Objet: Bulletin d’actualité CERTFR-2021-ACT-041

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 37

CVE-2020-10531, CVE-2017-14952 : Multiples vulnérabilités dans IBM DataPower Gateway

Le 13 septembre 2021, l’éditeur a déclaré deux vulnérabilités critiques ayant un score CVSSv3 de 9.8. Ces vulnérabilités affectent le projet ICU (International Components for Unicode) qui est utilisé par le produit IBM DataPower Gateway. Elles permettent à un attaquant de pouvoir exécuter du code arbitraire à distance sur le système ainsi que de provoquer un dénis de service.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-697/
• https://www.ibm.com/support/pages/node/6488025

CVE-2021-30633, CVE-2021-30632 : Multiples vulnérabilités dans les produits Google Chrome

Deux vulnérabilités de type « jour-zéro » (zero-day) affectant Chrome ont étaient publiées par Google. Par ailleurs, l’éditeur a mentionné que des codes d’exploitations étaient disponibles pour ces vulnérabilités.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-701/
• https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop.html

CVE-2021-30858, CVE-2021-30860 : Multiples vulnérabilités dans les produits Apple

Le 13 septembre 2021, l’éditeur a corrigé deux vulnérabilités qui affectent les produits macOS, iOS, iPadOS, watchOS et Safari.
La première immatriculée CVE-2021-30860 permet de réaliser une exécution de code arbitraire non authentifiée via un PDF malicieux. La seconde, CVE-2021-20858, permet l’exécution d’un code arbitraire via un contenu web malicieux. L’éditeur indique que ces vulnérabilités sont activement exploitées.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-698/
• https://support.apple.com/en-gb/HT212808
• https://support.apple.com/en-gb/HT212804
• https://support.apple.com/en-gb/HT212805
• https://support.apple.com/en-gb/HT212804
• https://support.apple.com/en-gb/HT212806

CVE-2021-31891, CVE-2021-27391, CVE-2021-37184, CVE-2021-33719 : Multiples vulnérabilités dans les produits Siemens

Le 14 septembre 2021, l’éditeur a déclaré 4 vulnérabilités ayant un score CVSSv3 supérieur à 9.
Ces vulnérabilités permettent, entre autres, à un attaquant non authentifié de pouvoir exécuter du code arbitraire avec les privilèges root et de pouvoir réaliser un déni de service.
Pour plus d’informations sur les produits affectés par ces vulnérabilités, veuillez-vous référer aux avis éditeurs ci-dessous.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-706/
• https://cert-portal.siemens.com/productcert/pdf/ssa-535380.pdf
• https://cert-portal.siemens.com/productcert/pdf/ssa-944498.pdf
• https://cert-portal.siemens.com/productcert/pdf/ssa-692317.pdf
• https://cert-portal.siemens.com/productcert/pdf/ssa-847986.pdf

CVE-2021-22795, CVE-2021-22794 : Multiples vulnérabilités dans les produits Schneider

Le 14 septembre 2021, l’éditeur a déclaré deux vulnérabilités critiques affectant StruxureWare Data Center Expert. Ces vulnérabilités permettent à un attaquant authentifié de réaliser une exécution de code arbitraire à distance.
Il est fortement recommandé de suivre les recommandations de l’éditeur pour limiter l’exposition de ce type d’équipement.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-705/
• https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-257-03

CVE-2021-37531, CVE-2021-33672, CVE-2021-37535, CVE-2021-33698, CVE-2021-38176, CVE-2021-38163 : Multiples vulnérabilités dans les produits SAP

Le 14 septembre 2021, l’éditeur a déclaré six vulnérabilités critiques affectant de nombreux produits dont SAP NetWeaver et Business One. Ces vulnérabilités permettent entre autres à un attaquant de pouvoir exécuter du code arbitraire à distance ainsi que la réalisation d’un déni de service.
Pour plus d’informations veuillez-vous connecter sur le portail SAP.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-702/
• https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=585106405

Suivi des alertes

CVE-2021-38647, CVE-2021-38645, CVE-2021-38649, CVE-2021-38648: Multiples vulnérabilités dans Microsoft Azure Open Management Infrastructure

Le 14 septembre 2021, une équipe de chercheurs en vulnérabilités a découvert quatre vulnérabilités dans Microsoft Azure, la plateforme cloud de Microsoft [1]. Ces vulnérabilités sont situées au sein du service OMI, lequel est déployé dans l’écosystème Azure. Ces vulnérabilités ont été regroupées sous l’appellation de « OMIGOD ». Des codes d’exploitation sont publiquement disponibles sur Internet pour la CVE-2021-38647, ce qui signifie que l’exploitation de cette vulnérabilité est imminente ou déjà en cours.
Le CERT-FR recommande fortement la mise à jour des extensions vulnérables. Pour plus d’informations veuillez-référer à l’alerte du CERT-FR.

• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-020/
• [1] https://www.wiz.io/blog/omigod-critical-vulnerabilities-in-omi-azure

Autres vulnérabilités

CVE-2021-4053 : Exploitation confirmée de la vulnérabilité dans la suite Zoho

Le 6 septembre l’éditeur a publié un correctif concernant une vulnérabilité de type « jour-zéro » (zero-day) affectant les déploiements de Zoho ManageEngine ADSelfService Plus. ManageEngine ADSelfService Plus est une solution de gestion des mots de passe en libre-service et d’authentification unique pour Active Directory et les applications nuagiques (cloud). Cette vulnérabilité, immatriculée CVE-2021-4053, permet à un attaquant un contournement de l’authentification affectant les URL d’interfaces de programmation (API) basées sur REST. L’exploitation de cette vulnérabilité pourrait permettre une exécution de code arbitraire à distance. Par ailleurs, le CISA affirme que des exploitations de cette vulnérabilité sont en cours, et ce, depuis le mois d’août 2021 [1].

• https://github.com/helm/helm/security/advisories/GHSA-qq3j-xp49-j73f
• [1] https://us-cert.cisa.gov/ncas/alerts/aa21-259a

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 13 au 19 septembre 2021, le CERT-FR a émis les publications suivantes :

• CERTFR-2021-ALE-020 : [Maj] Multiples vulnérabilités dans Microsoft Azure Open Management Infrastructure
• CERTFR-2021-AVI-697 : Multiples vulnérabilités dans IBM DataPower Gateway
• CERTFR-2021-AVI-698 : Multiples vulnérabilités dans les produits Apple
• CERTFR-2021-AVI-699 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
• CERTFR-2021-AVI-700 : Multiples vulnérabilités dans les produits IBM
• CERTFR-2021-AVI-701 : Multiples vulnérabilités dans Google Chrome
• CERTFR-2021-AVI-702 : Multiples vulnérabilités dans les produits SAP
• CERTFR-2021-AVI-703 : Multiples vulnérabilités dans les produits Qnap
• CERTFR-2021-AVI-704 : Multiples vulnérabilités dans les produits Adobe
• CERTFR-2021-AVI-705 : [SCADA] Multiples vulnérabilités dans les produits Schneider
• CERTFR-2021-AVI-706 : [SCADA] Multiples vulnérabilités dans les produits Siemens
• CERTFR-2021-AVI-707 : Vulnérabilité dans le noyau Linux de Red Hat
• CERTFR-2021-AVI-708 : Multiples vulnérabilités dans Microsoft Edge
• CERTFR-2021-AVI-709 : Multiples vulnérabilités dans Microsoft Office
• CERTFR-2021-AVI-710 : Multiples vulnérabilités dans Microsoft Windows
• CERTFR-2021-AVI-711 : Multiples vulnérabilités dans les produits Microsoft
• CERTFR-2021-AVI-712 : Multiples vulnérabilités dans Drupal Core
• CERTFR-2021-AVI-713 : Multiples vulnérabilités dans Apache httpd
• CERTFR-2021-AVI-714 : Vulnérabilité dans Citrix ShareFile
• CERTFR-2021-AVI-715 : [SCADA]Multiples vulnérabilités dans les produits Moxa
• CERTFR-2021-AVI-716 : Multiples vulnérabilités dans Microsoft Edge
• CERTFR-2021-AVI-717 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu