Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 19
Tableau récapitulatif :
Vulnérabilités critiques du 09/05/2022 au 13/05/2022
Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Siemens | SICAM P850 | CVE-2022-29873 | 9.8 | Exécution de code arbitraire à distance | 10/05/2022 | Pas d'information | CERTFR-2022-AVI-435 | https://cert-portal.siemens.com/productcert/html/ssa-165073.html |
Siemens | Desigo DXR2, Desigo PXC3, Desigo PXC4, Desigo PXC5 | CVE-2022-24039 | 9.0 | Exécution de code arbitraire à distance | 10/05/2022 | Pas d'information | CERTFR-2022-AVI-435 | https://cert-portal.siemens.com/productcert/html/ssa-626968.html |
Tenable | Nessus Network Monitor | CVE-2021-3711 | 9.8 | Exécution de code arbitraire à distance | 10/05/2022 | Pas d'information | CERTFR-2022-AVI-429 | https://www.tenable.com/security/tns-2022-10 |
Schneider Electric | Wiser Smart, EER21000, Wiser Smart, EER21001 | CVE-2022-30234 | 9.4 | Exécution de code arbitraire à distance | 10/05/2022 | Pas d'information | CERTFR-2022-AVI-436 | https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-130-03_WiserSmart_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-130-03 |
Microsoft | Windows LDAP | CVE-2022-22012 | 9.8 | Exécution de code arbitraire à distance | 11/05/2022 | Pas d'information | CERTFR-2022-AVI-448 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22012 |
Microsoft | Windows LDAP | CVE-2022-29130 | 9.8 | Exécution de code arbitraire à distance | 11/05/2022 | Pas d'information | CERTFR-2022-AVI-448 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29130 |
Microsoft | Windows NFS | CVE-2022-26937 | 9.8 | Exécution de code arbitraire à distance | 11/05/2022 | Pas d'information | CERTFR-2022-AVI-448 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26937 |
Microsoft | Windows Active Directory | CVE-2022-26923 | 8.8 | Élévation de privilèges | 11/05/2022 | Oui | CERTFR-2022-AVI-448 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26923 |
Microsoft | Windows LSA | CVE-2022-26925 | 8.1 | Contournement de la politique de sécurité | 11/05/2022 | Exploitée | CERTFR-2022-AVI-448 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925 |
Microsoft | Windows RPC | CVE-2022-22019 | 8.8 | Exécution de code arbitraire à distance | 11/05/2022 | Oui | CERTFR-2022-AVI-448 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22019 |
SAP | Business Cloud, Commerce, Customer Profitability Analytics | CVE-2022-22965 | 9.8 | Exécution de code arbitraire à distance | 13/05/2022 | Pas d'information | CERTFR-2022-AVI-456 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10 |
OpenLDAP | OpenLDAP | CVE-2022-29155 | 9.8 | Exécution de code arbitraire à distance | 13/05/2022 | Pas d'information | CERTFR-2022-AVI-463 | https://bugs.openldap.org/show_bug.cgi?id=9815 |
Zyxel | Zyxel USG Flex, Zyxel ATP, Zyxel VPN | CVE-2022-30525 | 9.8 | Exécution de code arbitraire à distance | 13/05/2022 | Exploitée | https://www.zyxel.com/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml |
CVE-2022-29873 et CVE-2022-24039 : Multiples vulnérabilités dans les produits Siemens
Le 10 mai 2022, l'éditeur a déclaré un ensemble de vulnérabilités parmi lesquelles deux vulnérabilités critiques. La vulnérabilité dont le numéro de CVE est CVE-2022-29873 a un score CVSSv3 de 9.8. Elle concerne les appareils de mesure de puissance numérique SICAM P850. Le service http intégré à ces périphériques ne valide pas correctement les paramètres de certaines requêtes GET et POST. La vulnérabilité permet alors à un attaquant non authentifié de placer l'appareil dans un état de déni de service ou de tenter une exécution de code arbitraire à distance.La vulnérabilité identifiée CVE-2022-24039 a un score CVSSv3 de 9.0. Elle affecte les régulateurs modulaires multimétiers Desigo DXR2, Desigo PXC3, Desigo PXC4 et Desigo PXC5. La fonction JavaScript addCell ne nettoie pas correctement les entrées d'un utilisateur avant de les inclure dans le corps XML du rapport XLS généré. L'utilisateur est alors en mesure d'injecter du contenu arbitraire dans le fichier généré. La vulnérabilité permet à un attaquant de corrompre le contenu d'un rapport XLS afin de proposer en téléchargement des fichiers malveillants à des utilisateurs disposant de privilèges plus élevés et obtenir une exécution de code arbitraire à distance sur le poste de travail d'un administrateur.
Liens :
- /avis/CERTFR-2022-AVI-435/
- https://cert-portal.siemens.com/productcert/html/ssa-165073.html
- https://cert-portal.siemens.com/productcert/html/ssa-626968.html
CVE-2022-30234 : Vulnérabilité dans les produits Schneider Electric
Le 10 mai 2022, l'éditeur a annoncé un ensemble de vulnérabilités parmi lesquelles une vulnérabilité critique dont le numéro d'identifiant est CVE-2022-30234. Cette vulnérabilité a un score CVSSv3 de 9.4 et concerne les contrôleurs internet actionneurs de chauffage Wiser Smart EER21000 et Wiser Smart EER21001.L'utilisation d'informations d'identification en texte clair pourrait permettre l'exécution de code arbitraire après l'obtention d'un accès avec les privilèges les plus élevés (root).
L'éditeur précise que les contrôleurs Wiser Smart EER21000 et EER21001 sont en fin de vie (EOL) et ne bénéficient plus de mises à jour de sécurité, il est donc conseillé aux utilisateurs d'appliquer les mesures répertoriées dans la section Atténuations de l'avis éditeur.
Liens :
- /avis/CERTFR-2022-AVI-436/
- https://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-130-03_WiserSmart_Security_Notification.pdf&p_Doc_Ref=SEVD-2022-130-03
CVE-2022-26923 : Vulnérabilité dans Microsoft ADCS
Le chercheur en sécurité Oliver Lyak a remonté une vulnérabilité à Microsoft au sein des services de certification Active Directory (ADCS). Pour rappel, les services AD CS permettent la mise en œuvre par Microsoft de l'infrastructure à clés publiques (PKI) permettant la remise et la gestion de certificats ou de signatures numériques. Ces services ne sont pas installés par défaut mais sont largement déployés dans les environnements Active Directory importants.Cette vulnérabilité, immatriculée CVE-2022-26923 et aussi nommée Certifried, permettait à un attaquant déjà authentifié avec des droits utilisateurs de tenter une élévation de privilèges. Cette vulnérabilité est basée sur la manipulation de l’attribut DnsHostName lors de la génération d’un certificat machine. Cet attribut spécifie le nom de l’ordinateur tel qu’il est enregistré par le DNS. Avec certaines contraintes détaillées par le chercheur, il est possible de modifier cet attribut et ainsi de pouvoir, in fine, aboutir à une élévation de privilèges.
Il est à noter qu'en plus du correctif, le drapeau CT_FLAG_NO_SECURITY_EXTENSION ne doit pas être présent dans les modèles (templates) des certificats.
Un problème a été découvert dans la gestion par le contrôleur de domaine du mappage (mapping) des certificats aux comptes machine. Après l'installation des correctifs de sécurité publiés le 10 mai par l'éditeur, des erreurs d'authentification peuvent apparaître dans les journaux des clients ou des serveurs pour les services suivants :
- Network Policy Server (NPS)
- Routing and Remote access Service (RRAS)
- Radius
- Extensible Authentication Protocol (EAP)
- Protected Extensible Authentication Protocol (PEAP)
Liens :
- /avis/CERTFR-2022-AVI-448/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923
- Présentation de la vulnérabilité CVE-2022-26923 par le chercheur
- Erreurs d'authentification sur des services NPS, RRAS, Radius, EAP ou PEAP
CVE-2022-26925 : Vulnérabilité dans Windows LSA
Le chercheur en sécurité Raphael John a remonté une vulnérabilité au sein de Windows LSA qui se trouve être actuellement activement exploitée. En exploitant cette vulnérabilité, un attaquant non authentifié pourrait appeler une méthode sur l’interface LSARPC et forcer le contrôleur de domaine à s’authentifier auprès de l’attaquant avec NTLM. L'attaquant pourrait ainsi contourner l'authentification en manipulant un système vulnérable. Pour exploiter cette vulnérabilité, l'attaquant doit avoir les moyens lui permettant de conduire une attaque de type "homme du milieu" (MITM). Microsoft a publié des informations supplémentaires ainsi que des mesures d'atténuation : https://msrc.microsoft.com/update-guide/vulnerability/ADV210003.Le score CVSSv3 combiné serait de 9.8 si cette vulnérabilité est associée à des attaques par relais NTLM sur les services de certificats Active Directory (AD CS) telles que PetitPotam. Pour éviter cela, les serveurs utilisant les services de certification Active Directory doivent impérativement activer la protection Extended Proctection For Authentication (EPA). Pour plus d’informations veuillez vous référer à l’avis de l’éditeur concernant les mesures de protections contre les attaques relais NTLM.
Microsoft recommande de donner la priorité aux contrôleurs de domaine Active Directory lors de l'application de ces mises à jour.
Mesures de protections contre les attaques relai NTLM : https://support.microsoft.com/fr-fr/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
Liens :
CVE-2022-22012 et CVE-2022-29130 : Vulnérabilités dans Windows LDAP
Le 10 mai 2022, lors de l'édition du Patch Tuesday, l'éditeur a publié deux avis concernant les vulnérabilités ayant les numéros de CVE CVE-2022-22012 et CVE-2022-29130. Les deux vulnérabilités ont un score CVSSv3 de 9.8 et concernent l'implémentation de Windows LDAP.L'augmentation de la valeur MaxReceiveBuffer au delà de la valeur par défaut dans la politique LDAP pourrait permettre à un attaquant distant, authentifié ou non, d'exploiter ces deux vulnérabilités afin d'exécuter du code avec les privilèges les plus élevés (SYSTEM). L'éditeur précise que la politique par défaut n'est pas vulnérable.
Des informations supplémentaires sur les politiques LDAP sont fournies par l'éditeur : https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/3f0137a1-63df-400c-bf97-e1040f055a99
Liens :
- /avis/CERTFR-2022-AVI-448/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22012
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29130
CVE-2022-30525 : Vulnérabilité dans les produits Zyxel
Le 12 mai 2022, l'éditeur a annoncé la correction d'une vulnérabilité affectant les produits des gammes USG Flex, ATP et VPN.La vulnérabilité est identifiée par le numéro de CVE CVE-2022-30525, elle a un score CVSSv3 de 9.8. Elle permet à un attaquant non authentifié de pouvoir exécuter des commandes arbitraires sur un équipement ayant la fonctionnalité zero touch provisioning (ZTP) activée. En envoyant des requêtes HTTP sur une url particulière, il est possible d’exécuter de manière légitime des fonctions prédéfinies sur l'équipement. Cependant, la commande getWanPortSt est vulnérable à une injection de commande qui permet, in fine, de pouvoir exécuter du code arbitraire en déposant une invite de commande inversée (reverse-shell).
La vulnérabilité fait l'objet d'une exploitation active, le CERT-FR conseille fortement de mettre à jour le micrologiciel de ces équipements à une version supérieure ou égale à 5.30.
Liens :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.