Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 45
CVE-2021-40501 : Vulnérabilité dans SAP ABAP Platform Kernel, Versions – 7.77, 7.81, 7.85, 7.86
Le 9 novembre 2021, l’éditeur a déclaré une vulnérabilité critique, immatriculée CVE-2021-40501, dans le produit SAP ABAP Platform Kernel. Cette vulnérabilité permet un contournement de l’authentification pour les versions 7.77, 7.81, 7.85 et 7.86.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-852/
- https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=589496864
CVE-2021-31886, CVE-2021-40358, CVE-2021-37726 : Multiples vulnérabilités dans les produits Siemens
Le 9 novembre 2021, l’éditeur a déclaré plusieurs vulnérabilités avec un score CVSSv3 supérieure à 9. Ces vulnérabilités affectent de nombreux produits : SCALANCE W1750D, SIMATIC, Nucleus, APOGEE, TALON, etc.
Elles permettent à un attaquant à distance de pouvoir réaliser entre autres : une exécution de code arbitraire, un déni de service, des lectures/écritures/suppressions de fichier critiques
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-854/
- https://cert-portal.siemens.com/productcert/pdf/ssa-044112.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-114589.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-840188.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-917476.pdf
CVE-2021-26443, CVE-2021-42321, CVE-2021-42282, CVE-2021-42287, CVE-2021-42291, CVE-2021-42278, CVE-2021-42292 : Multiples vulnérabilités dans les produits Microsoft
Dans le cadre du Patch Tuesday de novembre 2021, Microsoft a publié plusieurs vulnérabilités qu’ils considèrent comme critiques.
La CVE-2021-26443 corrige une vulnérabilité qui affecte le mécanisme VMBus d’Hyper-V et permet à un attaquant, ayant accès à une machine virtuelle, d’exécuter du code sur le système hôte. Une mise à jour est fortement recommandée.
La CVE-2021-42321 corrige une vulnérabilité de Microsoft Exchange et a fait l’objet d’une alerte CERT-FR le 10 novembre 2021 car l’éditeur indique que cette vulnérabilité est d’ores et déjà exploitée dans des attaques ciblées. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire après être authentifié. Il est donc primordial d’appliquer la dernière mise à jour cumulative (CU) ainsi que les correctifs de sécurité de novembre 2021 rapidement.
La CVE-2021-42292 corrige une vulnérabilité affectant Microsoft Excel et qui est largement exploitée d’après les informations fournies par l’éditeur. Une mise à jour est très fortement recommandée.
Les CVE-2021-42282, CVE-2021-42287, CVE-2021-42291, CVE-2021-42278 corrigent des vulnérabilités dans Active Directory ainsi que dans Kerberos. Les corrections apportées pour les CVE-2021-42287 et CVE-2021-42291 restent partielle et la protection ne sera complètement effective qu’en avril 2022 et juillet 2022 respectivement. Il est fortement recommandé d’appliquer les mises à jour sur tous les contrôleurs de domaine conformément aux bulletins de l’éditeur et de prendre en compte les nouveaux évènements dans la politique de surveillance des contrôleurs de domaine [1] [2]. Une étude plus approfondie des modifications apportées et des éventuels impacts sur les guides de sécurité de l’ANSSI est actuellement en cours.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-862/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-26443
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-42321
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42287
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42282
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42291
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42278
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-42292
- [1] https://support.microsoft.com/en-us/topic/kb5008383-active-directory-permissions-updates-cve-2021-42291-536d5555-ffba-4248-a60e-d6cbc849cde1
- [2] https://support.microsoft.com/en-us/topic/kb5008380-authentication-updates-cve-2021-42287-9dafac11-e0d0-4cb8-959a-143bd0201041
CVE-2021-3064 : Vulnérabilité dans Palo Alto Network PAN-OS
Le 12 novembre 2021, l’éditeur a déclaré plusieurs vulnérabilités dont une critique affectant toutes les versions PAN-OS antérieures à 8.1.17. Cette vulnérabilité permet à un attaquant non authentifié ayant accès à l’interface GlobalProtect de réaliser un dénis de service et une exécution de code arbitraire.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-865/
- https://security.paloaltonetworks.com/CVE-2021-3064
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 08 au 14 novembre 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-ALE-021 : Vulnérabilité dans Microsoft Exchange
- CERTFR-2021-AVI-850 : Multiples vulnérabilités dans IBM QRadar
- CERTFR-2021-AVI-851 : Vulnérabilité dans Postfix
- CERTFR-2021-AVI-852 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2021-AVI-853 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2021-AVI-854 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-855 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2021-AVI-856 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2021-AVI-857 : Multiples vulnérabilités dans Samba
- CERTFR-2021-AVI-858 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2021-AVI-859 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-860 : Vulnérabilité dans Microsoft Edge
- CERTFR-2021-AVI-861 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2021-AVI-862 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2021-AVI-863 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2021-AVI-864 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-865 : Multiples vulnérabilités dans Palo Alto Networks PAN-OS
- CERTFR-2021-AVI-866 : Vulnérabilité dans WordPress
- CERTFR-2021-AVI-867 : Multiples vulnérabilités dans PostgreSQL
- CERTFR-2021-AVI-868 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2021-AVI-869 : Multiples vulnérabilités dans SUSE le noyau Linux de SUSE
- CERTFR-2021-AVI-870 : Vulnérabilité dans VMware Tanzu Application
- CERTFR-2021-AVI-871 : Vulnérabilité dans F5 NGINX Ingress Controller