Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 51
CVE-2020-11619, CVE-2020-11111, CVE-2020-11113, CVE-2020-14060, CVE-2020-14062, CVE-2020-14061, CVE-2020-11112, CVE-2020-10672, CVE-2020-10968, CVE-2020-14195, CVE-2020-10969, CVE-2020-11620, CVE-2020-10673, CVE-2020-24750, CVE-2019-14892, CVE-2019-14893, CVE-2020-24616, CVE-2021-20190, CVE-2020-36184, CVE-2020-36179, CVE-2020-36188, CVE-2020-36187, CVE-2020-36183, CVE-2020-36182, CVE-2020-36181, CVE-2020-36186, CVE-2020-36189, CVE-2020-36185, CVE-2020-36180, CVE-2021-21344, CVE-2019-12735, CVE-2019-12749 : Multiples vulnérabilités dans les produits IBM
Le 10 décembre 2021, l’éditeur a publié un correctif pour plusieurs vulnérabilités critiques affectant les équipements IBM Spectrum Copy Data Management et QRadar SIEM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges, un déni de service à distance et une injection de code indirecte à distance (XSS).
Notamment, deux librairies sont affectées. La première, la librairie Java FasterXML jackson-databind contient une vulnérabilité qui permet à un attaquant distant d’exécuter un code arbitraire sur le système, en raison d’une désérialisation non sécurisée.
La seconde librairie – XStream – présente également un défaut de sécurité et permet à un attaquant distant d’exécuter du code arbitraire sur le système, en raison d’une faille lors du traitement du flux au moment du désarchivage. En manipulant le flux d’entrée traité et en remplaçant ou en injectant des objets, un attaquant peut exploiter cette vulnérabilité pour exécuter du code arbitraire depuis un serveur distant.
Également, Vim et Neovim présentent un défaut de sécurité et peuvent permettre à un attaquant distant d’exécuter des commandes arbitraires sur le système, en raison d’une validation incorrecte des entrées par la commande :source!. En envoyant une requête spécialement conçue, un attaquant peut exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur le système.
Il est recommandé d’appliquer les correctifs sans délai.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-943/
- https://www.ibm.com/support/pages/node/6525182
- https://www.ibm.com/support/pages/node/6525260
- https://www.ibm.com/support/pages/node/6520674
CVE-2021-44231, CVE-2021-21342, CVE-2021-21350, CVE-2021-21346, CVE-2021-21349, CVE-2021-21341, CVE-2021-21345, CVE-2021-21348, CVE-2021-21347, CVE-2021-21343, CVE-2021-21351 : Multiples vulnérabilités dans les produits SAP
Le 14 décembre 2021, l’éditeur a publié un correctif pour plusieurs vulnérabilités critiques affectant les équipements SAP Commerce, SAP ABAP Server & ABAP Platform, SAP S/4HANA, SAP LT Replication Server, SAP LTRS for S/4HAN, SAP Test Data Migration Server et SAP Landscape Transformation.
De multiples vulnérabilités ont été découvertes dans les produits SAP. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
Le CERT-FR note également qu’une vulnérabilité avec un score CVSSv3 s’élevant à 10, affecte le produit Google Chromium livré avec SAP Business Client dans sa version 6.5, mais ne fait pour l’instant l’objet d’aucune attribution de numéro de CVE.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-948/
- https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+December+2021
CVE-2021-22821 : Vulnérabilité dans Schneider
Le 14 décembre 2021, l’éditeur a publié un correctif pour une vulnérabilité critique affectant la gamme de produits EVlink.
De multiples vulnérabilités ont été découvertes dans les produits Schneider. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
En particulier, une vulnérabilité critique immatriculée CVE-2021-22821 possède un score CVSSv3 s’élevant à 9.3. Il s’agit d’une vulnérabilité de type SSRF (Server-Side Request Forgery) qui permet à un attaquant d’abuser de la fonctionnalité d’un serveur, l’amenant à accéder ou à manipuler des informations dans le domaine de ce serveur qui ne seraient autrement pas directement accessibles à l’attaquant.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-953/
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-348-02
CVE-2021-43899, CVE-2021-43882, CVE-2021-43215, CVE-2021-43907, CVE-2021-43905 : Multiples vulnérabilités dans les produits Microsoft
Le 14 décembre 2021, l’éditeur a publié un correctif pour plusieurs vulnérabilités critiques affectant les produits Microsoft 4K Wireless Display Adapter, Microsoft Defender for IoT, iSNS Server, Visual Studio Code WSL Extension et Microsoft Office app. Certaines d’entres elles permettent à un attaquant de provoquer une usurpation d’identité, une élévation de privilèges, une atteinte à la confidentialité des données et une exécution de code à distance.
Pour la CVE-2021-43215, un attaquant peut envoyer une requête spécialement conçue au serveur Internet Storage Name Service (iSNS), ce qui peut entraîner l’exécution de code à distance.
Pour la CVE-2021-43899, toutes les versions du micrologiciel de l’adaptateur d’écran sans fil 4K de Microsoft à partir de 3.9520.47 et supérieures sont protégées contre cette vulnérabilité.
Les CVEs attribuées sont CVE-2021-43899, CVE-2021-43882, CVE-2021-43215, CVE-2021-43907 et CVE-2021-43905. Elles possèdent chacune un score CVSSv3 supérieur à 9.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-959/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43215
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-961/
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-43907
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43882
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43899
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-958/
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-43905
CVE-2021-44165, CVE-2018-20019, CVE-2018-20748, CVE-2019-20788, CVE-2021-42023, CVE-2018-20750, CVE-2019-15690, CVE-2017-18922, CVE-2018-20749 : Multiples vulnérabilités dans les produits Siemens
Le 14 décembre 2021, l’éditeur a publié un correctif pour les produits POWER METER SICAM Q100, SIMATIC ITC, ModelSim simulation et Questa simulation.
De multiples vulnérabilités ont été découvertes dans les produits Siemens. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service et un contournement de la politique de sécurité.
Deux librairies sont notamment affectées. Il s’agit de LibVNCServer et LibVNCClient qui sont des bibliothèques C multiplateformes et permettent d’implémenter facilement des fonctionnalités de serveur ou client VNC dans une application. Elles sont vulnérables à des failles de type dépassement de tampon.
Les CVEs attribuées sont les CVE-2021-44165, CVE-2018-20019, CVE-2018-20748, CVE-2019-20788, CVE-2021-42023, CVE-2018-20750, CVE-2019-15690, CVE-2017-18922 et CVE-2018-20749. Elles possèdent toutes un score CVSSv3 supérieur à 9.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-949/
- https://cert-portal.siemens.com/productcert/pdf/ssa-496292.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-390195.pdf
CVE-2019-10744, CVE-2021-4125, CVE-2020-26217 : Multiples vulnérabilités dans les produits Red Hat
Le 14 décembre 2021, l’éditeur a publié un correctif pour plusieurs vulnérabilités critiques affectant les produits Red Hat Fuse 1 x86_64, Red Hat OpenShift Container Platform, Red Hat OpenShift Container Platform for Power.
La CVE-2019-10744 présente une vulnérabilité de type Prototype Pollution découverte dans Lodash. Un objet JSON modifié puis passé à une méthode vulnérable peut conduire à un déni de service ou à une injection de données.
La CVE-2020-26217 présente une vulnérabilité découverte dans la librairie XStream. Une désérialisation non sécurisée du XML fourni par l’utilisateur, permet à un attaquant distant d’effectuer une variété d’attaques, y compris une exécution de code arbitraire à distance dans le contexte de la JVM (Java Virtual Machine) exécutant l’application XStream.
Le 16 décembre 2021, il a été constaté que le correctif originalement développé pour les vulnérabilités afférentes à Log4j (CVE-2021-44228 et CVE-2021-45046) dans le produit OpenShift metering était incomplet, car tous les fichiers « JndiLookup.class » n’ont pas été supprimés. Une autre CVE a donc été attribuée – la CVE-2021-4125 – avec un score CVSSv3 de 9.8.
Pour une correction complète, une mise à niveau vers les images fournies dans les avis ci-dessous doit être effectuée :
- version 4.8.24 : https://access.redhat.com/errata/RHSA-2021:5183
- version 4.7.40 : https://access.redhat.com/errata/RHSA-2021:5184
- version 4.6.52 : https://access.redhat.com/errata/RHSA-2021:5186
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-951/
- https://access.redhat.com/security/cve/CVE-2019-10744
- https://access.redhat.com/security/cve/CVE-2020-26217
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-968/
- https://access.redhat.com/errata/RHSA-2021:5183
- https://access.redhat.com/security/cve/cve-2021-4125
CVE-2021-22054 : Vulnérabilité dans les produits VMware
Le 16 décembre 2021, l’éditeur a publié un correctif pour une vulnérabilité affectant son produit Workspace ONE UEM console. La CVE attribuée est la CVE-2021-22054 et possède un score CVSSv3 s’élevant à 9.1. Il s’agit d’une vulnérabilité de type SSRF (Server-Side Request Forgery) et permet à un attaquant d’abuser de la fonctionnalité d’un serveur, l’amenant à accéder ou à manipuler des informations dans le domaine de ce serveur qui ne seraient autrement pas directement accessibles à l’attaquant.
L’éditeur a par ailleurs déterminé que toute tentative d’exploitation pouvait être empêchée en effectuant les étapes détaillées dans la section « Solution de contournement ». Cette solution de contournement est censée être une solution temporaire jusqu’à ce que les mises à jour documentées dans l’avis VMSA-2021-0029 puissent être déployées.
Conseils pour la prise en charge de la CVE-2021-22054 :
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-965/
- https://www.vmware.com/security/advisories/VMSA-2021-0029.html
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 13 au 19 décembre 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-941 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-942 : Multiples vulnérabilités dans les produits GitLab
- CERTFR-2021-AVI-943 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2021-AVI-944 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-945 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2021-AVI-946 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-948 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2021-AVI-949 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-950 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-951 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2021-AVI-952 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2021-AVI-953 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2021-AVI-954 : [SCADA] Vulnérabilité dans Moxa NPort
- CERTFR-2021-AVI-955 : Vulnérabilité dans OpenSSL
- CERTFR-2021-AVI-956 : Multiples vulnérabilités dans Apple Safari
- CERTFR-2021-AVI-957 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-958 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2021-AVI-959 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2021-AVI-960 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2021-AVI-961 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2021-AVI-962 : Vulnérabilité dans MongoDB
- CERTFR-2021-AVI-963 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-964 : Vulnérabilité dans F5 NGINX Swagger UI
- CERTFR-2021-AVI-965 : Vulnérabilité dans VMware Workspace ONE UEM console
- CERTFR-2021-AVI-966 : Multiples vulnérabilités dans F-Secure SAFE Browser
- CERTFR-2021-AVI-967 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2021-AVI-968 : Vulnérabilité dans RedHat OpenShift Container Platform
