Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 32

Tableau récapitulatif :

Vulnérabilités critiques du 08/08/22 au 12/08/22

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Schneider Electric Modicon M580 CPU CVE-2021-22779 9.1 Contournement de la politique de sécurité 09/08/2022 Pas d'information CERTFR-2022-AVI-717 SEVD-2021-194-01
Schneider Electric Modicon M580 CPU, Pro-face GP4000 Series, GP4000H Series CVE-2020-35198 9.8 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-717 SEVD-2021-313-05
Schneider Electric EcoStruxure Control Expert et Process Expert, Modicon M340 CPU, Modicon M580 CPU CVE-2022-37300 9.8 Contournement de la politique de sécurité 09/08/2022 Pas d'information CERTFR-2022-AVI-717 SEVD-2022-221-01
IBM IBM Cloud Pak System CVE-2022-22965 9.8 Exécution de code arbitraire à distance 09/08/2022 Exploitée CERTFR-2022-AVI-716 https://www.ibm.com/support/pages/node/6610851
Microsoft Windows Network File System CVE-2022-34715 9.8 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-729 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34715
Microsoft Protocole Windows PPP (Point-to-Point Protocol) CVE-2022-30133 9.8 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-729 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30133
Microsoft Protocole Windows PPP (Point-to-Point Protocol) CVE-2022-35744 9.8 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-729 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-35744
Microsoft Edge CVE-2022-33649 9.6 Exécution de code arbitraire à distance 05/08/2022 Pas d'information CERTFR-2022-AVI-713 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-33649
Microsoft Active Directory Domain Services CVE-2022-34691 8.8 Élévation de privilèges 09/08/2022 Pas d'information CERTFR-2022-AVI-729 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34691
Microsoft SMB Client et Serveur CVE-2022-35804 8.8 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-729 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-35804
Microsoft Microsoft Windows Support Diagnostic Tool CVE-2022-34713 8.8 Exécution de code arbitraire à distance 09/08/2022 Exploitée CERTFR-2022-AVI-729 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34713
Intel Open AMT Cloud Toolkit CVE-2022-25899 9.9 Élévation de privilèges 08/08/2022 Pas d'information CERTFR-2022-AVI-727 intel-sa-00694
Intel Intel Data Center Manager CVE-2022-21225 9.0 Élévation de privilèges 08/08/2022 Pas d'information CERTFR-2022-AVI-727 intel-sa-00662
Adobe Magento Open Source , Adobe Commerce CVE-2022-34253 9.1 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-726 https://helpx.adobe.com/security/products/magento/apsb22-38.html
Siemens SCALANCE CVE-2022-36323 9.1 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-718 https://cert-portal.siemens.com/productcert/html/ssa-710008.html
Zimbra Zimbra CVE-2022-2068 9.8 Exécution de code arbitraire à distance 09/08/2022 Pas d'information CERTFR-2022-AVI-736 https://wiki.zimbra.com/index.php/Zimbra_Releases/9.0.0/P26 https://wiki.zimbra.com/index.php/Zimbra_Releases/8.8.15/P33

[SCADA] CVE-2022-36323 : Vulnérabilité dans Siemens SCALANCE

Le 09 août 2022, l'éditeur a déclaré trois vulnérabilités qui affectent les produits SCALANCE dont une critique avec un score CVSSv3 à 9.1. Cette vulnérabilité permet à un attaquant authentifié avec des privilèges administrateur d'injecter du code arbitraire sur le système sous-jacent en tant que root. Excepté pour les produits de la famille SCALANCE SC-600, aucun correctif n'est pour le moment disponible pour corriger ces vulnérabilités. Il est donc grandement recommandé de restreindre l'accès au réseau de ces équipements à des IPs connues et de confiances, ainsi que de réduire les privilèges des comptes déjà configurés au strict nécessaire.

Liens :

Autres vulnérabilités

CVE-2022-27925 et CVE-2022-37042 : Multiples vulnérabilités dans Zimbra

Le 30 mars 2022, l'éditeur a publié un correctif de sécurité pour la vulnérabilité CVE-2022-27925. Cette vulnérabilité permet à un attaquant authentifié avec des privilèges administrateur d'exécuter du code arbitraire à distance. Le composant vulnérable étant mboximport, et n'était réputé accessible qu'avec des identifiants administrateur valide. Cependant, de nombreuses compromissions liées à cette vulnérabilité ont été identifiées par Volexity[1] sans avoir besoin d'une authentification au préalable. Dans ce contexte, le 10 août 2022, Zimbra a publié un correctif pour la vulnérabilité CVE-2022-37042, qui correspond au contournement de la politique de sécurité utilisé lors de ces compromissions. Le CERT-FR a connaissance de codes d'exploitations publics, ainsi que de l'exploitation massive de ces deux vulnérabilités.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 15 août 2022 au 21 août 2022, le CERT-FR a émis les publications suivantes :


Dans la période du 15 août 2022 au 21 août 2022, le CERT-FR a mis à jour les publications suivantes :