Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 16
Tableau récapitulatif :
CVE-2022-24324 : Vulnérabilité dans Schneider IGSS Data Server
Le 12 avril 2022, l’éditeur a déclaré une vulnérabilité affectant le produit IGSS Data Server (IGSSdataServer.exe). La vulnérabilité existe en raison d’une copie de tampon sans vérification de la taille de l’entrée, provoquant un débordement de tampon basé sur la pile. En résulte une exécution de code à distance lorsqu’un attaquant envoie un message spécialement conçu.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-328/
- https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-01
CVE-2022-26335, CVE-2022-23450 : Multiples vulnérabilités dans les produits Siemens
Le 13 avril 2022, l’éditeur a déclaré deux vulnérabilités critiques affectant le produit SIMATIC Energy Manager. La première, identifiée par le numéro CVE-2022-23450 possède un score CVSSv3 de 10. Elle permet à des utilisateurs distants d’envoyer des objets malicieusement conçus. En raison d’une désérialisation non sécurisée du contenu fourni par l’utilisateur, un attaquant non authentifié serait en mesure d’exploiter cette vulnérabilité en envoyant un objet sérialisé malicieusement conçu. En résulte une exécution de code arbitraire avec des privilèges « système » sur le périphérique.
La seconde vulnérabilité référencée par son numéro d’identification CVE-2022-26335, permet à un attaquant distant non authentifié de provoquer un déni de service des appareils concernés.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-329/
- https://cert-portal.siemens.com/productcert/html/ssa-836527.html
- https://cert-portal.siemens.com/productcert/html/ssa-655554.html
CVE-2022-20695 : Vulnérabilité dans Cisco Cisco Wireless LAN Controller
Le 14 avril 2022, l’éditeur a déclaré une vulnérabilité dans la fonctionnalité d’authentification du logiciel Cisco Wireless LAN Controller (WLC). Celle-ci permettrait à un attaquant distant non authentifié de contourner les contrôles d’authentification et de se connecter à l’appareil via l’interface de gestion. Le score CVSSv3 attribué est de 10.
Cette vulnérabilité est due à l’implémentation incorrecte de l’algorithme de validation des mots de passe. Un attaquant serait en mesure d’exploiter cette vulnérabilité en se connectant à un périphérique affecté avec des informations d’identification spécialement forgées. Une exploitation réussie résulte en une connexion à l’appareil avec des privilèges élevés, notamment des privilèges administrateurs. Toutefois, l’éditeur indique que cela est dépendant des informations d’identification forgées et que cette vulnérabilité n’est exploitable qu’en raison d’une configuration de périphérique autre que celle par défaut. Pour plus de détails sur la configuration vulnérable, veuillez vous référer à la section Produits vulnérables de cet avis.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-338/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-auth-bypass-JRNhV4fF
CVE-2022-26904, CVE-2022-24521, CVE-2022-24491, CVE-2022-26809 : Multiples vulnérabilités dans les produits Microsoft
Le 13 avril 2022, l’éditeur a déclaré plusieurs vulnérabilités affectant le système d’exploitation Microsoft Windows. L’une d’elles, la CVE CVE-2022-26809 fait l’objet d’une alerte en cours. Une vulnérabilité a en effet été découverte dans l’implémentation Microsoft du protocole RPC – Remote Procedure Call – protocole permettant d’effectuer des appels de procédures sur des machines distantes. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. En particulier, cette vulnérabilité affecte le protocole SMB – Server Message Block – qui permet notamment le partage de ressources comme les fichiers ou les imprimantes.
Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais, en priorité sur les systèmes les plus critiques (notamment les contrôleurs de domaine Active Directory). Au vu de la criticité de cette vulnérabilité, l’éditeur a publié des correctifs de sécurité pour des systèmes qui ne sont plus supportés (en particulier, Windows 7 et Windows Server 2008 R2).
Deux autres vulnérabilités respectivement référencées par leur numéro d’identification, les CVE-2022-24521 et CVE-2022-26904, sont soumises à une vulnérabilité de type élévation de privilèges. Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des systèmes d’exploitation affectés.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-335/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-003/
CVE-2021-31805 : Vulnérabilité dans Apache Struts
Le 13 avr. 2022, l’éditeur a déclaré une vulnérabilité affectant son produit Apache Struts. Celle-ci fait suite à un précédent correctif incomplet publié pour une autre vulnérabilité CVE-2020-17530 (S2-061). Certains attributs de la balise pouvaient encore effectuer une double évaluation si un développeur appliquait une évaluation de type « OGNL » (Object-Graph Navigation Language) forcée en utilisant la syntaxe %{…}. L’utilisation d’une évaluation OGNL forcée sur une entrée utilisateur non fiable peut conduire à une exécution de code à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-332/
- https://cwiki.apache.org/confluence/display/WW/s2-062
CVE-2022-22954 : Vulnérabilité dans VMware Workspace ONE
La vulnérabilité référencée par le numéro d’identification CVE-2022-22954 a d’ores et déjà fait l’objet d’un avis et d’un bulletin d’actualité.
Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des produits affectés.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-318/
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-015/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 11 au 17 avril 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-ALE-003 : [MàJ] Vulnérabilité dans l’implémentation du protocole RPC par Microsoft
- CERTFR-2022-AVI-325 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2022-AVI-326 : Multiples vulnérabilités dans les produits SolarWinds
- CERTFR-2022-AVI-327 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2022-AVI-328 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2022-AVI-329 : [SCADA] Multiples vulnérabilités dans les produits SIEMENS
- CERTFR-2022-AVI-330 : Multiples vulnérabilités dans Stormshield Network Security
- CERTFR-2022-AVI-331 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2022-AVI-332 : Vulnérabilité dans Apache Struts
- CERTFR-2022-AVI-333 : Multiples vulnérabilités dans les produits Adobe
- CERTFR-2022-AVI-334 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2022-AVI-335 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-336 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2022-AVI-337 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2022-AVI-338 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2022-AVI-339 : Vulnérabilité dans Synology DNS Server
- CERTFR-2022-AVI-340 : Vulnérabilité dans Nextcloud Calendar
- CERTFR-2022-AVI-341 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-342 : Vulnérabilité dans les produits Palo Alto Networks
- CERTFR-2022-AVI-343 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-344 : Vulnérabilité dans VMware Spring
- CERTFR-2022-AVI-345 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2022-AVI-346 : Vulnérabilité dans les produits SonicWall
- CERTFR-2022-AVI-347 : Vulnérabilité dans VMware Cloud Director
- CERTFR-2022-AVI-348 : Multiples vulnérabilités dans Asterisk
- CERTFR-2022-AVI-349 : Multiples vulnérabilités dans IBM Tivoli Network Manager
- CERTFR-2022-AVI-350 : Multiples vulnérabilités dans Juniper Junos OS et Junos OS Evolved
- CERTFR-2022-AVI-351 : Multiples vulnérabilités dans les logiciels Juniper
- CERTFR-2022-AVI-352 : Multiples vulnérabilités dans les produits TheGreenBow