Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 15
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
VMware | Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation, vRealize Suite Lifecycle Manager | CVE-2022-22958 | 9.1 | Exécution de code arbitraire à distance | 06/04/2022 | Pas d'information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation, vRealize Suite Lifecycle Manager | CVE-2022-22957 | 9.1 | Exécution de code arbitraire à distance | 06/04/2022 | Pas d'information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access, Identity Manager, Cloud Foundation, vRealize Suite Lifecycle Manager | CVE-2022-22954 | 9.8 | Exécution de code arbitraire à distance | 06/04/2022 | Pas d'information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access | CVE-2022-22955 | 9.8 | Contournement de la politique de sécurité, atteinte à la confidentialité et à l'intégrité des données | 06/04/2022 | Pas d'information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access | CVE-2022-22956 | 9.8 | Contournement de la politique de sécurité, atteinte à la confidentialité et à l'intégrité des données | 06/04/2022 | Pas d'information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
Cisco | Nexus Dashboard Fabric Controller | CVE-2017-5641 | 9.8 | Exécution de code arbitraire à distance | 01/04/2022 | Exploitée | CERTFR-2022-AVI-315 | https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvz62623 |
Apache | HTTP server | CVE-2022-22721 | 9.8 | Exécution de code arbitraire à distance | 14/03/2022 | Pas d'information | CERTFR-2022-AVI-241 | https://httpd.apache.org/security/vulnerabilities_24.html |
Apache | HTTP server | CVE-2022-23943 | 9.8 | Exécution de code arbitraire à distance | 14/03/2022 | Pas d'information | CERTFR-2022-AVI-241 | https://httpd.apache.org/security/vulnerabilities_24.html |
Apache | HTTP server | CVE-2022-22720 | 9.8 | Contrebande de requête HTTP (HTTP request smuggling) | 14/03/2022 | Pas d'information | CERTFR-2022-AVI-241 | https://httpd.apache.org/security/vulnerabilities_24.html |
CVE-2022-22954, CVE-2022-22955, CVE-2022-22956, CVE-2022-22957 et CVE-2022-22958 : Multiples vulnérabilités dans les produits VMware
Le 07 avril 2022, l'éditeur a déclaré plusieurs vulnérabilités critiques affectant notamment la solution de gestion de l'identité Workspace ONE Access (auparavant dénommée Identity Manager) mais également des composants de sa solution d'administration d'environnement cloud vRealize. Les vulnérabilités, désignées par les identifiants CVE-2022-22954, CVE-2022-22955 et CVE-2022-22956, permettent à un attaquant non authentifié d'exécuter du code arbitraire sur les serveurs exécutant ces services, donnant la possibilité à l'attaquant d'en prendre le contrôle puis compromettre le système d'information. Les CVE-2022-22957 et CVE-2022-22958 permettent à un utilisateur authentifié d'exécuter du code arbitraire à distance et de prendre également le contrôle des services d'administration. L'application des correctifs est donc fortement recommandée.Liens :
- /avis/CERTFR-2022-AVI-318/
- https://www.vmware.com/security/advisories/VMSA-2022-0011.html
- https://www.vmware.com/security/advisories/VMSA-2022-0012.html
CVE-2017-5641 : Vulnérabilité dans Cisco Nexus Dashboard Fabric Controller
Le 06 avril 2022, l'éditeur a publié une mise à jour de sa solution Nexus Dashboard Fabric Controller (anciennement DCNM) afin de corriger une vulnérabilité affectant le composant Apache Flex. Des codes d'exploitation sont disponibles pour exploiter cette vulnérabilité au sein de Cisco Nexus Dashboard Fabric Controller. Ils permettent à un attaquant non authentifié de prendre le contrôle de cette solution d'administration. L'application des correctifs est donc fortement recommandée, ainsi que l'application des règles pour l'administration sécurisée des systèmes d'information [1].Liens :
- /avis/CERTFR-2022-AVI-315/
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvz62623
- [1] https://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.