Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 50
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Schneider Electric | Modicon M580 CPU et M580 CPU Safety | CVE-2022-37300 | 9.8 | Atteinte à l'intégrité des données, Atteinte à la confidentialité des données | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1093 | Bulletin de sécurité Schneider (PDF) |
Schneider Electric | Modicon M580 CPU et M580 CPU Safety | CVE-2021-22779 | 9.8 | Contournement de l'authentification | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1093 | Bulletin de sécurité Schneider (PDF) |
Schneider Electric | APC Easy UPS Online Monitoring | CVE-2022-42971 | 9.8 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1093 | Bulletin de sécurité Schneider (PDF) |
Schneider Electric | APC Easy UPS Online Monitoring | CVE-2022-42970 | 9.8 | Contournement de la politique de sécurité | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1093 | Bulletin de sécurité Schneider (PDF) |
SAP | SAP Commerce | CVE-2022-42889 (Apache Commons Text) | 9.8 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1101 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14 |
SAP | SAP NetWeaver Process Integration | CVE-2022-41271 | 9.4 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1101 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14 |
SAP | SAP NetWeaver Process Integration | CVE-2022-41272 | 9.9 | Atteinte à l'intégrité et à la confidentialité des données et déni de service à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1101 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14 |
SAP | SAP BusinessObjects Business Intelligence | CVE-2022-41267 | 9.9 | Injection de requêtes forgées côté serveur (SSRF) | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1101 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14 |
Microsoft | Windows Secure Socket Tunneling Protocol (SSTP) | CVE-2022-44670 | 8.1 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1103 | https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44670 |
Microsoft | Microsoft Dynamics NAV, Microsoft Dynamics 365 Business Central | CVE-2022-41127 | 8.5 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1106 | https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41127 |
Microsoft | Windows Secure Socket Tunneling Protocol (SSTP) | CVE-2022-44676 | 8.1 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1103 | https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44676 |
Microsoft | PowerShell | CVE-2022-41076 | 8.5 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1103 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41076 |
Microsoft | Sharepoint | CVE-2022-44690 | 8.8 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1102 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44690 |
Microsoft | Sharepoint | CVE-2022-44693 | 8.8 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1102 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44693 |
VMware | Fusion, Workstation | CVE-2022-31705 | 9.3 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1096 | https://www.vmware.com/security/advisories/VMSA-2022-0033.html |
VMware | VMware vRealize Network Insight (vRNI) | CVE-2022-31702 | 9.8 | Exécution de code arbitraire à distance | 13/12/2022 | Pas d'information | CERTFR-2022-AVI-1096 | https://www.vmware.com/security/advisories/VMSA-2022-0031.html |
Citrix | Citrix ADC, Citrix Gateway | CVE-2022-27518 | 9.8 | Exécution de code arbitraire à distance | 13/12/2022 | Exploitée | CERTFR-2022-ALE-013 | https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518 |
Fortinet | FortiOS SSL-VPN | CVE-2022-42475 | 9.3 | Exécution de code arbitraire à distance | 12/12/2022 | Exploitée | CERTFR-2022-ALE-012 | https://www.fortiguard.com/psirt/FG-IR-22-398 |
CVE-2022-37300, CVE-2021-22779 : Multiples vulnérabilités dans les produits Schneider Electric
Le 13 décembre 2022, l'éditeur a choisi de retirer le micrologiciel Modicon M580 SV4.02 pour des raisons de qualité. Cette version n'est donc plus disponible en téléchargement. Des mesures d'atténuation ont été renseignées dans l'avis de sécurité de l'éditeur afin de réduire le risque d'exploitation des vulnérabilités qui est induit par le retrait de la version SV4.02.Liens :
- Avis CERTFR-2022-AVI-109 du 13 décembre 2022
/avis/CERTFR-2022-AVI-1093/ - Bulletin de sécurité Schneider du 13 décembre 2022
https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-221-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-221-01_EcoStruxure_Control_Expert_Modicon580_Security_Notification.pdf
Alertes CERT-FR
CVE-2022-27518 : Vulnérabilité dans les produits Citrix
Le 13 décembre 2022, Citrix a indiqué avoir connaissance d'une vulnérabilité de type jour-zéro (zero-day) affectant les produits Citrix ADC et Citrix Gateway. Cette vulnérabilité, immatriculée CVE-2022-27518, permet à un attaquant à distance et non authentifié d'exécuter du code arbitraire sur l'équipement. Pour plus d'informations, veuillez vous référer à l'alerte [1].Liens :
- [1] Alerte CERTFR-2022-ALE-013 du 13 décembre 2022
/alerte/CERTFR-2022-ALE-013/ - Bulletin de sécurité Citrix du 13 décembre 2022
https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
CVE-2022-27518 : Vulnérabilité dans les produits FortiOS SSL-VPN
Le 12 décembre 2022, l'éditeur Fortinet a publié un avis de sécurité mentionnant une vulnérabilité critique dans son produit FortiOS SSL-VPN. Cette vulnérabilité de débordement de tas permet à un attaquant distant non authentifié d'exécuter du code ou des commandes arbitraires via des requêtes spécifiquement conçues. Pour plus d'informations, veuillez vous référer à l'alerte [1].Liens :
- [1] Alerte CERTFR-2022-ALE-012 du 13 décembre 2022
/alerte/CERTFR-2022-ALE-012/ - Bulletin de sécurité Fortinet FG-IR-22-398 du 12 décembre 2022
https://www.fortiguard.com/psirt/FG-IR-22-398
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.