Objet: Bulletin d’actualité CERTFR-2022-ACT-016

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 16

Tableau récapitulatif :

Vulnérabilités critiques du 11/04/22 au 15/04/22

Editeur	Produit	Identifiant CVE	Score CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Schneider	IGSS Data Server	CVE-2022-24324	9.8	Exécution de code arbitraire à distance	08/04/2022	Pas d'information	CERTFR-2022-AVI-328	https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-01
Siemens	Commutateurs SCALANCE X-300	CVE-2022-26335	9.6	Déni de service à distance	12/04/2022	Pas d'information	CERTFR-2022-AVI-329	https://cert-portal.siemens.com/productcert/html/ssa-836527.html
Siemens	SIMATIC Energy Manager	CVE-2022-23450	10	Exécution de code arbitraire à distance	12/04/2022	Pas d'information	CERTFR-2022-AVI-329	https://cert-portal.siemens.com/productcert/html/ssa-655554.html
IBM	ITNM 4.2.x	CVE-2021-38294	9.8	Exécution de code arbitraire à distance	14/04/2022	Pas d'information	CERTFR-2022-AVI-349	https://www.ibm.com/support/pages/node/6572281
IBM	ITNM 4.2.x	CVE-2021-40865	9.8	Exécution de code arbitraire à distance	14/04/2022	Pas d'information	CERTFR-2022-AVI-349	https://www.ibm.com/support/pages/node/6572281
Juniper	Contrail Networking	CVE-2021-25289	9.8		13/04/2022	Pas d'information	CERTFR-2022-AVI-351	https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Networking-release-2011-L4?language=en_US
Juniper	Contrail Networking	CVE-2021-34552	9.8		13/04/2022	Pas d'information	CERTFR-2022-AVI-351	https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Networking-release-2011-L4?language=en_US
Juniper	Contrail Networking	CVE-2019-1349	9.3	Exécution de code arbitraire à distance	13/04/2022	Pas d'information	CERTFR-2022-AVI-351	https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-vulnerabilities-resolved-in-Contrail-Networking-21-3-CVE-yyyy-nnnn?language=en_US
Juniper	Contrail Networking	CVE-2015-8391	9.0	Déni de service à distance	13/04/2022	Pas d'information	CERTFR-2022-AVI-351	https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-vulnerabilities-resolved-in-Contrail-Networking-21-3-CVE-yyyy-nnnn?language=en_US
VMware	Cloud Director 10.3.x, Cloud Director 10.2.x, Cloud Director 10.1.x	CVE-2022-22966	9.1	Exécution de code arbitraire à distance	14/04/2022	Pas d'information	CERTFR-2022-AVI-347	https://www.vmware.com/security/advisories/VMSA-2022-0013.html
Cisco	Cisco Wireless LAN Controller	CVE-2022-20695	10	Contournement de la politique de sécurité	13/04/2022	Pas d'information	CERTFR-2022-AVI-338	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-auth-bypass-JRNhV4fF
Microsoft	Windows	CVE-2022-26904	7.0	Élévation de privilèges	13/04/2022	Confirmé	CERTFR-2022-AVI-335	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
Microsoft	Windows	CVE-2022-24521	7.8	Élévation de privilèges	12/04/2022	Pas d'information	CERTFR-2022-AVI-335	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
Microsoft	Windows	CVE-2022-24491	9.8	Exécution de code arbitraire à distance	12/04/2022	Pas d'information	CERTFR-2022-AVI-335	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491
Microsoft	Windows	CVE-2022-26809	9.8	Exécution de code arbitraire à distance	12/04/2022	Pas d'information	CERTFR-2022-AVI-335	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
Adobe	Adobe Commerce, Magento Open Source	CVE-2022-24093	9.1	Exécution de code arbitraire	12/04/2022	Pas d'information	CERTFR-2022-AVI-333	https://helpx.adobe.com/security/products/magento/apsb22-13.html
Apache	Struts	CVE-2021-31805	Score définitif non communiqué	Exécution de code arbitraire à distance	12/04/2022	Pas d'information	CERTFR-2022-AVI-332	https://cwiki.apache.org/confluence/display/WW/s2-062
Citrix	XenMobile Server	CVE-2021-44520	Score définitif non communiqué	Exécution de code arbitraire à distance	12/04/2022	Pas d'information	CERTFR-2022-AVI-331	https://support.citrix.com/article/CTX370551

CVE-2022-24324 : Vulnérabilité dans Schneider IGSS Data Server

Le 12 avril 2022, l'éditeur a déclaré une vulnérabilité affectant le produit IGSS Data Server (IGSSdataServer.exe). La vulnérabilité existe en raison d'une copie de tampon sans vérification de la taille de l'entrée, provoquant un débordement de tampon basé sur la pile. En résulte une exécution de code à distance lorsqu'un attaquant envoie un message spécialement conçu.

Liens :

• /avis/CERTFR-2022-AVI-328/
• https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-01

CVE-2022-26335, CVE-2022-23450 : Multiples vulnérabilités dans les produits Siemens

Le 13 avril 2022, l'éditeur a déclaré deux vulnérabilités critiques affectant le produit SIMATIC Energy Manager. La première, identifiée par le numéro CVE-2022-23450 possède un score CVSSv3 de 10. Elle permet à des utilisateurs distants d'envoyer des objets malicieusement conçus. En raison d'une désérialisation non sécurisée du contenu fourni par l'utilisateur, un attaquant non authentifié serait en mesure d'exploiter cette vulnérabilité en envoyant un objet sérialisé malicieusement conçu. En résulte une exécution de code arbitraire avec des privilèges "système" sur le périphérique.

La seconde vulnérabilité référencée par son numéro d'identification CVE-2022-26335, permet à un attaquant distant non authentifié de provoquer un déni de service des appareils concernés.

Liens :

• /avis/CERTFR-2022-AVI-329/
• https://cert-portal.siemens.com/productcert/html/ssa-836527.html
• https://cert-portal.siemens.com/productcert/html/ssa-655554.html

CVE-2022-20695 : Vulnérabilité dans Cisco Cisco Wireless LAN Controller

Le 14 avril 2022, l'éditeur a déclaré une vulnérabilité dans la fonctionnalité d'authentification du logiciel Cisco Wireless LAN Controller (WLC). Celle-ci permettrait à un attaquant distant non authentifié de contourner les contrôles d'authentification et de se connecter à l'appareil via l'interface de gestion. Le score CVSSv3 attribué est de 10.

Cette vulnérabilité est due à l'implémentation incorrecte de l'algorithme de validation des mots de passe. Un attaquant serait en mesure d'exploiter cette vulnérabilité en se connectant à un périphérique affecté avec des informations d'identification spécialement forgées. Une exploitation réussie résulte en une connexion à l'appareil avec des privilèges élevés, notamment des privilèges administrateurs. Toutefois, l'éditeur indique que cela est dépendant des informations d'identification forgées et que cette vulnérabilité n'est exploitable qu'en raison d'une configuration de périphérique autre que celle par défaut. Pour plus de détails sur la configuration vulnérable, veuillez vous référer à la section Produits vulnérables de cet avis.

Liens :

• /avis/CERTFR-2022-AVI-338/
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-auth-bypass-JRNhV4fF

CVE-2022-26904, CVE-2022-24521, CVE-2022-24491, CVE-2022-26809 : Multiples vulnérabilités dans les produits Microsoft

Le 13 avril 2022, l'éditeur a déclaré plusieurs vulnérabilités affectant le système d'exploitation Microsoft Windows. L'une d'elles, la CVE CVE-2022-26809 fait l'objet d'une alerte en cours. Une vulnérabilité a en effet été découverte dans l'implémentation Microsoft du protocole RPC - Remote Procedure Call -  protocole permettant d'effectuer des appels de procédures sur des machines distantes. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. En particulier, cette vulnérabilité affecte le protocole SMB - Server Message Block - qui permet notamment le partage de ressources comme les fichiers ou les imprimantes.

Le CERT-FR recommande d'appliquer la mise à jour dans les plus brefs délais, en priorité sur les systèmes les plus critiques (notamment les contrôleurs de domaine Active Directory). Au vu de la criticité de cette vulnérabilité, l'éditeur a publié des correctifs de sécurité pour des systèmes qui ne sont plus supportés (en particulier, Windows 7 et Windows Server 2008 R2).

Deux autres vulnérabilités respectivement référencées par leur numéro d'identification, les CVE-2022-24521 et CVE-2022-26904, sont soumises à une vulnérabilité de type élévation de privilèges. Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des systèmes d’exploitation affectés.

Liens :

• /avis/CERTFR-2022-AVI-335/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
• /alerte/CERTFR-2022-ALE-003/

CVE-2021-31805 : Vulnérabilité dans Apache Struts

Le 13 avr. 2022, l'éditeur a déclaré une vulnérabilité affectant son produit Apache Struts. Celle-ci fait suite à un précédent correctif incomplet publié pour une autre vulnérabilité CVE-2020-17530 (S2-061). Certains attributs de la balise pouvaient encore effectuer une double évaluation si un développeur appliquait une évaluation de type "OGNL" (Object-Graph Navigation Language) forcée en utilisant la syntaxe %{...}. L'utilisation d'une évaluation OGNL forcée sur une entrée utilisateur non fiable peut conduire à une exécution de code à distance.

Liens :

• /avis/CERTFR-2022-AVI-332/
• https://cwiki.apache.org/confluence/display/WW/s2-062

CVE-2022-22954 : Vulnérabilité dans VMware Workspace ONE

La vulnérabilité référencée par le numéro d'identification CVE-2022-22954 a d'ores et déjà fait l'objet d'un avis et d'un bulletin d'actualité.

Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des produits affectés.

Liens :

• /avis/CERTFR-2022-AVI-318/
• /actualite/CERTFR-2022-ACT-015/

 

---

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.