée CVE-2022-22806 permet à un attaquant de changer l’état d’une négociation TLS invalide vis-à-vis de l’onduleur qui évalue alors la connexion comme étant légitime et issue du nuage de serveurs Schneider Electric. L’attaquant est ensuite en mesure de provoquer une mise à jour du micrologiciel ou d’exécuter du code arbitraire à distance.

La vulnérabilité dont le code d’identification est CVE-2022-0715 amène une faiblesse dans l’implémentation de la signature cryptographique destinée à vérifier l’intégrité du micrologiciel lors de sa mise à jour. Elle permet à un attaquant de téléverse un micrologiciel malveillant vers un onduleur.

Le CERT-FR recommande fortement de mettre à jour les micrologiciels en fonction des préconisations fournies par l’éditeur.

Liens :

CVE-2022-26313 : Vulnérabilité dans le module Forgot Password de Mendix

Le 08 mars 2022, Siemens a publié un correctif à destination du module Forgot Password de la plateforme de développement d’application Mendix. Ce module permet à un utilisateur de réinitialiser son mot de passe via un courriel transmis à une adresse e-mail préalablement enregistrée.

La vulnérabilité identifiée CVE-2022-26313 a un score CVSSv3 de 9.1. Elle est liée à un contrôle d’accès incorrect lors de la phase authentification. Dans certaines configuration du produit, la vulnérabilité permet à un attaquant d’utiliser le flux d’authentification pour détourner des comptes utilisateurs de manière arbitraire.

Liens :

CVE-2022-0492 : Vulnérabilité dans le noyau Linux – Cgroups

Le 03 mars 2022, un ensemble de fournisseurs de distributions Linux ont publié un correctif concernant le noyau Linux.

La vulnérabilité identifiée CVE-2022-0492 a un score CVSS de 7.0. Elle est présente dans la fonctionnalité du noyau appelée ‘groupes de contrôle’ (cgroups). Cette fonctionnalité est chargée de limiter, comptabiliser et isoler l’utilisation des ressources processeur, mémoire, entrées sorties disque, réseau, etc. d’un ensemble de processus.

L’implémentation de cgroups dans le noyau Linux ne limite pas correctement l’accès à une fonctionnalité exécutée lorsque tous les processus d’un ensemble cgroup donné se terminent.

Cette vulnérabilité permettrait à un attaquant local de s’échapper d’un conteneur afin d’exécuter des commandes arbitraires sur l’hôte avec les privilèges les plus élevés du système d’exploitation.

Des preuves d’exploitation ont été signalées lors de déploiements furtifs d’outils permettant le minage de cryptomonnaies.

Liens :

CVE-2022-0847 : Vulnérabilité dans le noyau Linux – Dirtypipe

La vulnérabilité CVE-2022-0847, surnommée Dirtypipe, a été découverte dans le noyau Linux. Cette vulnérabilité est du type élévation de privilèges (LPE) et a un score CVSS de 7.8. Elle permet à un attaquant local d’écrire des données dans un fichier en lecture seule. L’attaquant peut alors élever ses privilèges en permettant à un processus non privilégié d’injecter du code arbitraire dans un processus lancé avec les privilèges les plus élevés du système d’exploitation (root).

La vulnérabilité est présente parce que les paramètres d’entrées (flags) d’une structure de données de type « tuyau » (pipe) ne sont pas correctement initialisés par le noyau lors de la réutilisation de ce tuyau. Le noyau prévoyant la possibilité de réutiliser un tuyau.
L’attaquant doit avoir les permissions en lecture sur le fichier à placer en mémoire. Il est alors en mesure d’écrire ces données dans le tuyau réutilisé. Les données vont venir écraser les données précédentes dans la page virtuelle qui sert de cache au lieu d’allouer une nouvelle structure de type tuyau.
Le noyau a toujours les droits en écriture dans la page virtuelle qui sert de cache. La fonction noyau d’écriture dans le tuyau ne vérifie jamais aucune permission.

Une preuve de concept a été publiée sur Internet.

Liens :

CVE-2022-21990, CVE-2022-24459 et CVE-2022-24512 : Vulnérabilités dans les produits Microsoft

A l’occasion de sa mise à jour mensuelle de mars 2022, l’éditeur a publié des correctifs pour soixante et onze vulnérabilités parmi lesquelles trois vulnérabilités de type jour zéro (zero day).

La vulnérabilité identifiée CVE-2022-21990 est présente sur Windows Server, Windows 7, 8.1, 10 et 11. Elle permet à un attaquant d’exécuter du code arbitraire à distance.
La vulnérabilité dont l’identifiant CVE est CVE-2022-24459 est présente sur Windows Server, Windows 7, 8.1, 10 et 11. Elle permet à un attaquant local de tenter une élévation de privilèges.
La vulnérabilité identifiée CVE-2022-24512 est présente dans .NET et Visual Studio. Elle permet à un attaquant d’exécuter du code arbitraire à distance.

Microsoft indique ne pas avoir connaissance d’exploitation active concernant ces trois vulnérabilités.
Il existe cependant des preuves de concept publiques pour les vulnérabilités identifiées CVE-2022-21990 et CVE-2022-24459.

Liens :

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 07 au 13 mars 2022, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :