Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 41
CVE-2021-3757, CVE-2021-3177, CVE-2020-36329, CVE-2018-25011, CVE-2020-36328, CVE-2020-25712, CVE-2020-10878, CVE-2020-8315 : Multiples vulnérabilités dans les produits IBM
Le 08 octobre ainsi que le 14 octobre 2021, l’éditeur a publié des mises à jour pour les produits suivants : IBM App Connect Enterprise, IBM Cognos Analytics et IBM Cloud Pak for Security, plusieurs librairies et projets (Node.js, libwebp, X-org, Python) afin de corriger de nombreuses vulnérabilités critiques les affectant.
Ces vulnérabilités permettent, entre autres, à un attaquant de pouvoir exécuter du code arbitraire à distance sur le système. Des codes d’exploitations pour la CVE-2021-3757 sont publiquement disponibles.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-766/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-791/
- https://www.ibm.com/support/pages/node/6497303
- https://www.ibm.com/support/pages/node/6491661
- https://www.ibm.com/support/pages/node/6493729
CVE-2021-30883 : Vulnérabilité dans les produits Apple
Le 11 octobre 2021, l’éditeur a publié un correctif exceptionnel pour iOS et iPadOS afin de corriger la vulnérabilité jour-zéro (zero-day) immatriculée CVE-2021-30883. Cette vulnérabilité, est activement exploitée. Elle permet à un attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges noyau.
Des codes exploitations sont publiquement disponibles.
Liens :
CVE-2020-10683, CVE-2021-23926, CVE-2021-38178 : Multiples vulnérabilités dans les produits SAP
Le 12 octobre 2021, dans le cadre de son Patch Tuesday d’octobre, l’éditeur a corrigé trois vulnérabilités critiques affectant SAP Environmental Compliance et SAP NetWeaver. La CVE-2020-10683 et la CVE-2021-23926 permettent la réalisation d’injections XML d’entités externes (XXE) dans SAP Environmental Compliance.
La CVE-2021-38178 permet, quant à elle, de contourner les autorisations dans SAP NetWeaver AS ABAP et ABAP Platform.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-770/
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=587169983
CVE-2021-22802, CVE-2021-22803, CVE-2020-17438 : Multiples vulnérabilités dans les produits Schneider Electric
Le 12 octobre 2021, l’éditeur a déclaré trois vulnérabilités ayant un score CVSSv3 supérieur à 9. Ces vulnérabilités affectent les produits IGSS Data Collector et Modicon TM5 modules. Les vulnérabilités immatriculées CVE-2021-22802 et CVE-2021-22803 permettent à un attaquant d’exécuter du code arbitraire à distance sur le produit IGSS.
La CVE-2020-17438 est l’une des 33 vulnérabilités connue sous le nom AMNESIA:33 qui affecte les piles TCP/IP intégrées. Le module Modicon TM5 est affecté par deux de ces 33 vulnérabilités, dont la CVE-2020-17438, permettant à un attaquant de pouvoir réaliser un déni de service voire une exécution de code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-772/
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-03
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-285-06
CVE-2021-27395, CVE-2021-37716 : Multiples vulnérabilités dans les produits Siemens
Le 12 octobre 2021, l’éditeur a corrigé deux vulnérabilités affectant les produits SIMATIC Process Historian et SCALANCE W1750D. La CVE-2021-37716 permet à un attaquant non authentifié de pouvoir exécuter du code arbitraire à distance en envoyant des paquets à destination de PAPI (Aruba Network AP Management protocol) sur des services fonctionnant sous ArubaOS.
La CVE-2021-27395 permet, quant à elle, de pouvoir accéder à des fonctions critiques du produit (insertion, modification et suppression de donnée) sans avoir besoin de s’authentifier.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-774/
- https://cert-portal.siemens.com/productcert/pdf/ssa-766247.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-280624.pdf
CVE-2021-37736, CVE-2021-40997, CVE-2021-40996 : Multiples vulnérabilités dans les produits Aruba
Le 12 octobre 2021, l’éditeur a corrigé trois vulnérabilités critiques affectant l’interface de management de ClearPass Policy Manager. Elles permettent a un attaquant non authentifié de pouvoir de contourner l’authentification du système à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-777/
- https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2021-018.txt
CVE-2021-40449 : Vulnérabilité dans Microsoft Win32k
Dans le cadre de son Patch Tuesday, l’éditeur a corrigé une vulnérabilité dans Win32k. Cette vulnérabilité est activement exploitée et permet à un attaquant de réaliser une élévation de privilèges.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-782/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-40449
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 11 au 17 octobre 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-765 : Multiples vulnérabilités dans les produits Adobe
- CERTFR-2021-AVI-766 : Vulnérabilité dans IBM App Connect Enterprise
- CERTFR-2021-AVI-767 : Multiples vulnérabilités dans OpenOffice
- CERTFR-2021-AVI-768 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-769 : Vulnérabilité dans Apple iOS et iPadOS
- CERTFR-2021-AVI-770 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2021-AVI-771 : Multiples vulnérabilités dans les produits NetApp
- CERTFR-2021-AVI-772 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2021-AVI-773 : Vulnérabilité dans les produits SonicWall
- CERTFR-2021-AVI-774 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-775 : Multiples vulnérabilités dans les produits Foxit
- CERTFR-2021-AVI-776 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2021-AVI-777 : Multiples vulnérabilités dans Aruba ClearPass Policy Manager
- CERTFR-2021-AVI-778 : Multiples vulnérabilités dans Intel HAXM
- CERTFR-2021-AVI-779 : Vulnérabilité dans les produits Adobe
- CERTFR-2021-AVI-780 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-781 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2021-AVI-782 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2021-AVI-783 : Vulnérabilité dans Microsoft .Net
- CERTFR-2021-AVI-784 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2021-AVI-785 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-786 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-787 : Multiples vulnérabilités dans les produits Palo Alto Networks
- CERTFR-2021-AVI-788 : Multiples vulnérabilités dans IBM Cloud Foundry Migration Runtime
- CERTFR-2021-AVI-789 : Multiples vulnérabilités dans les produits Juniper
- CERTFR-2021-AVI-790 : Multiples vulnérabilités dans les produits TrendMicro
- CERTFR-2021-AVI-791 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2021-AVI-792 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2021-AVI-793 : Multiples vulnérabilités dans le noyau Linux de SUSE
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2021-AVI-759 : Multiples vulnérabilités dans Apache HTTP Server
