Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Vulnérabilités significatives de la semaine 45
CVE-2020-14750 : Oracle WebLogic
L’éditeur a émis une alerte de sécurité afin de signaler que le correctif mis à disposition le 20 octobre ne corrige pas complètement la vulnérabilité CVE-2020-14750. Cette vulnérabilité critique permet à un attaquant non authentifié d’exécuter un code arbitraire à distance.
L’éditeur a attribué le score CVSSv3 de 9.8 à cette vulnérabilité. Une mise à jour de son correctif du 20 octobre 2020 est disponible, veuillez-vous référer à l’alerte de l’éditeur pour obtenir les correctifs [1]. Dans le cas où le dernier correctif ne peut pas être déployé rapidement, il est vivement recommandé d’envisager de désactiver temporairement la console Weblogic. En effet, des codes d’exploitation sont disponibles publiquement sur internet.
Liens :
- [1] https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-022/
CVE-2020-16008, CVE-2020-16009, CVE-2020-16011 : Google Chrome
De multiples vulnérabilités ont été déclarées dans Google Chrome, dont deux avec un score supérieur à 9, à savoir CVE-2020-16008 et CVE-2020-16011.
Google indique que la vulnérabilité CVE-2020-16009 est activement exploitée dans le cadre d’attaques ciblées. Il est fortement recommandé de mettre à jour Google Chrome.
Liens :
- http://feedproxy.google.com/~r/GoogleChromeReleases/~3/fVIguMWF05I/stable-channel-update-for-desktop.html
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-703/
CVE-2020-16008, CVE-2020-16009, CVE-2020-16011 : Microsoft Edge
Le navigateur Edge étant désormais basé sur Chromium et utilisant aussi la bibliothèque de rendu de police FreeType, il est affecté par les mêmes vulnérabilités que citées au-dessus pour Google Chrome. Il est fortement recommandé de mettre à jour toutes les versions antérieures à 86.0.622.63.
Liens :
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200002
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-714/
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2020-ACT-009/
CVE-2020-16846, CVE-2020-25592: SaltStack
Trois vulnérabilités ont été découvertes dont deux avec un score critique. La première permettant exécution de code arbitraire sans authentification dans l’api salt du client Salt SSH par le biais du injection shell (CVE-2020-16846). La seconde est un contournement dans l’authentification lors de l’utilisation de l’API Salt via les valeurs « token » ou « eauth » (CVE-2020-25592). Un correctif est mis à disposition, veuillez vous référer à la publication de l’éditeur pour obtenir les correctifs [1].
Liens :
- [1] https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-712/
CVE-2020-3556 : Cisco AnyConnect Secure Mobility
Une vulnérabilité avec un impact élevé a été découverte dans la communication inter-processus (IPC) du client AnyConnect Secure Mobility à cause d’un manque d’authentification. Elle permet à l’attaquant d’exécuter une code arbitraire avec les privilèges de l’utilisateur ciblé. Cette vulnérabilité touche tous les clients AnyConnect des systèmes Windows, Linux et MacOS. Cisco n’a pas publié de correctif à ce jour mais propose une mesure de contournement [1]. Cisco met en garde sur les conséquences de cette mesure, en effet elle désactive les mises à jours automatiques de sécurité et peut causer des problèmes de connectivité.
Liens :
- [1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-ipc-KfQO9QhK
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-713/
CVE-2020-27930, CVE-2020-27932, CVE-2020-27950 : Apple
Trois vulnérabilités sur les produits Apple ont été découvertes par l’équipe Google Project Zero. Ces vulnérabilités permettent à un attaquant d’exécuter du code à arbitraire à distance (CVE-2020-27930), une élévation de privilège (CVE-2020-27932) et une atteinte à la confidentialité de la mémoire (CVE-2020-29750). Des codes d’exploitation sont accessibles sur Internet. Il est donc très fortement recommandé de mettre à jour les produits Apple, veuillez-vous référez aux publications de l’éditeur [1].
Liens :
Vulnérabilités antérieures
CVE-2020-3992 : VMware ESXi
Une mise à jour du correctif d’une vulnérabilité critique (CVE-2020-3992) ayant un score CVESSv3 de 9.8 a été publié par VMware. La mise à jour proposée ne corrige pas pleinement la CVE-2020-3992, il est donc fortement recommandé de mettre à jour VMware ESXi avec le dernier correctif publié.
Liens :
- https://www.vmware.com/security/advisories/VMSA-2020-0023.html
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-658/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 02 au 08 novembre 2020, le CERT-FR a émis les publications suivantes :
- CERTFR-2020-AVI-698 : Vulnérabilité dans Oracle Weblogic
- CERTFR-2020-AVI-699 : Multiples vulnérabilités dans Debian LTS
- CERTFR-2020-AVI-700 : Multiples vulnérabilités dans les produits Mitel
- CERTFR-2020-AVI-701 : Multiples vulnérabilités dans Google Android
- CERTFR-2020-AVI-702 : Multiples vulnérabilités dans GitLab
- CERTFR-2020-AVI-703 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2020-AVI-704 : Multiples vulnérabilités dans les produits F5
- CERTFR-2020-AVI-705 : [SCADA] Multiples vulnérabilités dans les produits Moxa
- CERTFR-2020-AVI-706 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2020-AVI-707 : Multiples vulnérabilités dans Foxit PhantomPDF
- CERTFR-2020-AVI-708 : Multiples vulnérabilités dans Adobe Acrobat et Acrobat Reader
- CERTFR-2020-AVI-709 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2020-AVI-710 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2020-AVI-711 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2020-AVI-712 : Multiples vulnérabilités dans SaltStack
- CERTFR-2020-AVI-713 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2020-AVI-714 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2020-AVI-715 : Multiples vulnérabilités dans le noyaux linux de SUSE
- CERTFR-2020-AVI-716 : Vulnérabilité dans Tenable Nessus Network Monitor
- CERTFR-2020-AVI-717 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2020-AVI-718 : Vulnérabilité dans Symantec CA Network Flow Analysis
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2020-ALE-018 : Vulnérabilité dans Cisco ASA et FTD