Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 31
CVE-2017-12652, CVE-2019-12450, CVE-2019-11068, CVE-2020-1472, CVE-2019-17006 : Multiples vulnérabilités dans les produits Juniper
Le 3 août 2021, l’éditeur a déclaré de multiples vulnérabilités affectant Junos Space Log Collector, toutes avec un score CVSSv3 supérieur à 9 voire égal à 10.
Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l’intégrité des données.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-589/
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11209
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11209
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11209
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11209
- https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11209
CVE-2020-26867 : Vulnérabilité dans ARC Informatique PcVue ARC Informatique PcVue
Le 3 août 2021, l’éditeur a déclaré que de multiples vulnérabilités ont été découvertes dans ARC Informatique PcVue. Notamment, la CVE CVE-2020-26867, possède un score CVSSv3 de 9.8. En raison de la désérialisation de données non fiables, cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance sur le serveur back-end web et mobile. Un avis avait déjà fait l’objet d’une rédaction sur le site du CERT-FR. Il est disponible à l’adresse suivante : https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-685/.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-591/
- https://www.pcvuesolutions.com/index.php/support-a-services/resources/security-alerts-95138
CVE-2021-32588 : Vulnérabilité dans Fortinet FortiPortal
Le 4 août 2021, l’éditeur a déclaré une vulnérabilité affectant Fortinet FortinPortal avec un score CVSSv3 s’élevant à 9.3.
Une vulnérabilité liée à l’utilisation d’informations d’identification codées en dur (CWE-798) dans FortiPortal peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire à distance avec des droits administrateur en téléchargeant et en déployant des fichiers d’archives d’applications Web malveillantes.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-598/
- https://www.fortiguard.com/psirt/FG-IR-21-077
CVE-2021-1609 : Vulnérabilité dans Cisco Cisco Small Business Routers
Le 5 août 2021 l’éditeur a déclaré de multiples vulnérabilités dont une possédant un score CVSSv3 supérieur à 9 : la CVE-2021-1609. Il s’agit d’une vulnérabilité de niveau critique dans l’interface de gestion web de Cisco pour les routeurs Cisco Small Business, à laquelle a été attribué un score CVSSv3 de 9.8. Selon Cisco, la faille existe en raison d’une validation incorrecte des requêtes HTTP. Un attaquant distant et non authentifié pourrait exploiter la vulnérabilité en envoyant une requête HTTP spécialement conçue à un appareil vulnérable, ce qui entraînerait une exécution de code arbitraire ainsi que la possibilité de recharger l’appareil, provoquant ainsi un déni de service.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-600/
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv340-cmdinj-rcedos-pY8J3qfy
Multiples vulnérabilités dans NicheStack affectant Schneider Electric
Des chercheurs en sécurité ont révélé mercredi 14 vulnérabilités affectant une pile TCP/IP couramment utilisée dans des millions d’appareils de technologie opérationnelle (OT) fabriqués par pas moins de 200 fournisseurs et déployés dans des usines de fabrication, de production d’électricité, de traitement de l’eau et des secteurs d’infrastructures critiques.
Les failles, collectivement appelées « INFRA:HALT« , ciblent NicheStack, et permettent à un attaquant de réaliser une exécution de code à distance, un déni de service, une fuite d’informations, une usurpation d’identité TCP et enfin un empoisonnement de cache DNS.
NicheStack (alias pile InterNiche) est une pile TCP/IP à source fermée pour les systèmes embarqués, conçue pour fournir une connectivité Internet aux équipements industriels. Elle est intégrée par les principaux fournisseurs d’automatisation industrielle tels que Siemens, Mitsubishi Electric et Schneider Electric dans leurs automates programmables (PLC) et autres produits. Il n’existe pour l’heure aucun correctif pour Schneider Electric.
Liens :
- https://www.forescout.com/resources/infrahalt-discovering-mitigating-large-scale-ot-vulnerabilities/
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-217-01
- https://cert-portal.siemens.com/productcert/pdf/ssa-789208.pdf
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 02 au 08 août 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-584 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-585 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-586 : Vulnérabilité dans Mitel Interaction Recording
- CERTFR-2021-AVI-587 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2021-AVI-588 : Vulnérabilité dans MongoDB
- CERTFR-2021-AVI-589 : Multiples vulnérabilités dans Juniper Junos Space Log Collector
- CERTFR-2021-AVI-590 : Multiples vulnérabilités dans Google Android
- CERTFR-2021-AVI-591 : [SCADA] Multiples vulnérabilités dans ARC Informatique PcVue
- CERTFR-2021-AVI-592 : Vulnérabilité dans IBM AIX
- CERTFR-2021-AVI-593 : Multiples vulnérabilités dans Elasticsearch
- CERTFR-2021-AVI-594 : Multiples vulnérabilités dans GitLab
- CERTFR-2021-AVI-595 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-596 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-597 : Vulnérabilité dans Aruba ALE
- CERTFR-2021-AVI-598 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2021-AVI-599 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-600 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2021-AVI-601 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-602 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-603 : Multiples vulnérabilités dans Pulse Connect Secure
- CERTFR-2021-AVI-604 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2021-AVI-605 : Vulnérabilité dans F5 BIG-IP
