Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 35
: Vulnérabilité dans les produits Aruba
Le 31 août 2021, Aruba a publié un avis de sécurité annonçant la correction de 15 vulnérabilités affectant les produits ArubaOS et SD-WAN. Parmi ces vulnérabilités, la CVE-2021-37716 s’avère la plus critique, avec un score CVSSv3 de 9.8 sur 10. Cette vulnérabilité affecte le protocole PAPI utilisé pour les échanges entre les équipements de points d’accès sans fil et le serveur d’administration. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur le serveur d’administration ou les points d’accès grâce à la construction de paquets spécialement construits. Il est fortement recommandé d’appliquer les correctifs publiés par l’éditeur
Liens :
- https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-016.txt
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-668/
, : Multiples vulnérabilités dans les produits Moxa
Le 1er septembre 2021, l’éditeur a corrigé un grand nombre de vulnérabilités affectant ses équipements de gamme OnCell G3470A-LTE, WDR-3124A, TAP-323, WAC-1001 et WAC-2004. La présence de ces vulnérabilités est due à l’intégration par Moxa de versions anciennes du noyau Linux, de produits tiers tels que le client DHCP BusyBox, le client SSH DropBear et de bibliothèques (telles que glibc). Parmi ces vulnérabilités, la CVE-2016-2148 permet à un attaquant non authentifié d’exécuter du code arbitraire via le client DHCP BusyBox tandis que la CVE-2016-7406 permet également de mener ce type d’attaque via le client SSH de DropBear.
Il convient de noter que certaines gammes ne sont plus maintenues par l’éditeur et qu’elles ne bénéficient donc pas de correctifs de sécurité. Il s’agit des gammes WDR-3124A et WAC-2004.
Il est donc fortement recommandé de remplacer les équipements qui ne sont plus maintenus par l’éditeur et de procéder au déploiement des correctifs.
Liens :
- https://www.moxa.com/en/support/product-support/security-advisory/oncell-g3470a-wdr-3124a-cellular-gateways-router-vulnerabilities
- https://www.moxa.com/en/support/product-support/security-advisory/tap-323-wac-1001-2004-wireless-ap-bridge-client-vulnerabilities
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-669/
: Vulnérabilité dans Cisco Enterprise NFV Infrastructure Software
Le 1er septembre 2021, l’éditeur a publié un avis de sécurité indiquant avoir corrigé une vulnérabilité critique dans sa solution Enterprise NFV Infrastructure Software (NFVIS). La CVE-2021-34746 a un score CVSSv3 de 9.8 et permet à un attaquant non authentifié de contourner le mécanisme d’authentification TACACS pour se connecter à l’équipement à distance en tant qu’administrateur. Il est donc fortement recommandé d’appliquer le correctif sur les équipements vulnérables.
Liens :
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nfvis-g2DMVVh
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-672/
Suivi des alertes
CVE-2021-26084 : Vulnérabilité dans Atlassian Confluence Server et Data Center
Le 25 août 2021, l’éditeur a publié un avis de sécurité annonçant la correction d’une vulnérabilité critique dans sa solution Confluence. Dans son avis initial, l’éditeur indiquant que cette vulnérabilité permettait, dans certaines circonstances, à un attaquant d’exécuter du code arbitraire à distance sans être authentifié.
Le 3 septembre 2021, l’éditeur a corrigé son avis afin d’indiquer qu’un attaquant pouvait exploiter cette vulnérabilité sans être authentifié, quelle que soit la configuration du serveur.
Des codes d’exploitation ont rapidement été rendus publiques et l’éditeur, ainsi que d’autres sources, indiquent qu’elle est activement exploitée. Suite aux évolutions de contexte concernant cette vulnérabilité, le CERT-FR a publié une alerte.
Liens :
- https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-018/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-677/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 30 août au 05 septembre 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-663 : Vulnérabilité dans l’extension set_user de PostgreSQL
- CERTFR-2021-AVI-664 : Multiples vulnérabilités dans F5 BIG-IP
- CERTFR-2021-AVI-665 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-666 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-667 : Multiples vulnérabilités dans les produits GitLab
- CERTFR-2021-AVI-668 : Multiples vulnérabilités dans les produits Aruba
- CERTFR-2021-AVI-669 : [SCADA] Multiples vulnérabilités dans les produits Moxa
- CERTFR-2021-AVI-670 : Multiples vulnérabilités dans les produits Elastic
- CERTFR-2021-AVI-671 : Multiples vulnérabilités dans IBM Spectrum Protect Plus
- CERTFR-2021-AVI-672 : Vulnérabilité dans Cisco Enterprise NFV Infrastructure Software
- CERTFR-2021-AVI-673 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-674 : Multiples vulnérabilités dans Nagios XI
- CERTFR-2021-AVI-675 : Vulnérabilité dans les produits F-Secure
