Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 27
CVE-2021-24007 : Vulnérabilité dans Fortinet FortiMail
La vulnérabilité critique CVE-2021-24007 permet à un attaquant non authentifié d’exécuter du code arbitraire à distance par le biais d’injections SQL.
Le CERT-FR a constaté la présence de plusieurs interfaces d’administration de ce produit sur internet. En plus d’appliquer la mise à jour dans les plus brefs délais, le CERT-FR recommande également de ne pas laisser ce type d’interface de gestion librement accessible sur internet [1].
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-510/
- https://www.fortiguard.com/psirt/FG-IR-21-012
CVE-2020-36242, CVE-2021-3177, CVE-2021-27568 et CVE-2021-23358 : Multiples vulnérabilités dans IBM Spectrum Discover et Symphony
IBM a corrigé de multiples vulnérabilités dans Spectrum Discover et Spectrum Symphony. Parmi elles, quatre sont critiques avec un score cvssV3 supérieur à 9.
Ces vulnérabilités affectent des composants tiers, tels que Python ou encore Node.js. Elles permettent une exécution de code arbitraire à distance et une atteinte à la confidentialité des données.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-505/
- https://www.ibm.com/support/pages/node/6469481
- https://www.ibm.com/support/pages/node/6469363
Suivi des alertes
CVE-2021-34527 : Vulnérabilité dans Microsoft
Le 02 juillet 2021, l’éditeur a confirmé l’existence d’une vulnérabilité « jour zéro » (zero day) affectant le service spouleur d’impression (print spooler) dans toutes les versions de son système d’exploitation. L’existence de cette vulnérabilité a été révélée par la publication momentanée de codes d’attaques par des chercheurs en sécurité et des attaques ciblées sont très probablement déjà en cours. Pour plus de détails, veuillez vous référer à l’alerte CERTFR-2021-ALE-014.
Des mises à jour sont désormais disponibles pour toutes les versions de Windows. Microsoft a également émis des recommandations supplémentaires.
De multiples codes d’exploitations sont publiquement disponibles sur internet pour cette vulnérabilité.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Référence documentaire :
- [1] Guide ANSSI pour l’administration sécurisée
https://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 05 au 11 juillet 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-503 : Vulnérabilité dans Qnap HBS
- CERTFR-2021-AVI-504 : Multiples vulnérabilités dans Joomla
- CERTFR-2021-AVI-505 : Multiples vulnérabilités dans IBM Spectrum
- CERTFR-2021-AVI-506 : Vulnérabilité dans Microsoft Windows
- CERTFR-2021-AVI-507 : Vulnérabilité dans GitLab
- CERTFR-2021-AVI-508 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2021-AVI-509 : Multiples vulnérabilités dans F5 BIG-IP
- CERTFR-2021-AVI-510 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2021-AVI-511 : Vulnérabilité dans SonicWall Switch
- CERTFR-2021-AVI-512 : Multiples vulnérabilités dans le noyau Linux de Red Hat
