Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 13

Tableau récapitulatif

Vulnérabilités critiques du 21/03/2022 au 27/03/2022
Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
IBM Control Center CVE-2020-27221 9.8 Exécution de code arbitraire à distance 18/03/2022 Pas d'information CERTFR-2022-AVI-259 6564757
HP HP Color LaserJet Pro, HP LaserJet Pro, HP PageWide, HP OfficeJet Pro CVE-2022-24292 9.8 Exécution de code arbitraire à distance, déni de service à distance, atteinte à la confidentialité des données 21/03/2022 Pas d'information CERTFR-2022-AVI-268 hpsbpi03781
HP HP Color LaserJet Pro, HP LaserJet Pro, HP PageWide, HP OfficeJet Pro CVE-2022-24293 9.8 Exécution de code arbitraire à distance, déni de service à distance, atteinte à la confidentialité des données 21/03/2022 Pas d'information CERTFR-2022-AVI-268 hpsbpi03781
VMware Carbon Black App Control CVE-2022-22951 9.1 Exécution de code arbitraire à distance 25/03/2022 Pas d'information CERTFR-2022-AVI-269 VMSA-2022-0008
VMware Carbon Black App Control CVE-2022-22952 9.1 Contournement de la politique de sécurité 25/03/2022 Pas d'information CERTFR-2022-AVI-269 VMSA-2022-0008
SonicWall FireWalls, NSsp Firewall, NSv Firewalls CVE-2022-22274 9.4 Exécution de code arbitraire à distance 25/03/2022 Pas d'information CERTFR-2022-AVI-271 SNWLID-2022-0003

CVE-2022-22274 : Vulnérabilité dans les pare-feux SonicWall

Le 25 mars 2022, l'éditeur a déclaré une vulnérabilité critique affectant le système d'exploitation SonicOS disposant des versions 6 et 7. Cette vulnérabilité permet à un attaquant non authentifié, en envoyant une requête HTTP forgée, de réaliser un déni de service et potentiellement une exécution de code arbitraire sur le produit. Une très large gamme de produits SonicWall est donc concernée par cette vulnérabilité. Un correctif est disponible pour l'ensemble des produits affectés excepté pour le produit SonicWall NSsp 15700 qui devrait disposer d'une mise à jour mi-avril. Par ailleurs, le CERT-FR recommande de suivre les indications de l'éditeur concernant le durcissement de l'accès à l'interface de management et de ne jamais l'exposer directement sur Internet.

Liens :

Vulnérabilités antérieures

CVE-2021-44529 : Vulnérabilité dans Ivanti endpoint manager cloud services appliance

Le 21 décembre 2021, l'éditeur a corrigé une vulnérabilité critique permettant à un attaquant de réaliser une exécution de code arbitraire à distance. Cette vulnérabilité affecte tous les produits Ivanti EPM Cloud Services Appliance (CSA) disposant d'une version antérieure à 4.6. Des codes d’exploitations sont publiquement disponibles pour cette vulnérabilité.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 21 mars 2022 au 27 mars 2022, le CERT-FR a émis les publications suivantes :