Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 23
CVE-2021-31962, CVE-2021-33739 et CVE-2021-31959 : Multiple vulnérabilités dans Microsoft Windows
A l’occasion de son correctif mensuel du mois de juin 2021, Microsoft a corrigé quarante-neuf vulnérabilités.
La vulnérabilité CVE-2021-31962 concerne l’AppContainer Kerberos et permet un contournement de la politique de sécurité. Son score CVSSv3 est 9,4.
La vulnérabilité CVE-2021-33739 est de type élévation de privilèges et affecte la bibliothèque principale du Gestionnaire de fenêtrage Microsoft. Cette vulnérabilité a fait l’objet d’une alerte CERT-FR (cf. section Suivi des alertes) car elle est activement exploitée dans le cadre d’attaques ciblées. De plus, des preuves de concept sont disponibles sur internet.
Des preuves de concept sont également accessibles sur internet pour la vulnérabilité CVE-2021-31959 qui affecte un moteur de scripts de Windows et peut conduire à une exécution de code arbitraire à distance. Toutefois, l’exploitation de cette vulnérabilité est considérée complexe d’où un score plus faible de 6,4
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-448/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31962
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-012/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33739
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31959
CVE-2021-31950 : Vulnérabilité dans Microsoft SharePoint
Des codes d’exploitation sont disponibles pour la vulnérabilité CVE-2021-31950, corrigée par Microsoft lors mise à jour de juin 2021. Cette vulnérabilité permet une usurpation d’identité.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-447/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31950
CVE-2021-30553 : Vulnérabilité dans Google Chrome
Google annonce avoir connaissance de codes d’exploitation pour la vulnérabilité CVE-2021-30553.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-455/
- https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop.html
CVE-2021-33204 : Vulnérabilité dans PostgreSQL Partition Manager
La vulnérabilité CVE-2021-33204 permet une exécution de code arbitraire à distance si l’extension Partition Manager (pg_partman) est activée. Son score CVSSv3 est 9,8.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-438/
- https://www.postgresql.org/about/news/pg_partman-451-released-2235/
CVE-2021-27610 : Vulnérabilité dans SAP NetWeaver
A l’occasion de ses mises à jour mensuelles, SAP a publié un correctif pour la vulnérabilité CVE-2021-27610 (CVSSv3 9,0) qui permet de contourner l’authentification du serveur NetWeaver ABAP et de la plateforme ABAP.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-440/
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999
CVE-2015-7853 et CVE-2015-7705 : Multiples vulnérabilités dans Siemens SIMATIC
Les vulnérabilités CVE-2015-7853 et CVE-2015-7705 sont les plus critiques parmi la quinzaine affectant le client NTP de SIMATIC NET CP 443-1 OPC UA. Leur score CVSSv3 est de 9,8 car elles permettent d’exécuter du code arbitraire à distance. De plus, aucun correctif n’est disponible ni pour ces vulnérabilités, ni pour les autres décrites dans l’avis de sécurité ssa-211752. Toutefois Siemens indique que la synchronisation NTP n’est pas activée par défaut pour ce produit. Le constructeur invite à la désactiver ou à filtrer les communications sur le port UDP 123 des équipements vulnérables.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-442/
- https://cert-portal.siemens.com/productcert/pdf/ssa-211752.pdf
CVE-2021-22765, CVE-2021-22767 et CVE-2021-22768 : Multiples vulnérabilités dans Schneider Electric PowerLogic EGX100 et EGX300
Les vulnérabilités CVE-2021-22765, CVE-2021-22767 et CVE-2021-22768 permettent une exécution de code arbitraire à distance et sont jugées critiques avec un score CVSSv3 de 9,8. Comme les produits PowerLogic EGX100 et EGX300 sont en fin de vie, ceux-ci ne recevront pas de correctifs. Schneider Electric recommande de bloquer les communications HTTP à leur destination.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-443/
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-159-03
Suivi des alertes
CVE-2021-21985 : Vulnérabilité dans VMware vCenter Server
Le 25 mai 2021, VMware a publié un correctif pour la vulnérabilité CVE-2021-21985 affectant le greffon Virtual SAN Health Check qui est installé par défaut dans vCenter Server.
L’exploitation de cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code arbitraire à distance avec un haut niveau de privilèges. De plus, des codes d’attaques sont disponibles publiquement pour la vulnérabilité CVE-2021-21985 et le CERT-FR a connaissance d’exploitations actives de celle-ci.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-011/
- https://www.vmware.com/security/advisories/VMSA-2021-0010.html
CVE-2021-31199, CVE-2021-31201, CVE-2021-31955, CVE-2021-31956, CVE-2021-33739, CVE-2021-33742 : Multiples vulnérabilités dans Microsoft Windows
A l’occasion de sa mise à jour mensuelle de juin 2021, Microsoft a publié des correctifs, entre autres, pour six vulnérabilités qui sont activement exploitées dans le cadre d’attaques ciblées.
Quatre de ces vulnérabilités (CVE-2021-31199, CVE-2021-31201, CVE-2021-31956 et CVE-2021-33739) permettent une élévation de privilège, la vulnérabilité CVE-2021-31955 concerne une fuite d’information, enfin la vulnérabilité CVE-2021-33742 donne à un attaquant la possibilité d’exécuter du code arbitraire à distance.
Lorsque ces vulnérabilités sont enchaînées, elles permettent à un attaquant de prendre complètement la main sur une machine si un utilisateur se rend sur un site malveillant.
De plus, comme évoqué dans la section précédente, des preuves de concept sont disponibles sur internet pour la vulnérabilité CVE-2021-33739.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-012/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31199
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31201
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31955
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31956
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33739
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33742
Vulnérabilités antérieures
CVE-2021-1497 et CVE-2021-1498 : Multiples vulnérabilités dans Cisco HyperFlex HX
Des codes d’exploitations sont disponibles pour les vulnérabilités critiques CVE-2021-1497 et CVE-2021-1498 qui permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance sur Cisco HyperFlex HX. Leur score CVSSv3 est de 9,8.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-350/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 07 au 13 juin 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-ALE-011 : Vulnérabilité dans VMware vCenter Server
- CERTFR-2021-ALE-012 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2021-AVI-436 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2021-AVI-437 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-438 : Vulnérabilité dans PostgreSQL Partition Manager
- CERTFR-2021-AVI-439 : Vulnérabilité dans Microsoft Edge
- CERTFR-2021-AVI-440 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2021-AVI-441 : Multiples vulnérabilités dans Google Android
- CERTFR-2021-AVI-442 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-443 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2021-AVI-444 : Multiples vulnérabilités dans Adobe Acrobat et Reader
- CERTFR-2021-AVI-445 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2021-AVI-446 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2021-AVI-447 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2021-AVI-448 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2021-AVI-449 : Vulnérabilité dans Microsoft .Net
- CERTFR-2021-AVI-450 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2021-AVI-451 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-452 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-453 : Multiples vulnérabilités dans Xen
- CERTFR-2021-AVI-454 : Multiples vulnérabilités dans les produits Palo Alto Networks
- CERTFR-2021-AVI-455 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-456 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2021-AVI-457 : Vulnérabilité dans MongoDB Go Driver
- CERTFR-2021-AVI-458 : Multiples vulnérabilités dans Nagios XI
- CERTFR-2021-AVI-459 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2021-AVI-460 : Multiples vulnérabilités dans Citrix Hypervisor
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2021-ALE-008 : Multiples vulnérabilités dans Exim
- CERTFR-2021-ALE-009 : [MàJ] Vulnérabilité dans Microsoft Windows
- CERTFR-2021-AVI-253 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2021-AVI-341 : Multiples vulnérabilités les produits Stormshield
