Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 32

CVE-2021-26424, CVE-2021-26432 et CVE-2021-36942 : Multiples vulnérabilités dans Microsoft Windows

A l’occasion de sa mise à jour mensuelle d’août 2021, Microsoft a corrigé quarante-quatre vulnérabilités. Deux d’entre elles ont un score CVSSv3 supérieur à 9.

La première est la vulnérabilité CVE-2021-26424. Elle affecte la pile TCP/IP de Windows et est exploitable par une machine virtuelle qui envoie une paquet ipv6 malveillant à son hôte Hyper-V.

La deuxième, CVE-2021-26432, affecte le pilote de représentation externe des données (XDR) du protocole d’appel de procédure à distance (RPC) qui participe au système de fichier réseau (NFS). Un attaquant ayant accès en lecture et écriture au fichier Rpcxdr.sys peut exécuter arbitrairement du code à distance.

De plus, Microsoft a également publié un correctif pour la vulnérabilité CVE-2021-36942, aussi appelée « PetitPotam ». Le CERT-FR avait évoqué cette vulnérabilité, qui permet un contournement d’authentification, dans le bulletin d’actualité CERTFR-2021-ACT-032.

Liens :

CVE-2021-33698, CVE-2021-33690 : Multiples vulnérabilités dans les produits SAP

Parmi les vulnérabilités corrigées lors de la mise à jour mensuelle de SAP, deux ont un score CVSSv3 supérieur à 9.

La vulnérabilité CVE-2021-33698 affecte Business One et permet un téléversement de fichier arbitraire pouvant conduire à une exécution de code arbitraire à distance.

La vulnérabilité CVE-2021-33690 affecte NetWeaver Development Infrastructure. Celle-ci permet de contrefaire des requêtes côté serveur.

Liens :

CVE-2016-20009 : Vulnérabilité dans les produits Siemens AGT et SGT

Siemens indique que ses gammes de produits AGT et SGT utilisent des composants RockWell Automation / Allen-Bradley. Si ces composants utilisent le système d’exploitation VxWorks de Wind River en version 6.5 à 7, ils peuvent être vulnérables à un débordement de tampon conduisant à une exécution de code arbitraire à distance. Siemens note que l’application des mises à jour recommandées par RockWell Automation / Allen-Bradley peut causer des incompatibilités et recommande de prendre contact avec son support technique. L’application des mesures de défense en profondeur évoquées dans l’avis de Siemens est donc requise.

Liens :

CVE-2021-36036, CVE-2021-36029, CVE-2021-36021, CVE-2021-36024, CVE-2021-36025, CVE-2021-36034, CVE-2021-36035, CVE-2021-36040, CVE-2021-36041, CVE-2021-36042, CVE-2021-36022, CVE-2021-36023, CVE-2021-36028, CVE-2021-36033 : Multiples vulnérabilités dans Magento

Le 11 août 2021, Adobe a publié des correctifs pour de multiples vulnérabilités critiques qui permettent une exécution de code arbitraire à distance ainsi qu’un contournement de la politique de sécurité dans Magento.

Liens :

 

CVE-2021-20032 : Vulnérabilité dans SonicWall Analytics

La vulnérabilité CVE-2021-20032 affecte l’interface Java Debug Wire Protocol (JDWP) de SonicWall Analytics. Elle permet une exécution de code arbitraire à distance et son score CVSSv3 est 9.8.

Liens :

CVE-2021-31166 : Vulnérabilité dans les panneaux de contrôle Schneider Electric SHFK-MT-104

Les panneaux de contrôles SHFK-MT-104 sont concernés par la vulnérabilité CVE-2021-31166 affectant la pile HTTP de Microsoft Windows. Le score CVSSv3 est 9.8 et son impact est une exécution de code arbitraire à distance.

Liens :

 

CVE-2021-22935 et CVE-2021-22937: Multiples vulnérabilités dans Pulse Secure Connect

Le 02 août 2021, l’éditeur a déclaré deux vulnérabilités affectant son produit Pulse Connect Secure pour les versions antérieures à 9.1R12. Le score CVSSv3 est commun pour ces deux vulnérabilités et s’élève à 9.1.
La première vulnérabilité référencée par l’identifiant CVE-2021-22935 permet à un administrateur authentifié d’effectuer une injection de commande via un paramètre web non sécurisé.
La seconde vulnérabilité référencée par l’identifiant CVE-2021-22937 permet à un administrateur authentifié d’effectuer une écriture de fichier via une archive malveillante téléversée dans l’interface web de l’administrateur.

Liens :

 

Suivi des alertes

CVE-2021-36958 : Vulnérabilité dans Microsoft Windows

Après avoir publié un correctif pour la vulnérabilité CVE-2021-34481 à l’occasion de sa mise à jour mensuelle d’août 2021, Microsoft a annoncé qu’une autre vulnérabilité, CVE-2021-36958, affecte le spouleur d’impression de Windows. Aucun correctif n’est disponible pour l’instant. L’alerte CERT-FR propose des mesures de contournement.

Liens :

 

Autres vulnérabilités

CVE-2021-1585 : Vulnérabilité dans Cisco Adaptive Security Device Manager (ASDM) Launcher

Cisco a publié un correctif pour la vulnérabilité CVE-2021-1585 permettant une exécution de code arbitraire à distance.

Liens :

 

CVE-2020-25066 : Vulnérabilité dans les coupleurs de bus TM3 de Schneider Electric

Le 10 août 2021, Schneider Electric a publié un correctif pour la vulnérabilité CVE-2020-25066 affectant le serveur HTTP  Treck de ses coupleurs de bus TM3.

Pour rappel, cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance et son score CVSSv3 est 10.

Liens :

 

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 09 au 15 août 2021, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :