Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 16
CVE-2021-0248 et CVE-2021-0254 : Vulnérabilités dans les produits de Juniper
La vulnérabilité CVE-2021-0248 est liée à l’existence de mots de passe par défaut qui permettraient à un attaquant ayant accès à l’interface d’administration des équipements de série NFX de pouvoir s’authentifier avec des privilèges élevés. La mise à jour des équipements NFX affectés est donc impérative.
La vulnérabilité CVE-2021-0254 est un dépassement de tampon dans le service overlayd de Junos OS utilisé dans le cadre de la prise en charge des VXLAN. Cette vulnérabilité permet à un attaquant non authentifié de provoquer un déni de service, ou potentiellement une exécution de code arbitraire. Le service overlayd est activé par défaut sur les équipements de gamme MX, ACX et QFX ou toute autre plate-forme configurée pour prendre en charge des VXLAN. La mise à jour est donc fortement recommandée.
Liens :
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11141&cat=SIRT_1&actp=LIST
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11147&cat=SIRT_1&actp=LIST
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-290/
: Vulnérabilité dans Aruba ClearPass Policy Manager
Cette vulnérabilité dans l’interface d’administration Web de ClearPass est de type SSRF et est valorisée avec un score CVSS3 de 9.8. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire à distance et de prendre le contrôle de l’équipement. L’application du correctif est fortement recommandée. Par ailleurs, il est rappelé qu’une interface d’administration ne doit pas être accessible depuis un réseau non sécurisé.
Liens :
- https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-009.txt
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-292/
: Vulnérabilité dans Symantec Security Analytics
Cette vulnérabilité, de score CVSS3 9.8, permet à un attaquant non authentifié, ayant accès à l’interface d’administration de Security Analytics, d’exécuter du code arbitraire à distance avec des privilèges élevés. L’application du correctif est fortement recommandée. Par ailleurs, il est rappelé qu’une interface d’administration ne doit pas être accessible depuis un réseau non sûr.
Liens :
- https://support.broadcom.com/security-advisory/content/0/0/SYMSA17969
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-294/
: Multiples vulnérabilités dans les produits Oracle
Les vulnérabilités CVE-2021-2136 et CVE-2021-2135 sont des vulnérabilités ayant un score de 9.8 (CVSS3). Elles affectent Oracle WebLogic et permettent à un attaquant non authentifié ayant accès à l’interface IIOP de prendre le contrôle du serveur.
La vulnérabilité CVE-2020-17530 est une vulnérabilité dont le score CVSS3 est de 9.8. Elle affecte MySQL Entreprise Monitor et permet à un attaquant non authentifié de prendre le contrôle du serveur.
La CVE-2020-1472 affecte les produits Oracle ZFS Storage Appliance. Cette vulnérabilité non détaillée a un score CVSS3 de 10 et permet de prendre le contrôle complet de l’équipement.
Les vulnérabilités CVE-2021-2177, CVE-2021-2248 et CVE-2021-2221 ont des scores CVSS3 de respectivement 10, 10 et 9.6. Elles affectent la solution Secure Global Desktop. Ces trois vulnérabilités permettent de compromettre les différents composants de la solution (passerelle, serveur et client).
Il est recommandé d’appliquer les correctifs de sécurité sur ces produits.
Liens :
- https://www.oracle.com/security-alerts/cpuapr2021.html
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-300
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-296
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-299/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-298/
CVE-2021-28799 : Vulnérabilité dans les produits QNAP
Cette vulnérabilité affecte les équipements QNAP utilisant la solution HBS 3 Hybrid Backup Sync. Un attaquant non authentifié peut contourner la politique de contrôle d’accès et prendre le contrôle de l’équipement. Cette vulnérabilité est particulièrement critique, il est fortement recommandé d’appliquer le correctif proposé par l’éditeur.
- https://www.qnap.com/fr-fr/security-advisory/qsa-21-13
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-307/
CVE-2020-27221 : Vulnérabilité dans IBM Db2
Cette vulnérabilité touche l’environnement d’exécution IBM Java et affecte IBM Db2. Elle peut permettre à un attaquant d’exécuter du code arbitraire à distance ou de provoquer un déni de service. L’éditeur a établi un score CVSS de 9.8.
Liens :
- https://www.ibm.com/support/pages/node/6446277
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-310/
Suivi des alertes
CVE-2021-22893 : Vulnérabilité dans Pulse Connect Secure
Le 20 avril 2021, Pulse Secure a publié un bulletin de sécurité concernant la vulnérabilité CVE-2021-22893 (cf. section Documentation). Celle-ci permet à un attaquant non authentifié d’exécuter du code arbitraire à distance. L’éditeur n’a pas encore publié de correctif mais propose un outil de contrôle d’intégrité et un contournement à appliquer après avoir effectué une mise à jour vers la version 9.1R11.3 (via « factory reset » ou sur un nouvel équipement). Le 20 avril 2021, le CERT-FR a publié une alerte de sécurité CERTFR-2021-ALE-007
Liens :
- https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-007/
Vulnérabilités antérieures
CVE-2021-1472 et CVE-2021-1473 : Multiples vulnérabilités dans les routeurs Cisco Small Business RV
Le 20 avril 2021, un chercheur a publié ses travaux concernant 2 vulnérabilités que Cisco avait corrigé le 07 avril 2021. Les CVE-2021-1472 et CVE-2021-1473 affectent les routeurs de gamme Small Business RV et peuvent être combinées par un attaquant non authentifié ayant accès à l’interface d’administration d’exécuter du code arbitraire à distance. Des codes d’attaques sont susceptibles d’être disponibles à très court terme, il est fortement recommandé d’appliquer les correctifs sans délai.
Liens :
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-bypass-inject-Rbhgvfdx
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-246/
CVE-2021-29447 : vulnérabilité dans WordPress
Le 15 avril, l’éditeur a corrigé une vulnérabilité de type XXE dans une fonction de téléchargement de fichier de WordPress (utilisant PHP versions 8 ou ultérieures). Cette vulnérabilité de type XXE (XML eXternal Entity) permet à un attaquant authentifié d’exécuter du code arbitraire au niveau du serveur WordPress. Des codes d’exploitation ont été publiés récemment, il est donc important d’appliquer le correctif.
Liens :
- https://wordpress.org/news/2021/04/wordpress-5-7-1-security-and-maintenance-release/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-270/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 19 au 25 avril 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-ALE-007 : [MàJ] Vulnérabilité dans Pulse Connect Secure
- CERTFR-2021-AVI-280 : Multiples vulnérabilités dans Mitel MiCollab
- CERTFR-2021-AVI-281 : Vulnérabilité dans OpenSSH
- CERTFR-2021-AVI-282 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2021-AVI-283 : Vulnérabilité dans Juniper Junos OS
- CERTFR-2021-AVI-284 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-285 : Vulnérabilité dans VMware NSX-T
- CERTFR-2021-AVI-286 : Multiples vulnérabilités dans Mozilla Thunderbird
- CERTFR-2021-AVI-287 : Multiples vulnérabilités dans Mozilla Firefox
- CERTFR-2021-AVI-288 : Multiples vulnérabilités dans F5 BIG-IP
- CERTFR-2021-AVI-289 : Vulnérabilité dans IBM WebSphere
- CERTFR-2021-AVI-290 : Multiples vulnérabilités dans les produits Juniper
- CERTFR-2021-AVI-291 : Vulnérabilité dans Sonicwall Email Security
- CERTFR-2021-AVI-292 : Multiples vulnérabilités dans les produits Aruba
- CERTFR-2021-AVI-293 : Vulnérabilité dans IBM WebSphere Application Server
- CERTFR-2021-AVI-294 : Vulnérabilité dans Symantec Security Analytics
- CERTFR-2021-AVI-295 : Multiples vulnérabilités dans Oracle Database
- CERTFR-2021-AVI-296 : Multiples vulnérabilités dans Oracle MySQL
- CERTFR-2021-AVI-297 : Multiples vulnérabilités dans Oracle Java SE
- CERTFR-2021-AVI-298 : Multiples vulnérabilités dans Oracle Virtualization
- CERTFR-2021-AVI-299 : Multiples vulnérabilités dans Oracle Systems
- CERTFR-2021-AVI-300 : Multiples vulnérabilités dans Oracle WebLogic
- CERTFR-2021-AVI-301 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-302 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-303 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-304 : Vulnérabilité dans Drupal
- CERTFR-2021-AVI-305 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2021-AVI-306 : Vulnérabilité dans IBM WebSphere Application Server
- CERTFR-2021-AVI-307 : Vulnérabilité dans QNAP HBS 3 Hybrid Backup Sync
- CERTFR-2021-AVI-308 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2021-AVI-309 : Vulnérabilité dans Wireshark
- CERTFR-2021-AVI-310 : Multiples vulnérabilités dans IBM Db2
- CERTFR-2021-AVI-311 : Multiples vulnérabilités dans Microsoft Edge
