Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 20

CVE-2021-28798 : Vulnérabilité dans les produits QNAP

Le 21 mai 2021, l’éditeur a publié un avis de sécurité concernant une vulnérabilité permettant à un attaquant d’écrire un fichier arbitraire sur l’équipement, lui donnant la capacité d’exécuter du code arbitraire à distance. Cette vulnérabilité a un score CVSSv3 de 8,8. Compte tenu des attaques par rançongiciel ciblant actuellement les équipements QNAP, il est particulièrement recommandé d’appliquer les correctifs de l’éditeur et de veiller à appliquer les bonnes pratiques de sécurisation.

Liens :

CVE-2021-28663, CVE-2021-28664, CVE-2021-1905, CVE-2021-1906 : Multiple vulnérabilités dans les produits Android

Le 03 mai 2021, l’éditeur a corrigé plusieurs vulnérabilités dans le cadre de la mise à jour d’Android. Quatre d’entre elles ont été par la suite déclarées comme faisant l’objet d’exploitation dans des attaques ciblées. Il est fortement recommandé d’appliquer les mises à jour Android dès qu’elles sont disponibles.

Liens :

CVE-2021-22908 : Vulnérabilité dans Pulse Connect Secure

Le 21 mai 2021, l’éditeur a publié un correctif pour une vulnérabilité affectant la fonction de partage de fichiers Windows dans ses solutions Pulse Connect Secure. Cette vulnérabilité affecte les versions 9.0Rx et 9.1Rx qui ont déjà fait l’objet d’une alerte sécurité CERT-FR le 20 avril 2021 ([1]) suite à l’avis éditeur [2].

Il est important de noter que la version 9.1R11.4 qui corrige les différentes vulnérabilités à l’origine de l’alerte CERT-FR, ne corrige pas la CVE-2021-22908.

En attendant la mise à disposition d’une version corrigeant la CVE-2021-22908, il est primordial d’appliquer les mesures de contournement indiquées par l’éditeur :

  • appliquer le contournement Workaround-2104.xml pour les équipements en version antérieure à 9.1R11.4
  • appliquer le contournement Workaround-2105.xml pour les équipements en version 9.1R11.4

Liens :

Autres vulnérabilités

CVE-2021-28482 : Vulnérabilité dans Microsoft Exchange

Lors du Patch Tuesday du 13 avril 2021, l’éditeur avait corrigé plusieurs vulnérabilités critiques qui lui avait été remontées par une agence américaine. Des codes d’attaques sont désormais disponibles pour cette vulnérabilité critique dont le score CVSS3 est de 8,8. Le CERT-FR rappelle que le Patch Tuesday du 11 mai 2021 corrige également d’autres vulnérabilités affectant Microsoft Exchange et que l’application des correctifs est fortement recommandée.

Liens :

 

CVE-2021-21551 : Vulnérabilité dans Dell

Le 19 mai 2021, l’éditeur a publié un correctif concernant plusieurs défaillances dans le pilote dbutils, utilisé en particulier par les utilitaires de mise à jour des pilotes, du BIOS ou des micrologiciels pour les ordinateurs de la marque. Ces défaillances sont toutes associées à l’identifiant CVE-2021-21551 qui a un score CVSSv3 de 8,8. Ces vulnérabilités permettent à un attaquant d’élever ses privilèges locaux et d’exécuter du code en mode noyau. Le pilote est largement diffusé via des packages de mise à jour de micrologiciels ou via des utilitaires comme Dell Command Update, Dell Update, etc. Des codes d’attaque sont désormais publics, il est donc fortement recommandé de suivre les préconisations de l’éditeur pour remplacer ce pilote vulnérable.

Liens :


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 17 au 23 mai 2021, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :