Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 20
Tableau récapitulatif :
Vulnérabilités critiques du 16/05/22 au 20/05/22
| Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| IBM | IBM PowerVC | CVE-2021-27928 | 9.8 | Exécution de code arbitraire à distance | 18/05/2022 | Oui | CERTFR-2022-AVI-477 | https://www.ibm.com/support/pages/node/6587431 |
| IBM | Rational Asset Analyzer (RAA) | CVE-2021-23450 | 9.8 | Exécution de code arbitraire à distance | 19/05/2022 | Pas d’information | CERTFR-2022-AVI-481 | https://www.ibm.com/support/pages/node/6587957 |
| IBM | IBM Robotic Process Automation with Automation Anywhere | CVE-2021-22965 (Spring4Shell) | 9.8 | Exécution de code arbitraire à distance | 19/05/2022 | Exploitée | CERTFR-2022-AVI-481 | https://www.ibm.com/support/pages/node/6587935 |
| IBM | IBM Spectrum Protect Plus | CVE-2021-43527 | 9.8 | Exécution de code arbitraire à distance | 17/05/2022 | Oui | CERTFR-2022-AVI-472 | https://www.ibm.com/support/pages/node/6587384 |
| VMware | VMware Access, vIDM, vRA, Cloud Foundation, vRealize Suite Lifecycle Manager | CVE-2022-22972 | 9.8 | Contournement de la politique de sécurité | 19/05/2022 | Pas d’information | CERTFR-2022-AVI-476 | https://www.vmware.com/security/advisories/VMSA-2022-0014.html |
| Aruba | AirWave Management Platform, Aruba EdgeConnect Enterprise, Aruba EdgeConnect Enterprise Orchestrator (on-premises), AFC, CFM | CVE-2022-25235 | 9.8 | Exécution de code arbitraire à distance | 17/05/2022 | Pas d’information | CERTFR-2022-AVI-473 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-010.txt |
| Aruba | AirWave Management Platform, Aruba EdgeConnect Enterprise, Aruba EdgeConnect Enterprise Orchestrator (on-premises), AFC, CFM | CVE-2022-25236 | 9.8 | Exécution de code arbitraire à distance | 17/05/2022 | Pas d’information | CERTFR-2022-AVI-473 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-010.txt |
| Aruba | AirWave Management Platform, Aruba EdgeConnect Enterprise, Aruba EdgeConnect Enterprise Orchestrator (on-premises), AFC, CFM | CVE-2022-25315 | 9.8 | Exécution de code arbitraire à distance | 17/05/2022 | Pas d’information | CERTFR-2022-AVI-473 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-010.txt |
| Apple | Safari, macOS, Xcode, iPadOS, iOS, watchOS, tvOS | CVE-2022-22675 | 9.8 | Exécution de code arbitraire à distance | 16/05/2022 | Exploitée | CERTFR-2022-AVI-466 | https://support.apple.com/fr-fr/HT201222 |
CVE-2022-22972, CVE-2022-22973 : Vulnérabilité dans les produits VMware
Le 18 mai 2022, l’éditeur a déclaré deux vulnérabilités affectant les produits VMware Access, vIDM, vRA, Cloud Foundation et vRealize Suite Lifecycle Manager. Ces vulnérabilités permettent à un attaquant de contourner l’authentification afin d’obtenir un accès administratif (CVE-2022-22972) et de réaliser une élévation de privilège (CVE-2022-22973). La combinaison de la seconde vulnérabilité ainsi que celles du 6 avril 2022 [1] permet à un attaquant d’exécuter du code arbitraire sur le serveur en tant qu’utilisateur (CVE-2022-22954) puis d’escalader les privilèges afin d’obtenir les droits « root » (CVE-2022-22960 et CVE-2022-22973). La CISA a connaissance d’exploitation des vulnérabilités d’avril (CVE 2022-22954 et CVE 2022-22960) par des modes opératoires [2], il est donc très probable que ces nouvelles vulnérabilités soient aussi rapidement utilisées.
L’application des correctifs d’avril et de mai est donc fortement recommandée.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-476/
- https://www.vmware.com/security/advisories/VMSA-2022-0014.html
- [1] Avis du 6 avril 2022 : https://www.vmware.com/security/advisories/VMSA-2022-0011.html
- [2] Alerte de la CISA : https://www.cisa.gov/emergency-directive-22-03
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 16 au 22 mai 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-464 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-465 : Vulnérabilité dans VMware Spring Security
- CERTFR-2022-AVI-466 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2022-AVI-467 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-468 : Multiples vulnérabilités dans Moodle
- CERTFR-2022-AVI-469 : Vulnérabilité dans SonicWall SSL-VPN SMA100
- CERTFR-2022-AVI-470 : Vulnérabilité dans VMware Sping Security
- CERTFR-2022-AVI-471 : Vulnérabilité dans SolarWinds Serv-U
- CERTFR-2022-AVI-472 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2022-AVI-473 : Multiples vulnérabilités dans les produits Aruba
- CERTFR-2022-AVI-474 : Vulnérabilité dans ISC Bind
- CERTFR-2022-AVI-475 : Multiples vulnérabilités dans Trend Micro Apex One
- CERTFR-2022-AVI-476 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2022-AVI-477 : Vulnérabilité dans IBM PowerVC
- CERTFR-2022-AVI-478 : Vulnérabilité dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-479 : Vulnérabilité dans Grafana Enterprise
- CERTFR-2022-AVI-480 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-481 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2022-AVI-482 : Vulnérabilité dans Oracle E-Business Suite
- CERTFR-2022-AVI-483 : Multiples vulnérabilités dans les produits Nextcloud
