Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 32
Tableau récapitulatif :
Vulnérabilités critiques du 08/08/22 au 12/08/22
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Schneider Electric | Modicon M580 CPU | CVE-2021-22779 | 9.1 | Contournement de la politique de sécurité | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-717 | SEVD-2021-194-01 |
| Schneider Electric | Modicon M580 CPU, Pro-face GP4000 Series, GP4000H Series | CVE-2020-35198 | 9.8 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-717 | SEVD-2021-313-05 |
| Schneider Electric | EcoStruxure Control Expert et Process Expert, Modicon M340 CPU, Modicon M580 CPU | CVE-2022-37300 | 9.8 | Contournement de la politique de sécurité | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-717 | SEVD-2022-221-01 |
| IBM | IBM Cloud Pak System | CVE-2022-22965 | 9.8 | Exécution de code arbitraire à distance | 09/08/2022 | Exploitée | CERTFR-2022-AVI-716 | https://www.ibm.com/support/pages/node/6610851 |
| Microsoft | Windows Network File System | CVE-2022-34715 | 9.8 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-729 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34715 |
| Microsoft | Protocole Windows PPP (Point-to-Point Protocol) | CVE-2022-30133 | 9.8 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-729 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30133 |
| Microsoft | Protocole Windows PPP (Point-to-Point Protocol) | CVE-2022-35744 | 9.8 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-729 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-35744 |
| Microsoft | Edge | CVE-2022-33649 | 9.6 | Exécution de code arbitraire à distance | 05/08/2022 | Pas d’information | CERTFR-2022-AVI-713 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-33649 |
| Microsoft | Active Directory Domain Services | CVE-2022-34691 | 8.8 | Élévation de privilèges | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-729 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34691 |
| Microsoft | SMB Client et Serveur | CVE-2022-35804 | 8.8 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-729 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-35804 |
| Microsoft | Microsoft Windows Support Diagnostic Tool | CVE-2022-34713 | 8.8 | Exécution de code arbitraire à distance | 09/08/2022 | Exploitée | CERTFR-2022-AVI-729 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34713 |
| Intel | Open AMT Cloud Toolkit | CVE-2022-25899 | 9.9 | Élévation de privilèges | 08/08/2022 | Pas d’information | CERTFR-2022-AVI-727 | intel-sa-00694 |
| Intel | Intel Data Center Manager | CVE-2022-21225 | 9.0 | Élévation de privilèges | 08/08/2022 | Pas d’information | CERTFR-2022-AVI-727 | intel-sa-00662 |
| Adobe | Magento Open Source , Adobe Commerce | CVE-2022-34253 | 9.1 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-726 | https://helpx.adobe.com/security/products/magento/apsb22-38.html |
| Siemens | SCALANCE | CVE-2022-36323 | 9.1 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-718 | https://cert-portal.siemens.com/productcert/html/ssa-710008.html |
| Zimbra | Zimbra | CVE-2022-2068 | 9.8 | Exécution de code arbitraire à distance | 09/08/2022 | Pas d’information | CERTFR-2022-AVI-736 | https://wiki.zimbra.com/index.php/Zimbra_Releases/9.0.0/P26 https://wiki.zimbra.com/index.php/Zimbra_Releases/8.8.15/P33 |
[SCADA] CVE-2022-36323 : Vulnérabilité dans Siemens SCALANCE
Le 09 août 2022, l’éditeur a déclaré trois vulnérabilités qui affectent les produits SCALANCE dont une critique avec un score CVSSv3 à 9.1. Cette vulnérabilité permet à un attaquant authentifié avec des privilèges administrateur d’injecter du code arbitraire sur le système sous-jacent en tant que root. Excepté pour les produits de la famille SCALANCE SC-600, aucun correctif n’est pour le moment disponible pour corriger ces vulnérabilités. Il est donc grandement recommandé de restreindre l’accès au réseau de ces équipements à des IPs connues et de confiances, ainsi que de réduire les privilèges des comptes déjà configurés au strict nécessaire.
Liens :
- Avis du CERT-FR : CERTFR-2022-AVI-718
- https://cert-portal.siemens.com/productcert/html/ssa-710008.html
Autres vulnérabilités
CVE-2022-27925 et CVE-2022-37042 : Multiples vulnérabilités dans Zimbra
Le 30 mars 2022, l’éditeur a publié un correctif de sécurité pour la vulnérabilité CVE-2022-27925. Cette vulnérabilité permet à un attaquant authentifié avec des privilèges administrateur d’exécuter du code arbitraire à distance. Le composant vulnérable étant mboximport, et n’était réputé accessible qu’avec des identifiants administrateur valide.
Cependant, de nombreuses compromissions liées à cette vulnérabilité ont été identifiées par Volexity[1] sans avoir besoin d’une authentification au préalable.
Dans ce contexte, le 10 août 2022, Zimbra a publié un correctif pour la vulnérabilité CVE-2022-37042, qui correspond au contournement de la politique de sécurité utilisé lors de ces compromissions.
Le CERT-FR a connaissance de codes d’exploitations publics, ainsi que de l’exploitation massive de ces deux vulnérabilités.
Liens :
- Avis du CERT-FR : CERTFR-2022-AVI-291 – CVE-2022-27925
- Avis du CERT-FR : CERTFR-2022-AVI-736 – CVE-2022-37042
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24
- https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P24
- https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P31
- [1] Article de Volexity
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 15 au 21 août 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-742 : Multiples vulnérabilités dans Qnap QTS
- CERTFR-2022-AVI-743 : Vulnérabilité dans PostgreSQL JDBC
- CERTFR-2022-AVI-744 : Multiples vulnérabilités dans Apache OpenOffice
- CERTFR-2022-AVI-745 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-746 : Multiples vulnérabilités dans Splunk
- CERTFR-2022-AVI-747 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2022-AVI-748 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-749 : Vulnérabilité dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-750 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2022-AVI-751 : Vulnérabilité dans Cisco AsyncOS for Secure Web Appliance
- CERTFR-2022-AVI-752 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2022-AVI-753 : Vulnérabilité dans Microsoft Edge
- CERTFR-2022-AVI-754 : Multiples vulnérabilités dans Nagios XI
- CERTFR-2022-AVI-755 : Multiples vulnérabilités dans IBM Spectrum
- CERTFR-2022-AVI-756 : Vulnérabilité dans Apple Safari
- CERTFR-2022-AVI-757 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-758 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-AVI-546 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2022-AVI-646 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2022-AVI-736 : Multiples vulnérabilités dans Zimbra
