Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 22
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
IBM | IBM QRadar Data Synchronization App | CVE-2021-3918 | 9.8 | Exécution de code arbitraire à distance | 31/05/2022 | Pas d'information | CERTFR-2022-AVI-510 | https://www.ibm.com/support/pages/node/6590981 |
CVE-2022-1680 : Vulnérabilité GitLab
Le 1er juin 2022, l'éditeur a publié des correctifs pour plusieurs vulnérabilités, dont la vulnérabilité CVE-2022-1680 qui permet, dans certaines conditions, à un utilisateur privilégié de prendre la main sur d'autres comptes. Cette vulnérabilité est considérée critique par GitLab, qui lui attribue un score CVSSv3 de 9,9.Si ce score paraît élevé par rapport aux conditions d'exploitation de la vulnérabilité, cela n'est pas une raison pour ne pas appliquer rapidement les correctifs.
Liens :
- /avis/CERTFR-2022-AVI-517/
- https://about.gitlab.com/releases/2022/06/01/critical-security-release-gitlab-15-0-1-released/
Alertes CERT-FR
CVE-2022-30190 : Vulnérabilité dans Microsoft Windows
Le 30 mai 2022, Microsoft a publié un avis de sécurité dans lequel l'éditeur confirme la vulnérabilité CVE-2022-30190, surnommée Follina.Deux causes sont à l'origine de cette vulnérabilité. La première est que les schémas d'URL propriétaires permettent de solliciter l'exécution d'un programme avec l'ensemble des paramètres pour son exécution, URL qui peut être notamment inséré dans un mail, un document Office, etc. La deuxième vient du fait que le binaire msdt.exe accepte des commandes arbitraires en argument.
La combinaison de ces deux causes permet d'obtenir une exécution de code arbitraire à distance avec le niveau de privilèges de l'utilisateur courant, discrète et quasiment sans interaction de la part de celui-ci.
Un autre schéma, search-ms, permet une attaque similaire, mais avec une portée moindre car elle se déroule en local. Il est toutefois possible que d'autres vecteurs d'attaque soient découverts dans le futur.
Cette vulnérabilité est activement exploitée et des codes d'exploitation sont publiquement disponibles. En attendant la sortie d'un correctif, Microsoft propose de supprimer l'association entre le schéma URL et le programme en désactivant celle-ci dans le registre.
Liens :
- /alerte/CERTFR-2022-ALE-005/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
- https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
CVE-2022-26134 : Vulnérabilité dans Atlassian Confluence
Le 2 juin 2022, l'éditeur a annoncé que la vulnérabilité CVE-2022-16134 affectant Confluence est activement exploitée.Le 3 juin 2022, Atlassian a publié les correctifs. Des codes d'exploitation publics ont ensuite commencé à apparaître. La vulnérabilité CVE-2022-26134 est triviale à exploiter. Tout service vulnérable exposé sur Internet doit être considéré comme compromis.
Ce service, tout comme GitLab, ne devrait pas être librement accessible sur Internet. Le fait de restreindre l'accès au niveau applicatif par authentification ou par filtrage d'adresses ip permet de limiter certaines attaques, notamment concernant les mots de passes faibles ou connus.
Cependant, s’il existe un besoin d’accéder à ce service à distance, la bonne pratique est de le placer derrière un réseau privé virtuel (Virtual Private Network, VPN). Cela permet de réduire la surface d’attaque et plus précisément de se prémunir contre l’exploitation à distance d’une vulnérabilité telle que celle-ci.
Liens :
- /alerte/CERTFR-2022-ALE-006/
- https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html
- https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/
Autres vulnérabilités
CVE-2022-30287 : Vulnérabilité dans Horde Webmail
Le 31 mai 2022, SonarSource a publié un billet de blogue concernant la vulnérabilité CVE-2022-30287 affectant Horde Webmail. Cette vulnérabilité permet à un attaquant authentifié d'exécuter du code arbitraire à distance.Comme Horde Webmail n'est plus maintenu depuis octobre 2017, un correctif ne sera probablement pas disponible.
Le CERT-FR n'a pas connaissance de codes d'exploitation publics pour la vulnérabilité CVE-2022-30287. Cependant, des codes d'exploitation publics sont disponibles pour au moins une autre vulnérabilité critique affectant ce produit.
Le CERT-FR recommande donc la migration vers un autre service de courriel Web qui est encore activement maintenu.
Liens :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.