Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 17

Tableau récapitulatif :

Vulnérabilités critiques du 02/05/22 au 08/05/22

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
F5 BIG-IP CVE-2022-1388 9.8 Exécution de code arbitraire à distance 04/05/2022 Oui CERTFR-2022-AVI-419 https://support.f5.com/csp/article/K23605346
F5 BIG-IP, BIG-IQ, F5OS-A/C CVE-2022-22822 9.8 Exécution de code arbitraire à distance 01/05/2022 Oui (non qualifié) CERTFR-2022-AVI-134 https://support.f5.com/csp/article/K23421535
F5 BIG-IP, BIG-IQ, F5OS-A/C CVE-2022-22823 9.8 Exécution de code arbitraire à distance 01/05/2022 Pas d'information CERTFR-2022-AVI-134 https://support.f5.com/csp/article/K23421535
F5 BIG-IP, BIG-IQ, F5OS-A/C CVE-2022-22824 9.8 Exécution de code arbitraire à distance 01/05/2022 Pas d'information CERTFR-2022-AVI-134 https://support.f5.com/csp/article/K23421535
F5 BIG-IP, BIG-IQ CVE-2022-25236 9.8 Exécution de code arbitraire 30/04/2022 Pas d'information CERTFR-2022-AVI-201 https://support.f5.com/csp/article/K19473898
F5 BIG-IP, BIG-IQ CVE-2022-25315 9.8 Exécution de code arbitraire 30/04/2022 Pas d'information CERTFR-2022-AVI-201 https://support.f5.com/csp/article/K19473898
F5 BIG-IP, BIG-IQ CVE-2022-23852 9.8 Exécution de code arbitraire 30/04/2022 Pas d'information CERTFR-2022-AVI-201 https://support.f5.com/csp/article/K19473898
F5 BIG-IP, BIG-IQ CVE-2022-25235 9.8 Exécution de code arbitraire 30/04/2022 Pas d'information CERTFR-2022-AVI-201 https://support.f5.com/csp/article/K19473898
Aruba ClearPass Policy Manager CVE-2022-23657 9.8 Exécution de code arbitraire à distance 04/05/2022 Pas d'information CERTFR-2022-AVI-417 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-007.txt
Aruba ClearPass Policy Manager CVE-2022-23658 9.8 Exécution de code arbitraire à distance 04/05/2022 Pas d'information CERTFR-2022-AVI-417 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-007.txt
Aruba ClearPass Policy Manager CVE-2022-23660 9.8 Exécution de code arbitraire à distance 04/05/2022 Pas d'information CERTFR-2022-AVI-417 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-007.txt
Aruba ArubaOS-Switch CVE-2022-23676 9.1 Exécution de code arbitraire à distance 03/05/2022 Pas d'information CERTFR-2022-AVI-422 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt
Aruba ArubaOS-Switch CVE-2022-23677 9.0 Exécution de code arbitraire à distance 03/05/2022 Pas d'information CERTFR-2022-AVI-422 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt
Belden pac-resolver, Provize Basic CVE-2021-23406 9.8 Exécution de code arbitraire à distance 03/05/2022 Pas d'information CERTFR-2022-AVI-413 https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14299&mediaformatid=50063&destinationid=10016
Avaya ERS platforms CVE-2022-29861 9.8 Exécution de code arbitraire à distance 03/05/2022 Pas d'information https://extremeportal.force.com/ExtrArticleDetail?an=000104248
Avaya ERS platforms CVE-2022-29860 9.8 Exécution de code arbitraire à distance 03/05/2022 Pas d'information https://extremeportal.force.com/ExtrArticleDetail?an=000104247
PJSIP Fortinet FortiFone CVE-2021-43845 9.1 Exécution de code arbitraire à distance 03/05/2022 Pas d'information CERTFR-2022-AVI-410 https://www.fortiguard.com/psirt/FG-IR-22-007
PJSIP Fortinet FortiFone CVE-2021-37706 9.8 Exécution de code arbitraire à distance 03/05/2022 Pas d'information CERTFR-2022-AVI-410 https://www.fortiguard.com/psirt/FG-IR-22-007
Qnap QVR CVE-2022-27588 9.8 Exécution de code arbitraire à distance 05/05/2022 Pas d'information CERTFR-2022-AVI-421 https://www.qnap.com/fr-fr/security-advisory/qsa-22-07

CVE-2022-23852, CVE-2022-25315, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-25236, CVE-2022-25235 : Multiples vulnérabilités dans les produits F5

Le 1 mai 2022, l'éditeur a déclaré plusieurs vulnérabilités critiques qui concernent les produits F5 BIG-IP, F5 BIG-IQ et F5 OS-A/C. Ces vulnérabilités affectent le serveur HTTP des produits F5 et plus spécifiquement la libraire Expat (anciennement libexpat). Celle-ci sert à l’analyse syntaxique de données structurées en XML. Pour le moment l'éditeur n'a publié aucun correctif afin de mettre à jour cette bibliothèque et ainsi corriger ces vulnérabilités. L'éditeur a cependant publié des recommandations afin d'attenuer le risque de compromission. Des codes d'exploitations sont publiquement disponibles pour certaines de ces vulnérabilités.

Liens :

CVE-2022-1388 : Vulnérabilités dans F5 BIG-IP iControl REST

Le 4 mai 2022, l'éditeur a déclaré une vulnérabilité affectant F5 BIG-IP iControl REST. Cette vulnérabilité permettant de réaliser une exécution de code arbitraire à distance est assez similiaire à une vulnérabilité de 2021 affectant le même produit (CVE-2021-22986). La vulnérabilité CVE-2021-22986 a été largement exploitée. Il est donc assez prévisible qu'il en sera de même pour la CVE-2022-1388. Des codes d'exploitations sont d'ailleurs déjà publiquement disponibles. L'API iControl REST permet l'automatisation de certaines tâches d'administration. Elle est accessible depuis l'interface d'administration de l'équipement mais également depuis les adresses IP dénommées self-IPs qui peuvent être configurées via le menu Network / Self-IPs dans les différents VLANs auxquels ces équipements sont connectés. Si la mise à jour des équipements ne peut pas être réalisée dans les plus brefs délais, l'éditeur recommande fortement de restreindre l'accès à l'API REST iControl depuis les Self-IPs et de n'autoriser que des équipements de confiance.

Liens :

Autres vulnérabilités

CVE-2022-29861, CVE-2022-29860 : Multiples vulnérabilités dans les produits Avaya

Le 03 mai 2022, l'éditeur a déclaré deux vulnérabilités critiques affectant les produits ERS (Ethernet Routing Switch). Ces vulnérabilités permettent à un attaquant d'exécuter du code arbitraire à distance.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 18 juillet 2022 au 24 juillet 2022, le CERT-FR a émis les publications suivantes :