Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 14
Tableau récapitulatif
Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Sophos | Sophos Firewall | CVE-2022-1040 | 9.8 | Exécution de code arbitraire à distance | 25/03/2022 | OUI | CERTFR-2022-AVI-274 | sophos-sa-20220325-sfos-rce |
Trend Micro | Apex Central | CVE-2022-26871 | 8.6 | Exécution de code arbitraire à distance, téléversement de fichier | 29/03/2022 | OUI | CERTFR-2022-AVI-288 | 000290678 |
Noyau Linux | IPsec | CVE-2022-27666 | 7.8 | Exécution de code arbitraire, déni de service | 28/03/2022 | Pas d'information | CERTFR-2022-AVI-282 | USN-5353-1 |
VMware | Spring Cloud Function | CVE-2022-22963 | 9.8 | Exécution de code arbitraire à distance | 29/03/2022 | OUI | CERTFR-2022-AVI-287 | cve-2022-22963 |
VMware | Spring Framework | CVE-2022-22965 | 9.8 | Exécution de code arbitraire à distance | 31/03/2022 | OUI | CERTFR-2022-AVI-297 | cve-2022-22965 |
Gitlab | Community Edition et Enterprise Edition | CVE-2022-1162 | 9.1 | Contournement de la politique de sécurité, élévation de privilèges, atteinte à la confidentialité des données | 31/03/2022 | Pas d'information | CERTFR-2022-AVI-304 | gitlab-14-9-2-released |
Apple | macOS | CVE-2022-22674 | Pas d'information | Exécution de code arbitraire, qtteinte à la confidentialité des données | 31/03/2022 | OUI | CERTFR-2022-AVI-301 | HT213220 |
Apple | macOS, iOS, iPadOS | CVE-2022-22675 | Pas d'information | Exécution de code arbitraire, qtteinte à la confidentialité des données | 31/03/2022 | OUI | CERTFR-2022-AVI-301 | HT213219 |
IBM | IBM QRadar Network Security | CVE-2016-4658 | 9.8 | Exécution de code arbitraire à distance, déni de service à distance, atteinte à l'intégrité des données, atteinte à la confidentialité des données | 31/03/2022 | Pas d'information | CERTFR-2022-AVI-302 | 6568207 |
CVE-2022-1040 : Vulnérabilité dans Sophos Firewall
Le 25 mars 2022, l'éditeur a publié un bulletin de sécurité concernant la vulnérabilité dont l'identifiant CVE est CVE-2022-1040. Elle a un score CVSS de 9.8 et est amenée par une faiblesse dans la gestion de l'authentification au niveau du portail d'administration. Cette vulnérabilité permet à un attaquant non authentifié de tenter une exécution de code arbitraire à distance. Elle est corrigée dans Sophos Firewall version 18.5.3.Sophos a observé que cette vulnérabilité avait été utilisée pour cibler certaines organisations principalement présentes en Asie du Sud.
L'éditeur indique que la configuration par défaut de ces équipements autorise l'application automatique de correctifs de sécurité. Il préconise par ailleurs de ne pas exposer les portails d'administration sur le WAN.
L’ANSSI recommande fortement l’application des correctifs de sécurité lorsque ceux-ci sont disponibles. De manière générale, il faut a minima prendre les mesures nécessaires pour que l’interface de gestion d’un pare-feu, comme pour tout autre équipement périmétrique, ne soit pas accessible directement sur internet. Concrètement, cela se traduit par bloquer l’accès à l’interface de gestion par le réseau étendu (WAN). Si un accès à distance est requis par les administrateurs, ceux-ci peuvent passer par l’interface du réseau local (LAN) par le biais d’un réseau privé virtuel (Virtual Private Network, VPN).
Rappels :
- Le guide d'hygiène informatique : https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf
- Recommandations relatives à l’administration sécurisée des systèmes d’information : https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
- Recommandations sur le nomadisme numérique : https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- /avis/CERTFR-2022-AVI-274/
- https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
CVE-2022-22963 et CVE-2022-22965 : Multiples vulnérabilités dans Spring
Le 29 mars 2022, puis le 31 mars 2022, l'éditeur a publié deux avis de sécurité concernant deux vulnérabilités en rapport avec Spring. Cet environnement Open Source répandu est utilisé dans la construction d'applications Java. Le cadriciel Spring sert de base aux bibliothèques Spring Cloud ou Spring Boot.La vulnérabilité identifiée CVE-2022-22963 est présente dans la bibliothèque Spring Cloud Function. Cette vulnérabilité autorise l'utilisation d'un contexte d'évaluation non sécurisé lorsqu'un attaquant, authentifié ou non, transmet une requête HTTP spécifique. Ce dernier est alors en mesure de tenter une exécution de code arbitraire à distance. Cette vulnérabilité a été corrigée dans Spring Cloud Function versions 3.1.7 et 3.2.3.
Des preuves de concept ont été publiées sur internet.
La vulnérabilité surnommée SpringShell ou Spring4Shell dont l'identifiant CVE est CVE-2022-22965 est présente dans le cadriciel Spring. Une méthode de ce cadriciel expose à tort l'objet de classe lors de la liaison des paramètres d'une requête HTTP avec un objet Java. A partir de cet objet class et d'une fonctionnalité introduite dans Java version 9, un attaquant est en mesure d'accéder aux propriétés de l'objet chargeur de classe (ClassLoader) de Tomcat.
A la suite de la découverte de la vulnérabilité identifiée CVE-2010-1622, l'accès au chargeur de classe (ClassLoader) de Tomcat avait été restreint par la mise en place d'une liste noire (blacklist) des méthodes interdites. Un nouvel objet, nommé Module, introduit dans Java version 9, permet de contourner cette restriction car il possède aussi une propriété ClassModule accessible au travers de Spring et dont les méthode ne sont pas explicitement interdites dans la liste noire.
Un attaquant est alors en mesure d'altérer la configuration de journalisation de Tomcat puis d'écrire arbitrairement un fichier JSP malicieux accessible depuis internet et exécutant un interpréteur de commandes (webshell).
La vulnérabilité affecte aussi tous les éléments dépendant du cadriciel Spring comme par exemple la bibliothèque Spring Boot.
Les preuves de concept disponibles sur internet fonctionnent dans un contexte applicatif précis :
- cadriciel Spring en versions 5.3.x antérieures à 5.3.18 ou 5.2.x antérieures à 5.2.20
- JDK version 9 ou supérieure
- Apache Tomcat en versions antérieures à 10.0.20, 9.0.62 et 8.5.78, défini comme étant le conteneur d'extensions (serveur de servlets)
- application vulnérable contenue dans un paquet WAR
- dépendance à spring-webmvc ou à spring-webflux
Liens :
- /avis/CERTFR-2022-AVI-287/
- /avis/CERTFR-2022-AVI-297/
- https://tanzu.vmware.com/security/cve-2022-22963
- https://tanzu.vmware.com/security/cve-2022-22965
- https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.