Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 28

Tableau récapitulatif :

Vulnérabilités critiques du 11/07/2022 au 15/07/2022
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
IBM IBM Tivoli Netcool/OMNIbus_GUI CVE-2021-3918 9.8 Exécution de code arbitraire à distance 15/07/2022Pas d'informationCERTFR-2022-AVI-647https://www.ibm.com/support/pages/node/6590981
IBM App Connect Enterprise Certified Container 1.1 EUS (EUS) CVE-2022-29622 9.8 Exécution de code arbitraire à distance 13/07/2022Pas d'informationCERTFR-2022-AVI-631https://www.ibm.com/support/pages/node/6602965
IBM IBM MQ Operator CD release CVE-2020-15257 9.8 Élévation de privilèges 11/07/2022Pas d'informationCERTFR-2022-AVI-624https://www.ibm.com/support/pages/node/6602259
IBM IBM i Modernization Engine for Lifecycle Integration CVE-2022-22965 9.8 Exécution de code arbitraire à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-626https://www.ibm.com/support/pages/node/6602625
SonicWall Email Security CVE-2022-1292 9.8 Exécution de code arbitraire à distance 15/07/2022Pas d'informationCERTFR-2022-AVI-648https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0011
Schneider Electric Smart-UPS SMT Series, Smart-UPS SMC Series CVE-2022-22805 9.0 Exécution de code arbitraire à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-215SEVD-2022-067-02_APC_Smart-UPS_Security_Notification_V4.0_EN.pdf
Schneider Electric Smart-UPS SMT Series, Smart-UPS SMC Series CVE-2022-22806 9.0 Exécution de code arbitraire à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-215SEVD-2022-067-02_APC_Smart-UPS_Security_Notification_V4.0_EN.pdf
Schneider Electric IGSS Data Server CVE-2022-2329 9.8 Exécution de code arbitraire à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-628SEVD-2022-102-01_IGSS_Security_Notification_V2.0.pdf
Schneider Electric SCADAPack RemoteConnect for x70 CVE-2021-22779 9.8 Contournement de la politique de sécurité 12/07/2022Pas d'informationCERTFR-2022-AVI-215SEVD-2021-194-01_EcoStruxure_[...]_M580_M340_V4.0.pdf
Microsoft Windows CVE-2022-22047 7.8 Exécution de code arbitraire 13/07/2022ExploitéeCERTFR-2022-AVI-633https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22047
Siemens Opcenter Quality 13.1, Opcenter Quality 13.2 CVE-2022-33736 9.6 Contournement de la politique de sécurité 12/07/2022Pas d'informationCERTFR-2022-AVI-627https://cert-portal.siemens.com/productcert/html/ssa-944952.html
Siemens SCALANCE CVE-2022-26649 9.6 Déni de service à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-627https://cert-portal.siemens.com/productcert/html/ssa-310038.html
Siemens SINAMICS PERFECT HARMONY GH180 Drives CVE-2021-29998 9.8 Exécution de code arbitraire à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-627https://cert-portal.siemens.com/productcert/html/ssa-910883.html
Siemens SIMATIC eaSie Core Package CVE-2021-44222 10 Exécution de code arbitraire à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-627https://cert-portal.siemens.com/productcert/html/ssa-580125.html
Siemens SIMATIC CP, SIPLUS ET, SIPLUS NET CP, SIPLUS S7 CVE-2022-34819 10 Exécution de code arbitraire à distance 12/07/2022Pas d'informationCERTFR-2022-AVI-627https://cert-portal.siemens.com/productcert/html/ssa-517377.html

CVE-2022-32212 et CVE-2022-32223 : Multiples vulnérabilités dans Node.js

Le 07 juillet 2022, l'éditeur a publié un avis concernant sept vulnérabilités dont deux considérées comme étant de gravité élevée.

La vulnérabilité CVE-2022-32212 affecte toutes les versions de Node.js : 18.x, 16.x et 14.x. Un manque de contrôle dans la validité d'une adresse IP peut permettre à un attaquant d'émettre des requêtes DNS vers un serveur administré par ce dernier. Cet attaquant est alors en mesure d'usurper les réponses DNS via une attaque de l'intermédiaire (MITM). Il peut ensuite se connecter au débogueur WebSocket et tenter une exécution de code arbitraire.

La vulnérabilité CVE-2022-32223 concerne les versions 16.x et 14.x de Node.js. Elle concerne les environnements Windows installés avec OpenSSL et uniquement si le fichier openssl.cnf est présent dans C:\Program Files\Common Files\SSL. Dans ces conditions, la vulnérabilité permet à un attaquant de téléverser une versions malveillante de providers.dll. Il sera ensuite en mesure de tenter une exécution de code arbitraire à distance.

Les sept vulnérabilités ont été corrigées dans Node.js version 14.20.0 (LTS), Node.js version 16.16.0 (LTS) et Node.js version 18.5.0 (Current).

Liens :

CVE-2022-29900 et CVE-2022-29901 : Retbleed, multiples vulnérabilités dans les processeurs Intel, AMD et ARM

Le 12 juillet 2022, deux chercheurs de l'université de Zurich ont publié un avis concernant deux vulnérabilités associées aux mécanismes d'exécution spéculative des processeurs Intel et AMD.

Retbleed est une nouvelle attaque de type Spectre-BTI qui exploite l'injection de cibles de branche (branch targets injection) dans le but de provoquer une atteinte à la confidentialité des informations localisées dans la mémoire du noyau.

Les vulnérabilités CVE-2022-29900 et CVE-2022-29901 concernent les processeurs Intel Core génération 6, 7 et 8 produits entre 2015 et 2017 ainsi que les processeurs AMD Zen 1, Zen 1+ et Zen 2 produits entre 2017 et 2019. Les deux constructeurs ont fourni des listes plus complètes accessibles via les liens listés ci-dessous.

L'éditeur Intel a indiqué dans le billet de blogue 1399055 que les systèmes d'exploitation Windows ne sont pas affectés par la vulnérabilité CVE-2022-29901 car la spéculation indirecte restreinte à la branche (Indirect Branch Restricted Speculation) est configurée par défaut.

Enfin, l'éditeur ARM a précisé dans l'avis ka005138 que les processeurs vulnérables à l'attaque Spectre par canal latéral (Spectre side-channel attack) utilisant des branches indirectes sont également vulnérables à Retbleed.

Le CERT-FR recommande de mettre à jour les systèmes d'exploitation des processeurs vulnérables à la dernière version disponible.

Liens :

 


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 11 juillet 2022 au 17 juillet 2022, le CERT-FR a émis les publications suivantes :