Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 11

CVE-2022-26500 et CVE-2022-26501 : Multiples vulnérabilités dans Veeam Backup & Replication

Le 12 mars 2022, l'éditeur Veeam a déclaré quatre vulnérabilités dont deux jugées critiques affectant son produit - Backup & Replication - une solution de sauvegarde des données pour les environnements virtuels. Ces deux vulnérabilités critiques sont désignées par les identifiants CVE-2022-26500 et CVE-2022-26501 et possèdent un score CVSSv3 s'élevant à 9.8. Elles permettent à un attaquant non authentifié d'exécuter un code malveillant à distance avec les privilèges « administrateur local » sur le serveur. La vulnérabilité réside dans le service de distribution (port TCP 9380, par défaut) qui permet un accès aux utilisateurs non authentifiés à l'API interne. Un attaquant distant peut envoyer des entrées à l'API interne, permettant le téléversement puis une exécution de code malveillant.

Bien que trois versions soient affectées, seules deux font l'objet d'un correctif de sécurité :

  • 11a (build 11.0.1.1261 P20220302)
  • 10a (build 10.0.1.4854 P20220304)

A ce jour, il n'existe aucune preuve de concept publique mais au moins 1 rapport détaillant la vulnérabilité a été publié. Le CERT-FR anticipe donc la mise au point de codes d’exploitation car la nature du produit présente un intérêt manifeste pour les groupes d’attaquant, notamment ceux reposant sur un modèle de type « rançongiciel ».

Il convient, en outre, de souligner que la troisième vulnérabilité (CVE-2022-26503) affecte un agent Veeam pour Microsoft Windows. Bien que jugée moins critique, celle-ci permet néanmoins une élévation de privilèges sur les équipements exécutant cet agent. Un attaquant, déjà en place sur le réseau ciblé, serait alors en mesure de l’exploiter pour exécuter du code arbitraire avec des privilèges élevés sur le parc d’équipement géré par la solution Veeam Backup & Replication.

Le CERT-FR recommande donc :

  • de mettre à jour le produit vers une version qui continue de bénéficier de correctifs de sécurité si le produit déployé dispose d'une version antérieure aux versions 10.x et 11.x ;

  • d’appliquer sans délai les correctifs de sécurité proposés par l’éditeur.

Liens :  

 CVE-2022-0778 : Vulnérabilité dans OpenSSL

Le 15 mars 2022, un correctif a été publié pour la vulnérabilité CVE-2022-0778 affectant OpenSSL. Un attaquant peut utiliser un certificat auto-signé pour déclencher une boucle infinie à l'occasion de la vérification de celui-ci. Au moins une preuve de concept de l'exploitation de cette vulnérabilité est disponible sur Internet.

Liens :

 

CVE-2022-0983 : Vulnérabilité dans Moodle

Le 21 mars 2022, Moodle a publié plusieurs correctifs de sécurité. L'un d'eux corrige la vulnérabilité CVE-2022-0983, qui permet à un attaquant authentifié et disposant de privilèges suffisant d'injecter du code SQL (SQLi) dans le contexte des badges. Plusieurs codes d'exploitation sont disponibles sur Internet depuis la semaine dernière. Il est donc urgent d’installer ces correctifs dans les plus brefs délais.

Si cela n'est pas possible, Moodle recommande de désactiver cette fonctionnalité (moodle/badges:configurecriteria) dans l'attente du déploiement de la mise à jour.

Liens :

 

 CVE-2022-22720 : Vulnérabilité dans Apache HTTP Server

Le 14 mars 2022, Apache a publié des correctifs pour quatre vulnérabilités, dont la vulnérabilité CVE-2022-22720. Elle permet d'effectuer une contrebande de requêtes HTTP (HTTP request smuggling).

La National Vulnerabilities Database (NVD) du NIST lui donne un score CVSSv3 de 9.8.

Liens :

 

Autres Vulnérabilités

CVE-2022-0847 : Vulnérabilité dans Qnap - Dirtypipe

Le 14 mars 2022, QNAP a publié un avis de sécurité que leurs gammes de serveur de stockage en réseau qui exécutent QTS 5.0.x and QuTS hero h5.0.x sont affectés par la vulnérabilité CVE-2022-0847, surnommée Dirtypipe. Pour rappel, celle-ci affecte le noyau Linux et permet une élévation de privilèges.

QNAP n'a pas annoncé de date de disponibilité d'un correctif de sécurité.

De nombreux codes d’exploitation de Dirtypipe sont disponibles sur Internet.

Liens :

CVE-2022-26143 : Vulnérabilité dans Mitel MiCollab et MiVoice Business Express

Le 22 février 2022, Mitel un publié un avis de sécurité concernant la vulnérabilité CVE-2022-26143 affectant MiCollab et MiVoice Business Express. Pour rappel, cette vulnérabilité permet à un attaquant distant non authentifié d'accéder à des informations et services sensibles, potentiellement obtenir une exécution de code arbitraire à distance, ainsi que de lancer des dénis de services à distance.

Cette vulnérabilité est activement exploitée pour mener des attaques par amplification lorsque le port UDP 10074 est accessible sur Internet.

Un correctif est disponible pour Micollab. Mitel propose un script permettant de mettre en place des mesures de contournement pour MiVoice Business Express.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 14 mars 2022 au 20 mars 2022, le CERT-FR a émis les publications suivantes :


Dans la période du 14 mars 2022 au 20 mars 2022, le CERT-FR a mis à jour les publications suivantes :