Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 20

Tableau récapitulatif :

Vulnérabilités critiques du 16/05/22 au 20/05/22

Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
IBM IBM PowerVC CVE-2021-27928 9.8 Exécution de code arbitraire à distance 18/05/2022 Oui CERTFR-2022-AVI-477 https://www.ibm.com/support/pages/node/6587431
IBM Rational Asset Analyzer (RAA) CVE-2021-23450 9.8 Exécution de code arbitraire à distance 19/05/2022 Pas d'information CERTFR-2022-AVI-481 https://www.ibm.com/support/pages/node/6587957
IBM IBM Robotic Process Automation with Automation Anywhere CVE-2021-22965 (Spring4Shell) 9.8 Exécution de code arbitraire à distance 19/05/2022 Exploitée CERTFR-2022-AVI-481 https://www.ibm.com/support/pages/node/6587935
IBM IBM Spectrum Protect Plus CVE-2021-43527 9.8 Exécution de code arbitraire à distance 17/05/2022 Oui CERTFR-2022-AVI-472 https://www.ibm.com/support/pages/node/6587384
VMware VMware Access, vIDM, vRA, Cloud Foundation, vRealize Suite Lifecycle Manager CVE-2022-22972 9.8 Contournement de la politique de sécurité 19/05/2022 Pas d'information CERTFR-2022-AVI-476 https://www.vmware.com/security/advisories/VMSA-2022-0014.html
Aruba AirWave Management Platform, Aruba EdgeConnect Enterprise, Aruba EdgeConnect Enterprise Orchestrator (on-premises), AFC, CFM CVE-2022-25235 9.8 Exécution de code arbitraire à distance 17/05/2022 Pas d'information CERTFR-2022-AVI-473 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-010.txt
Aruba AirWave Management Platform, Aruba EdgeConnect Enterprise, Aruba EdgeConnect Enterprise Orchestrator (on-premises), AFC, CFM CVE-2022-25236 9.8 Exécution de code arbitraire à distance 17/05/2022 Pas d'information CERTFR-2022-AVI-473 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-010.txt
Aruba AirWave Management Platform, Aruba EdgeConnect Enterprise, Aruba EdgeConnect Enterprise Orchestrator (on-premises), AFC, CFM CVE-2022-25315 9.8 Exécution de code arbitraire à distance 17/05/2022 Pas d'information CERTFR-2022-AVI-473 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-010.txt
Apple Safari, macOS, Xcode, iPadOS, iOS, watchOS, tvOS CVE-2022-22675 9.8 Exécution de code arbitraire à distance 16/05/2022 Exploitée CERTFR-2022-AVI-466 https://support.apple.com/fr-fr/HT201222

CVE-2022-22972, CVE-2022-22973 : Vulnérabilité dans les produits VMware

Le 18 mai 2022, l'éditeur a déclaré deux vulnérabilités affectant les produits VMware Access, vIDM, vRA, Cloud Foundation et vRealize Suite Lifecycle Manager. Ces vulnérabilités permettent à un attaquant de contourner l'authentification afin d'obtenir un accès administratif (CVE-2022-22972) et de réaliser une élévation de privilège (CVE-2022-22973). La combinaison de la seconde vulnérabilité ainsi que celles du 6 avril 2022 [1] permet à un attaquant d'exécuter du code arbitraire sur le serveur en tant qu'utilisateur (CVE-2022-22954) puis d'escalader les privilèges afin d'obtenir les droits « root » (CVE-2022-22960 et CVE-2022-22973). La CISA a connaissance d'exploitation des vulnérabilités d'avril (CVE 2022-22954 et CVE 2022-22960) par des modes opératoires [2], il est donc très probable que ces nouvelles vulnérabilités soient aussi rapidement utilisées. L’application des correctifs d'avril et de mai est donc fortement recommandée.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 16 mai 2022 au 22 mai 2022, le CERT-FR a émis les publications suivantes :