Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 32
CVE-2021-26424, CVE-2021-26432 et CVE-2021-36942 : Multiples vulnérabilités dans Microsoft Windows
A l’occasion de sa mise à jour mensuelle d’août 2021, Microsoft a corrigé quarante-quatre vulnérabilités. Deux d’entre elles ont un score CVSSv3 supérieur à 9.
La première est la vulnérabilité CVE-2021-26424. Elle affecte la pile TCP/IP de Windows et est exploitable par une machine virtuelle qui envoie une paquet ipv6 malveillant à son hôte Hyper-V.
La deuxième, CVE-2021-26432, affecte le pilote de représentation externe des données (XDR) du protocole d’appel de procédure à distance (RPC) qui participe au système de fichier réseau (NFS). Un attaquant ayant accès en lecture et écriture au fichier Rpcxdr.sys peut exécuter arbitrairement du code à distance.
De plus, Microsoft a également publié un correctif pour la vulnérabilité CVE-2021-36942, aussi appelée « PetitPotam ». Le CERT-FR avait évoqué cette vulnérabilité, qui permet un contournement d’authentification, dans le bulletin d’actualité CERTFR-2021-ACT-032.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-618/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26424
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26432
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36942
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-032/
CVE-2021-33698, CVE-2021-33690 : Multiples vulnérabilités dans les produits SAP
Parmi les vulnérabilités corrigées lors de la mise à jour mensuelle de SAP, deux ont un score CVSSv3 supérieur à 9.
La vulnérabilité CVE-2021-33698 affecte Business One et permet un téléversement de fichier arbitraire pouvant conduire à une exécution de code arbitraire à distance.
La vulnérabilité CVE-2021-33690 affecte NetWeaver Development Infrastructure. Celle-ci permet de contrefaire des requêtes côté serveur.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-607/
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=582222806
CVE-2016-20009 : Vulnérabilité dans les produits Siemens AGT et SGT
Siemens indique que ses gammes de produits AGT et SGT utilisent des composants RockWell Automation / Allen-Bradley. Si ces composants utilisent le système d’exploitation VxWorks de Wind River en version 6.5 à 7, ils peuvent être vulnérables à un débordement de tampon conduisant à une exécution de code arbitraire à distance. Siemens note que l’application des mises à jour recommandées par RockWell Automation / Allen-Bradley peut causer des incompatibilités et recommande de prendre contact avec son support technique. L’application des mesures de défense en profondeur évoquées dans l’avis de Siemens est donc requise.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-608/
- https://cert-portal.siemens.com/productcert/pdf/ssa-553445.pdf
CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36022, CVE-2021-36023, CVE-2021-36028, CVE-2021-36033 : Multiples vulnérabilités dans Magento
Le 11 août 2021, Adobe a publié des correctifs pour de multiples vulnérabilités critiques qui permettent une exécution de code arbitraire à distance ainsi qu’un contournement de la politique de sécurité dans Magento.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-609/
- https://helpx.adobe.com/security/products/magento/apsb21-64.html
CVE-2021-20032 : Vulnérabilité dans SonicWall Analytics
La vulnérabilité CVE-2021-20032 affecte l’interface Java Debug Wire Protocol (JDWP) de SonicWall Analytics. Elle permet une exécution de code arbitraire à distance et son score CVSSv3 est 9.8.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-613/
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0018
CVE-2021-31166 : Vulnérabilité dans les panneaux de contrôle Schneider Electric SHFK-MT-104
Les panneaux de contrôles SHFK-MT-104 sont concernés par la vulnérabilité CVE-2021-31166 affectant la pile HTTP de Microsoft Windows. Le score CVSSv3 est 9.8 et son impact est une exécution de code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-622/
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-222-08
CVE-2021-22935 et CVE-2021-22937: Multiples vulnérabilités dans Pulse Secure Connect
Le 02 août 2021, l’éditeur a déclaré deux vulnérabilités affectant son produit Pulse Connect Secure pour les versions antérieures à 9.1R12. Le score CVSSv3 est commun pour ces deux vulnérabilités et s’élève à 9.1.
La première vulnérabilité référencée par l’identifiant CVE-2021-22935 permet à un administrateur authentifié d’effectuer une injection de commande via un paramètre web non sécurisé.
La seconde vulnérabilité référencée par l’identifiant CVE-2021-22937 permet à un administrateur authentifié d’effectuer une écriture de fichier via une archive malveillante téléversée dans l’interface web de l’administrateur.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-603/
- https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44858/?kA23Z000000L6oy
Suivi des alertes
CVE-2021-36958 : Vulnérabilité dans Microsoft Windows
Après avoir publié un correctif pour la vulnérabilité CVE-2021-34481 à l’occasion de sa mise à jour mensuelle d’août 2021, Microsoft a annoncé qu’une autre vulnérabilité, CVE-2021-36958, affecte le spouleur d’impression de Windows. Aucun correctif n’est disponible pour l’instant. L’alerte CERT-FR propose des mesures de contournement.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36958
- https://kb.cert.org/vuls/id/131152
Autres vulnérabilités
CVE-2021-1585 : Vulnérabilité dans Cisco Adaptive Security Device Manager (ASDM) Launcher
Cisco a publié un correctif pour la vulnérabilité CVE-2021-1585 permettant une exécution de code arbitraire à distance.
Liens :
CVE-2020-25066 : Vulnérabilité dans les coupleurs de bus TM3 de Schneider Electric
Le 10 août 2021, Schneider Electric a publié un correctif pour la vulnérabilité CVE-2020-25066 affectant le serveur HTTP Treck de ses coupleurs de bus TM3.
Pour rappel, cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance et son score CVSSv3 est 10.
Liens :
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2020-353-02
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-018/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-836/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 09 au 15 août 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-606 : [SCADA] Vulnérabilité dans Moxa EDS-405A
- CERTFR-2021-AVI-607 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2021-AVI-608 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-609 : Multiples vulnérabilités dans Magento
- CERTFR-2021-AVI-610 : Vulnérabilité dans Citrix ShareFile storage zones controller
- CERTFR-2021-AVI-611 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-612 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-613 : Vulnérabilité dans SonicWall Analytics
- CERTFR-2021-AVI-614 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2021-AVI-615 : Multiples vulnérabilités dans F-Secure SAFE Browser
- CERTFR-2021-AVI-616 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2021-AVI-617 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2021-AVI-618 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2021-AVI-619 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2021-AVI-620 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2021-AVI-621 : Multiples vulnérabilités dans les produits Palo Alto Networks
- CERTFR-2021-AVI-622 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2021-AVI-623 : Multiples vulnérabilités dans Mozilla Thunderbird
- CERTFR-2021-AVI-624 : Vulnérabilité dans Microsoft Windows
- CERTFR-2021-AVI-625 : Multiples vulnérabilités dans Drupal
- CERTFR-2021-AVI-626 : Vulnérabilité dans PostgreSQL
- CERTFR-2021-AVI-627 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-628 : Vulnérabilité dans le noyau Linux d’Ubuntu