Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 16

Tableau récapitulatif :

Vulnérabilités critiques du 11/04/22 au 15/04/22
Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Schneider IGSS Data Server CVE-2022-24324 9.8 Exécution de code arbitraire à distance 08/04/2022 Pas d’information CERTFR-2022-AVI-328 https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-102-01_IGSS_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-102-01
Siemens Commutateurs SCALANCE X-300 CVE-2022-26335 9.6 Déni de service à distance 12/04/2022 Pas d’information CERTFR-2022-AVI-329 https://cert-portal.siemens.com/productcert/html/ssa-836527.html
Siemens SIMATIC Energy Manager CVE-2022-23450 10 Exécution de code arbitraire à distance 12/04/2022 Pas d’information CERTFR-2022-AVI-329 https://cert-portal.siemens.com/productcert/html/ssa-655554.html
IBM ITNM 4.2.x CVE-2021-38294 9.8 Exécution de code arbitraire à distance 14/04/2022 Pas d’information CERTFR-2022-AVI-349 https://www.ibm.com/support/pages/node/6572281
IBM ITNM 4.2.x CVE-2021-40865 9.8 Exécution de code arbitraire à distance 14/04/2022 Pas d’information CERTFR-2022-AVI-349 https://www.ibm.com/support/pages/node/6572281
Juniper Contrail Networking CVE-2021-25289 9.8 13/04/2022 Pas d’information CERTFR-2022-AVI-351 https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Networking-release-2011-L4?language=en_US
Juniper Contrail Networking CVE-2021-34552 9.8 13/04/2022 Pas d’information CERTFR-2022-AVI-351 https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Networking-release-2011-L4?language=en_US
Juniper Contrail Networking CVE-2019-1349 9.3 Exécution de code arbitraire à distance 13/04/2022 Pas d’information CERTFR-2022-AVI-351 https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-vulnerabilities-resolved-in-Contrail-Networking-21-3-CVE-yyyy-nnnn?language=en_US
Juniper Contrail Networking CVE-2015-8391 9.0 Déni de service à distance 13/04/2022 Pas d’information CERTFR-2022-AVI-351 https://supportportal.juniper.net/s/article/2022-04-Security-Bulletin-Contrail-Networking-Multiple-vulnerabilities-resolved-in-Contrail-Networking-21-3-CVE-yyyy-nnnn?language=en_US
VMware Cloud Director 10.3.x, Cloud Director 10.2.x, Cloud Director 10.1.x CVE-2022-22966 9.1 Exécution de code arbitraire à distance 14/04/2022 Pas d’information CERTFR-2022-AVI-347 https://www.vmware.com/security/advisories/VMSA-2022-0013.html
Cisco Cisco Wireless LAN Controller CVE-2022-20695 10 Contournement de la politique de sécurité 13/04/2022 Pas d’information CERTFR-2022-AVI-338 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-auth-bypass-JRNhV4fF
Microsoft Windows CVE-2022-26904 7.0 Élévation de privilèges 13/04/2022 Confirmé CERTFR-2022-AVI-335 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
Microsoft Windows CVE-2022-24521 7.8 Élévation de privilèges 12/04/2022 Pas d’information CERTFR-2022-AVI-335 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
Microsoft Windows CVE-2022-24491 9.8 Exécution de code arbitraire à distance 12/04/2022 Pas d’information CERTFR-2022-AVI-335 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491
Microsoft Windows CVE-2022-26809 9.8 Exécution de code arbitraire à distance 12/04/2022 Pas d’information CERTFR-2022-AVI-335 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
Adobe Adobe Commerce, Magento Open Source CVE-2022-24093 9.1 Exécution de code arbitraire 12/04/2022 Pas d’information CERTFR-2022-AVI-333 https://helpx.adobe.com/security/products/magento/apsb22-13.html
Apache Struts CVE-2021-31805 Score définitif non communiqué Exécution de code arbitraire à distance 12/04/2022 Pas d’information CERTFR-2022-AVI-332 https://cwiki.apache.org/confluence/display/WW/s2-062
Citrix XenMobile Server CVE-2021-44520 Score définitif non communiqué Exécution de code arbitraire à distance 12/04/2022 Pas d’information CERTFR-2022-AVI-331 https://support.citrix.com/article/CTX370551

CVE-2022-24324 : Vulnérabilité dans Schneider IGSS Data Server

Le 12 avril 2022, l’éditeur a déclaré une vulnérabilité affectant le produit IGSS Data Server (IGSSdataServer.exe). La vulnérabilité existe en raison d’une copie de tampon sans vérification de la taille de l’entrée, provoquant un débordement de tampon basé sur la pile. En résulte une exécution de code à distance lorsqu’un attaquant envoie un message spécialement conçu.

Liens :

CVE-2022-26335, CVE-2022-23450 : Multiples vulnérabilités dans les produits Siemens

Le 13 avril 2022, l’éditeur a déclaré deux vulnérabilités critiques affectant le produit SIMATIC Energy Manager. La première, identifiée par le numéro CVE-2022-23450 possède un score CVSSv3 de 10. Elle permet à des utilisateurs distants d’envoyer des objets malicieusement conçus. En raison d’une désérialisation non sécurisée du contenu fourni par l’utilisateur, un attaquant non authentifié serait en mesure d’exploiter cette vulnérabilité en envoyant un objet sérialisé malicieusement conçu. En résulte une exécution de code arbitraire avec des privilèges « système » sur le périphérique.

La seconde vulnérabilité référencée par son numéro d’identification CVE-2022-26335, permet à un attaquant distant non authentifié de provoquer un déni de service des appareils concernés.

Liens :

CVE-2022-20695 : Vulnérabilité dans Cisco Cisco Wireless LAN Controller

Le 14 avril 2022, l’éditeur a déclaré une vulnérabilité dans la fonctionnalité d’authentification du logiciel Cisco Wireless LAN Controller (WLC). Celle-ci permettrait à un attaquant distant non authentifié de contourner les contrôles d’authentification et de se connecter à l’appareil via l’interface de gestion. Le score CVSSv3 attribué est de 10.

Cette vulnérabilité est due à l’implémentation incorrecte de l’algorithme de validation des mots de passe. Un attaquant serait en mesure d’exploiter cette vulnérabilité en se connectant à un périphérique affecté avec des informations d’identification spécialement forgées. Une exploitation réussie résulte en une connexion à l’appareil avec des privilèges élevés, notamment des privilèges administrateurs. Toutefois, l’éditeur indique que cela est dépendant des informations d’identification forgées et que cette vulnérabilité n’est exploitable qu’en raison d’une configuration de périphérique autre que celle par défaut. Pour plus de détails sur la configuration vulnérable, veuillez vous référer à la section Produits vulnérables de cet avis.

Liens :

CVE-2022-26904, CVE-2022-24521, CVE-2022-24491, CVE-2022-26809 : Multiples vulnérabilités dans les produits Microsoft

Le 13 avril 2022, l’éditeur a déclaré plusieurs vulnérabilités affectant le système d’exploitation Microsoft Windows. L’une d’elles, la CVE CVE-2022-26809 fait l’objet d’une alerte en cours. Une vulnérabilité a en effet été découverte dans l’implémentation Microsoft du protocole RPC – Remote Procedure Call –  protocole permettant d’effectuer des appels de procédures sur des machines distantes. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. En particulier, cette vulnérabilité affecte le protocole SMB – Server Message Block – qui permet notamment le partage de ressources comme les fichiers ou les imprimantes.

Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais, en priorité sur les systèmes les plus critiques (notamment les contrôleurs de domaine Active Directory). Au vu de la criticité de cette vulnérabilité, l’éditeur a publié des correctifs de sécurité pour des systèmes qui ne sont plus supportés (en particulier, Windows 7 et Windows Server 2008 R2).

Deux autres vulnérabilités respectivement référencées par leur numéro d’identification, les CVE-2022-24521 et CVE-2022-26904, sont soumises à une vulnérabilité de type élévation de privilèges. Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des systèmes d’exploitation affectés.

Liens :

CVE-2021-31805 : Vulnérabilité dans Apache Struts

Le 13 avr. 2022, l’éditeur a déclaré une vulnérabilité affectant son produit Apache Struts. Celle-ci fait suite à un précédent correctif incomplet publié pour une autre vulnérabilité CVE-2020-17530 (S2-061). Certains attributs de la balise pouvaient encore effectuer une double évaluation si un développeur appliquait une évaluation de type « OGNL » (Object-Graph Navigation Language) forcée en utilisant la syntaxe %{…}. L’utilisation d’une évaluation OGNL forcée sur une entrée utilisateur non fiable peut conduire à une exécution de code à distance.

Liens :

CVE-2022-22954 : Vulnérabilité dans VMware Workspace ONE

La vulnérabilité référencée par le numéro d’identification CVE-2022-22954 a d’ores et déjà fait l’objet d’un avis et d’un bulletin d’actualité.

Des codes d’exploitation sont publiquement disponibles. Le CERT-FR recommande donc de procéder sans délai à la mise à jour des produits affectés.

Liens :

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 11 au 17 avril 2022, le CERT-FR a émis les publications suivantes :