Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 25

Tableau récapitulatif :

Vulnérabilités critiques du 20/06/2022 au 24/06/2022
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
IBM IBM StoredIQ CVE-2021-45046 9.0 Exécution de code arbitraire à distance 17/06/2022 Pas d'information CERTFR-2022-AVI-570 https://www.ibm.com/support/pages/node/6596155
IBM IBM Spectrum Symphony, IBM Spectrum Conductor CVE-2022-22965 9.8 Exécution de code arbitraire à distance 19/06/2022 Pas d'information CERTFR-2022-AVI-572 https://www.ibm.com/support/pages/node/6596873 https://www.ibm.com/support/pages/node/6596867
IBM IBM Security Guardium CVE-2016-5397 9.8 Exécution de code arbitraire à distance 20/06/2022 Pas d'information CERTFR-2022-AVI-570 https://www.ibm.com/support/pages/node/6572497
IBM IBM StoredIQ CVE-2021-44228 10.0 Exécution de code arbitraire à distance 17/06/2022 Pas d'information CERTFR-2022-AVI-570 https://www.ibm.com/support/pages/node/6596145 https://www.ibm.com/support/pages/node/6596155
Splunk Splunk Enterprise CVE-2022-32158 9.0 Exécution de code arbitraire à distance 16/06/2022 Pas d'information CERTFR-2022-AVI-548 https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
QNAP QNAP QTS, QuTS hero, QuTScloud CVE-2019-11043 9.8 Exécution de code arbitraire à distance 22/06/2022 Pas d'information CERTFR-2022-AVI-577 https://www.qnap.com/fr-fr/security-advisory/qsa-22-20
OpenSSL OpenSSL CVE-2022-2068 9.8 Exécution de code arbitraire à distance 21/06/2022 Pas d'information CERTFR-2022-AVI-575 https://www.openssl.org/news/secadv/20220621.txt
Siemens SIMATIC WinCC OA CVE-2022-33139 9.8 Exécution de code arbitraire à distance 21/06/2022 Pas d'information CERTFR-2022-AVI-574 https://cert-portal.siemens.com/productcert/html/ssa-111512.html

CVE-2022-2068 : Vulnérabilité dans OpenSSL

Le 21 juin 2022, l'éditeur a déclaré une vulnérabilité concernant OpenSSL. Cette vulnérabilité, dont l’identifiant CVE est CVE-2022-2068, a un score CVSSv3 de 9.8. Elle concerne le code Perl c_rehash fourni avec la bibliothèque. Cet outil parcourt tous les fichiers d’un dossier et ajoute des liens symboliques vers leur condensat.

Ce code ne nettoie pas correctement certains caractères fournis en entrée via l’invite de commande et certaines distributions Linux peuvent avoir automatisé son exécution. Dans ce contexte, la vulnérabilité permettrait à un attaquant de tenter une injection de commandes arbitraires lancées avec les privilèges du code.

En plus de l'injection de commande c_rehash identifiée dans la vulnérabilité CVE-2022-1292, une revue de code a permis d'identifier d'autres cas d'usage lors desquels le code c_rehash ne nettoie pas correctement les métacaractères de l'invite de commande afin de bloquer l'injection de commandes.

L’éditeur précise que l’utilisation de c_rehash est jugée obsolète et devrait être remplacée par l’exécutable rehash présent dans la suite OpenSSL.

Liens :

CVE-2022-33139 : Vulnérabilité dans Siemens SIMATIC WinCC OA

Le 21 juin 2022, l'éditeur a déclaré une vulnérabilité concernant le produit SIMATIC WinCC OA. La vulnérabilité CVE-2022-33139 a un score CVSSv3 de 9.8.

SIMATIC WinCC Open Architecture est un système orienté objet et basé sur des évènements. Il permet une gestion centralisée d'applications SCADA.

SIMATIC WinCC OA implémente l'authentification côté client lorsque l'authentification côté serveur (Server-Side Authentication ou SSA) et lorsque l'authentification Kerberos sont désactivées. Dans cette configuration, un attaquants pourrait contourner la politique de sécurité afin de se faire passer pour un autre utilisateur ou exploiter le protocole client-serveur sans être authentifié afin d'exécuter un code arbitraire à distance.

Comme indiqué dans les directive de sécurité WinCC OA, l'éditeur recommande d'activer l'authentification côté serveur (SSA) ou l'authentification Kerberos pour tous les projets WinCC OA.

L'authentification côté serveur (SSA) est disponible depuis la version 3.15 de SIMATIC WinCC OA. Elle est proposée comme configuration par défaut depuis la version 3.17.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 20 juin 2022 au 26 juin 2022, le CERT-FR a émis les publications suivantes :


Dans la période du 20 juin 2022 au 26 juin 2022, le CERT-FR a mis à jour les publications suivantes :