Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 11
CVE-2021-21193 : Vulnérabilité dans Google Chrome et Microsoft Edge
Le 12 mars 2021, Google a publié un correctif pour la vulnérabilité CVE-2021-21193. L’éditeur explique que celle-ci est due à une utilisation après libération (use after free) et qu’il a connaissance de l’existence d’un code d’exploitation. Le 16 mars 2021, Microsoft a répercuté ce correctif pour son navigateur Edge qui utilise le moteur de Chrome.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-192/
- https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-198/
- https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-21193
Vulnérabilité dans GitLab
Le 17 mars 2021, les dernières versions de GitLab sont publiées. Celles-ci corrigent une vulnérabilité critique qui permet à un attaquant non authentifié d’exécuter du code arbitraire sur la machine. Cette vulnérabilité n’est pas encore associée à un identifiant CVE, mais son score CVSSv3 est estimé à 9.9. [MàJ 29 mars 2021] Cette vulnérabilité porte désormais l’identifiant CVE-2021-22192.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-203
- https://about.gitlab.com/releases/2021/03/17/security-release-gitlab-13-9-4-released/
Suivi des alertes
CVE-2021-26855, CVE-2021-27065, CVE-2021-26857, CVE-2021-26858 : Multiples vulnérabilités dans Microsoft Exchange Server
Pour rappel, le 2 mars 2021 Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero-day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019. L’alerte a été mise à jour suite à la publication d’un outil par Microsoft. Celui-ci sert à empêcher les exploitations futures de la vulnérabilité CVE-2021-26855, rechercher les traces d’exploitation et éventuellement corriger les effets d’une compromission. Le CERT-FR insiste sur le fait que l’utilisation de cet outil ne dispense ni d’installer les mises à jour, ni de procéder à une recherche de compromission. De plus, la vulnérabilité CVE-2021-26855 fait toujours l’objet d’une exploitation massive.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/
- https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
CVE-2021-22986 : Vulnérabilité dans F5 BIG-IP
Le 10 mars 2021, F5 a corrigé plusieurs vulnérabilités critiques dans les produits BIG-IP, dont la vulnérabilité CVE-2021-22986 affectant l’interface iControl REST. Un attaquant pouvant atteindre cette interface peut exécuter du code arbitraire à distance. Des codes d’attaques publiques sont rapidement apparus sur internet et cette vulnérabilité est maintenant massivement exploitée. Le CERT-FR rappelle que d’une manière générale, l’accès aux interfaces de gestion doit impérativement être restreint, et que celles-ci ne doivent jamais être accessibles sur internet.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-006/
- https://support.f5.com/csp/article/K03009991
Autre vulnérabilité
CVE-2021-21086 : Adobe Acrobat et Reader
Le 17 mars 2021, un chercheur du Project Zero a publié une preuve de concept pour la vulnérabilité critique CVE-2021-21086 permettant une exécution de code arbitraire à distance dans Adobe Acrobat et Reader. Cette vulnérabilité a été corrigée de manière discrète par Adobe dans une mise à jour en date du 9 février 2021.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-102/
- https://helpx.adobe.com/security/products/acrobat/apsb21-09.html
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 15 au 21 mars 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-ALE-006 : [MàJ] Vulnérabilité dans F5 BIG-IP
- CERTFR-2021-AVI-191 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
- CERTFR-2021-AVI-192 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-193 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2021-AVI-194 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2021-AVI-195 : Multiples vulnérabilités dans SonicWall SMA100
- CERTFR-2021-AVI-196 : Multiples vulnérabilités dans Moodle
- CERTFR-2021-AVI-197 : [SCADA] Multiples vulnérabilités dans Moxa VPort
- CERTFR-2021-AVI-198 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-199 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2021-AVI-200 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2021-AVI-201 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-202 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2021-AVI-203 : Vulnérabilité dans GitLab
- CERTFR-2021-AVI-204 : Vulnérabilité dans Cisco RV132W et RV134W
- CERTFR-2021-AVI-205 : Multiples vulnérabilités dans F5 BIG-IP
- CERTFR-2021-AVI-206 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-207 : Vulnérabilité dans Xen
- CERTFR-2021-AVI-208 : Multiples vulnérabilités dans Tenable Nessus Agent
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2021-AVI-102 : Multiples vulnérabilités dans Adobe Acrobat et Acrobat Reader