Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 4
CVE-2021-4034 : Vulnérabilité dans pkexec de Polkit
Le 25 janvier 2022, plusieurs éditeurs de distribution Linux ont publié des correctifs de sécurité pour le binaire pkexec. Ce dernier fait partie du cadriciel Polkit qui est une surcouche de gestion des permissions permettant aux applications d’élever leur privilèges.
La vulnérabilité CVE-2021-4034 dispose d’un score CVSSv3 de 7.8 et permet à un attaquant local de tenter une élévation de privilèges afin d’obtenir les droits super utilisateur (root) sur le système vulnérable.
Des preuves de concept ont été publiées sur Internet.
Le CERT-FR a émis des avis pour quatre distributions Linux mais la vulnérabilité est présente sur tous les systèmes Linux qui intègrent Polkit. Nous vous recommandons de vous référer à l’avis de l’éditeur pour identifier les correctifs à installer sur les distributions Linux que vous pourriez utiliser.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-083/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-084/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-085/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-086/
- https://ubuntu.com/security/notices/USN-5252-1
- https://ubuntu.com/security/notices/USN-5252-2
- https://access.redhat.com/security/vulnerabilities/RHSB-2022-001
- https://www.debian.org/security/2022/dsa-5059
- https://www.suse.com/security/cve/CVE-2021-4034.html
CVE-2022-22587 : Vulnérabilité dans Apple iOS, iPadOS et macOS
Le 26 janvier 2022, Apple a publié un avis concernant une vulnérabilité affectant l’extension du noyau IOMobileFrameBuffer des systèmes d’exploitation iOS, iPadOS et macOS.
La vulnérabilité CVE-2022-22587 a un score CVSSv3 provisoire de 7.8. Il s’agit d’un débordement de tampon permettant à un attaquant de réaliser une exécution de code arbitraire avec les privilèges du noyau (kernel).
L’éditeur a connaissance d’un rapport indiquant que cette vulnérabilité a pu être exploitée.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-088/
- https://support.apple.com/en-us/HT213053
- https://support.apple.com/en-us/HT213054
- https://support.apple.com/en-us/HT213055
CVE-2021-44757 : Vulnérabilité dans Zoho ManageEngine Desktop
Le 17 janvier 2022, Zoho a annoncé la publication d’un correctif concernant la solution de gestion centralisée ManageEngine Desktop Central.
La vulnérabilité CVE-2021-44757 dispose d’un score CVSSv3 de 9.1. Elle permet à un attaquant distant de contourner la politique d’authentification du produit et de tenter d’exfiltrer des données ou d’écrire un fichier .zip sur le serveur Desktop Central.
Se référer au bulletin de sécurité de l’éditeur pour identifier les versions vulnérables et installer les correctifs adaptés.
Liens :
- https://pitstop.manageengine.com/portal/en/community/topic/a-critical-security-patch-released-in-desktop-central-and-desktop-central-msp-for-cve-2021-44757-17-1-2022
- https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 24 au 30 janvier 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-069 : Multiples vulnérabilités dans phpMyAdmin
- CERTFR-2022-AVI-070 : Vulnérabilité dans Stormshield SSOAgent
- CERTFR-2022-AVI-071 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2022-AVI-072 : Vulnérabilité dans IBM QRadar
- CERTFR-2022-AVI-073 : Vulnérabilité dans Microsoft Edge pour Android
- CERTFR-2022-AVI-074 : Vulnérabilité dans Microsoft Windows
- CERTFR-2022-AVI-075 : Multiples vulnérabilités dans les produits SonicWall
- CERTFR-2022-AVI-076 : Multiples vulnérabilités dans Moodle
- CERTFR-2022-AVI-077 : Vulnérabilité dans IBM WebSphere
- CERTFR-2022-AVI-078 : Multiples vulnérabilités dans Foxit PDF Editor et Foxit PDF Reader versions MacOS
- CERTFR-2022-AVI-079 : Vulnérabilité dans strongSwan
- CERTFR-2022-AVI-080 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-081 : Multiples vulnérabilités dans Xen
- CERTFR-2022-AVI-082 : Multiples vulnérabilités dans Apache Tomcat
- CERTFR-2022-AVI-083 : Vulnérabilité dans pkexec de PolicyKit sur Ubuntu
- CERTFR-2022-AVI-084 : Vulnérabilité dans pkexec de PolicyKit sur Red Hat
- CERTFR-2022-AVI-085 : Vulnérabilité dans pkexec de PolicyKit sur Debian
- CERTFR-2022-AVI-086 : Vulnérabilité dans pkexec de PolicyKit sur SUSE
- CERTFR-2022-AVI-087 : Vulnérabilité dans Nextcloud pour Android
- CERTFR-2022-AVI-088 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2022-AVI-089 : Vulnérabilité dans Trend Micro Worry-Free Business Security Server
- CERTFR-2022-AVI-090 : Multiples vulnérabilités dans Foxit PDF Reader et Foxit PDF Editor