Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 25
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| IBM | IBM StoredIQ | CVE-2021-45046 | 9.0 | Exécution de code arbitraire à distance | 17/06/2022 | Pas d'information | CERTFR-2022-AVI-570 | https://www.ibm.com/support/pages/node/6596155 |
| IBM | IBM Spectrum Symphony, IBM Spectrum Conductor | CVE-2022-22965 | 9.8 | Exécution de code arbitraire à distance | 19/06/2022 | Pas d'information | CERTFR-2022-AVI-572 | https://www.ibm.com/support/pages/node/6596873 https://www.ibm.com/support/pages/node/6596867 |
| IBM | IBM Security Guardium | CVE-2016-5397 | 9.8 | Exécution de code arbitraire à distance | 20/06/2022 | Pas d'information | CERTFR-2022-AVI-570 | https://www.ibm.com/support/pages/node/6572497 |
| IBM | IBM StoredIQ | CVE-2021-44228 | 10.0 | Exécution de code arbitraire à distance | 17/06/2022 | Pas d'information | CERTFR-2022-AVI-570 | https://www.ibm.com/support/pages/node/6596145 https://www.ibm.com/support/pages/node/6596155 |
| Splunk | Splunk Enterprise | CVE-2022-32158 | 9.0 | Exécution de code arbitraire à distance | 16/06/2022 | Pas d'information | CERTFR-2022-AVI-548 | https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html |
| QNAP | QNAP QTS, QuTS hero, QuTScloud | CVE-2019-11043 | 9.8 | Exécution de code arbitraire à distance | 22/06/2022 | Pas d'information | CERTFR-2022-AVI-577 | https://www.qnap.com/fr-fr/security-advisory/qsa-22-20 |
| OpenSSL | OpenSSL | CVE-2022-2068 | 9.8 | Exécution de code arbitraire à distance | 21/06/2022 | Pas d'information | CERTFR-2022-AVI-575 | https://www.openssl.org/news/secadv/20220621.txt |
| Siemens | SIMATIC WinCC OA | CVE-2022-33139 | 9.8 | Exécution de code arbitraire à distance | 21/06/2022 | Pas d'information | CERTFR-2022-AVI-574 | https://cert-portal.siemens.com/productcert/html/ssa-111512.html |
CVE-2022-2068 : Vulnérabilité dans OpenSSL
Le 21 juin 2022, l'éditeur a déclaré une vulnérabilité concernant OpenSSL. Cette vulnérabilité, dont l’identifiant CVE est CVE-2022-2068, a un score CVSSv3 de 9.8. Elle concerne le code Perl c_rehash fourni avec la bibliothèque. Cet outil parcourt tous les fichiers d’un dossier et ajoute des liens symboliques vers leur condensat.Ce code ne nettoie pas correctement certains caractères fournis en entrée via l’invite de commande et certaines distributions Linux peuvent avoir automatisé son exécution. Dans ce contexte, la vulnérabilité permettrait à un attaquant de tenter une injection de commandes arbitraires lancées avec les privilèges du code.
En plus de l'injection de commande c_rehash identifiée dans la vulnérabilité CVE-2022-1292, une revue de code a permis d'identifier d'autres cas d'usage lors desquels le code c_rehash ne nettoie pas correctement les métacaractères de l'invite de commande afin de bloquer l'injection de commandes.
L’éditeur précise que l’utilisation de c_rehash est jugée obsolète et devrait être remplacée par l’exécutable rehash présent dans la suite OpenSSL.
Liens :
CVE-2022-33139 : Vulnérabilité dans Siemens SIMATIC WinCC OA
Le 21 juin 2022, l'éditeur a déclaré une vulnérabilité concernant le produit SIMATIC WinCC OA. La vulnérabilité CVE-2022-33139 a un score CVSSv3 de 9.8.SIMATIC WinCC Open Architecture est un système orienté objet et basé sur des évènements. Il permet une gestion centralisée d'applications SCADA.
SIMATIC WinCC OA implémente l'authentification côté client lorsque l'authentification côté serveur (Server-Side Authentication ou SSA) et lorsque l'authentification Kerberos sont désactivées. Dans cette configuration, un attaquants pourrait contourner la politique de sécurité afin de se faire passer pour un autre utilisateur ou exploiter le protocole client-serveur sans être authentifié afin d'exécuter un code arbitraire à distance.
Comme indiqué dans les directive de sécurité WinCC OA, l'éditeur recommande d'activer l'authentification côté serveur (SSA) ou l'authentification Kerberos pour tous les projets WinCC OA.
L'authentification côté serveur (SSA) est disponible depuis la version 3.15 de SIMATIC WinCC OA. Elle est proposée comme configuration par défaut depuis la version 3.17.
Liens :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
