Objet: Bulletin d’actualité CERTFR-2022-ACT-005

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 5

CVE-2021-44142 : Vulnérabilité dans Samba

Le 31 janvier 2022, l’éditeur a publié une correction dans le module vfs_fruit qui fournit une compatibilité améliorée avec les clients SMB d’Apple.

La vulnérabilité CVE-2021-44142 a un score CVSSv3 de 9.9 et concerne toutes les versions de Samba antérieures à 4.13.17.

Un manque de validation dans la taille d’une donnée traitée par une fonction du module vfs_fruit génère un débordement du tas. Un attaquant distant est alors en mesure de tenter une exécution de code arbitraire avec les privilèges du processus Samba (root).

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-096/
• https://www.samba.org/samba/security/CVE-2021-44142.html

CVE-2021-43858 : Vulnérabilité dans IBM Spectrum Protect Plus

Le 31 janvier 2022, IBM a publié un avis concernant des vulnérabilités associées au produit IBM Spectrum Protect Plus. En l’occurrence, la vulnérabilité CVE-2021-43858 a été introduite par minIO qui est une application de la suite Kubernetes. Ce binaire est utilisé pour le stockage de données non structurées. Par exemple : Des vidéos, des courriels, des fichiers, des répertoires, des flux de surveillance vidéo, etc. MinIO est présent dans la suite IBM Spectrum Protect Plus.

La vulnérabilité a un score CVSSv3 de 9.8. Une mauvaise gestion des privilèges permet à un attaquant distant de construire une requête HTTP spécifique à destination de l’interface de programmation (API) de minIO afin de mettre à jour la politique d’autorisations d’un utilisateur et d’obtenir des privilèges plus élevés dans le contexte de l’application. L’attaquant doit au préalable avoir des informations d’authentification valides afin de pouvoir interroger l’interface de programmation (API).

L’éditeur de minIO a découvert cette vulnérabilité lors d’un audit interne et indique ne pas avoir connaissance de rapport ni de preuve de concept circulant sur Internet.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-097/
• https://www.ibm.com/support/pages/node/6552186
• https://github.com/minio/minio/security/advisories/GHSA-j6jc-jqqc-p6cx

CVE-2022-20699, CVE-2022-20700, CVE-2022-20701, CVE-2022-20703 et CVE-2022-20708 : Multiples vulnérabilités dans les routeurs Cisco Small Business des gammes RV

Le 02 février 2022, Cisco a publié un avis concernant cinq vulnérabilités critiques affectant des produits de la gamme Small Business RV.
Il s’agit de routeurs multi-fonctionnalités (gestion du Wifi, VPN sur SSL/TLS, pare-feu, QoS, etc.) à destination des TPE/PME et installés avec un système d’exploitation Linux léger.

La vulnérabilité CVE-2022-20699 a un score CVSSv3.1 de 10. Elle est présente dans le module VPN sur TLS des gammes RV340 et RV345 et est introduite par un contrôle insuffisant sur les limites d’une requête HTTP. Lorsque le système reçoit une requête HTTP spécifique transmise par un attaquant distant, même non authentifié, ce dernier peut alors tenter une exécution de code arbitraire à distance avec les privilèges les plus élevés sur le système d’exploitation (root).

Les vulnérabilités CVE-2022-20700 et CVE-2022-20701 ont respectivement un score CVSSv3.1 de 10 et de 9.0. Elles sont amenées par l’interface web de gestion présente sur tous les produits de la gamme RV. Cette interface n’implémente pas correctement les mécanismes d’authentification et d’autorisation vis-à-vis des utilisateurs. Ces vulnérabilités permettent à un attaquant distant d’envoyer des commandes arbitraires au système d’exploitation avec les privilèges les plus élevés (root).

La vulnérabilité CVE-2022-20703 a un score CVSSv3.1 de 9.3. Elle est introduite par un manque de contrôle dans le mécanisme de vérification des images des micrologiciels (firmwares) déployés sur tous les produits de la gamme RV. Cette vulnérabilité permet à un attaquant local, non authentifié, d’installer et de démarrer une image malveillante du micrologiciel puis d’exécuter des binaires non signés.

La vulnérabilité CVE-2022-20708 a un score CVSSv3.1 de 10. Elle est présente dans l’interface web de gestion des gammes RV340 et 345. Cette interface n’effectue pas une validation suffisante des entrées fournies par l’utilisateur. La vulnérabilité permet alors à un attaquant distant, non authentifié, d’envoyer une entrée spécifique au périphérique. Il peut alors tenter une exécution de commande arbitraire avec les privilèges les plus élevés (root) du système d’exploitation Linux sous-jacent.

L’éditeur indique que des preuves de concept existent pour certaines des vulnérabilités décrites précédemment.

Il est donc fortement recommandé de procéder à l’installation des correctifs. Se référer à l’avis éditeur pour identifier le micrologiciel à installer.

Liens :

• https://cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-107
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D

CVE-2020-27339 à CVE-2022-24069 : Multiples vulnérabilités dans le micrologiciel système InsydeH2O

Le 01 février 2022, l’entreprise Binarly a publié un avis à propos de vulnérabilités affectant le produit InsydeH2O.
InsydeH2O est un micrologiciel système (UEFI) servant d’interface entre le système d’exploitation et le micrologiciel chargé de la gestion matérielle d’un équipement. Il est installé sur des systèmes issus de fabricants tels qu’Intel, Fujitsu, Bull-Atos et Aruba.

Les processeurs x86 ont un mode d’opération appelé mode de gestion du système (System Management Mode ou SMM) qui implémente des fonctions avancées pour, entre autres, la gestion de l’alimentation et la sécurité du système d’exploitation sous-jacent.
Le processeur exécute le code SMM dans une zone mémoire spécifique, la SMRAM, qui doit être isolée des autres modes d’opération par le micrologiciel système afin qu’il en empêche l’accès lorsque le système n’est pas en SMM. Le micrologiciel système copie le code SMM dans la SMRAM et la verrouille lors de la phase d’initialisation de l’équipement.

Le processeur entre dans le mode SMM uniquement lorsqu’il reçoit une interruption de gestion du système (System Management Interrupt ou SMI). Il sauvegarde son contexte d’exécution dans la SMRAM puis exécute le gestionnaire SMI qui peut ensuite sortir du mode SMM. Le processeur peut alors reprendre l’exécution à partir du contexte sauvegardé précédemment.

Le mode d’opération SMM a des privilèges plus élevés que ceux du noyau du système d’exploitation.
Lorsque le gestionnaire SMI est exécuté, le code SMM peut modifier le contexte d’exécution sauvegardé. Il a donc un contrôle étendu sur le comportement du noyau.

Les vulnérabilités CVE-2020-27339, CVE-2020-5953, CVE-2021-33625, CVE-2021-33626, CVE-2021-33627, CVE-2021-41837, CVE-2021-41838, CVE-2021-41839, CVE-2021-41840, CVE-2021-41841, CVE-2021-42059, CVE-2021-42060, CVE-2021-42113, CVE-2021-42554, CVE-2021-43323, CVE-2021-43522, CVE-2021-43615, CVE-2022-24030, CVE-2022-24031 et CVE-2022-24069 ont un score CVSS situé entre 7.5 et 8.2.

Ces vulnérabilités peuvent être divisées en deux catégories :

• Une faiblesse dans la gestion des appels SMM qui peut permettre à un attaquant local ayant les privilèges les plus élevés du système d’exploitation de tenter une élévation des privilèges vers SMM.
• Une mauvaise gestion de la taille des données copiées dans une zone mémoire tampon allouée dans le code SMM ou dans le pilote DXE peut permettre à un attaquant local ayant les privilèges les plus élevés du système d’exploitation d’exécuter du code arbitraire avec les privilèges SMM.

A partir d’une exécution de code arbitraire avec les privilèges SMM, un attaquant est en mesure de désactiver certaines protections matérielles telles que SecureBoot, Intel BootGuard ou bien les mécanismes de sécurité qui protègent l’image du micrologiciel système.

Il a aussi la possibilité de créer des portes dérobées ou des canaux de communication cachés de manière à exfiltrer des données sensibles car le mode SMM donne un accès complet à tous les ports d’entrées-sorties de l’équipement.

Il est recommandé de suivre les instruction de mise à jour du micrologiciel fourni par l’éditeur.

Liens :

• https://www.cve.org/CVERecord?id=CVE-2020-27339
• https://www.cve.org/CVERecord?id=CVE-2020-5953
• https://www.cve.org/CVERecord?id=CVE-2021-33625
• https://www.cve.org/CVERecord?id=CVE-2021-33626
• https://www.cve.org/CVERecord?id=CVE-2021-33627
• https://www.cve.org/CVERecord?id=CVE-2021-41837
• https://www.cve.org/CVERecord?id=CVE-2021-41838
• https://www.cve.org/CVERecord?id=CVE-2021-41839
• https://www.cve.org/CVERecord?id=CVE-2021-41840
• https://www.cve.org/CVERecord?id=CVE-2021-41841
• https://www.cve.org/CVERecord?id=CVE-2021-42059
• https://www.cve.org/CVERecord?id=CVE-2021-42060
• https://www.cve.org/CVERecord?id=CVE-2021-42113
• https://www.cve.org/CVERecord?id=CVE-2021-42554
• https://www.cve.org/CVERecord?id=CVE-2021-43323
• https://www.cve.org/CVERecord?id=CVE-2021-43522
• https://www.cve.org/CVERecord?id=CVE-2021-43615
• https://www.cve.org/CVERecord?id=CVE-2021-45969
• https://www.cve.org/CVERecord?id=CVE-2021-45970
• https://www.cve.org/CVERecord?id=CVE-2021-45971
• https://www.cve.org/CVERecord?id=CVE-2022-24030
• https://www.cve.org/CVERecord?id=CVE-2022-24031
• https://www.cve.org/CVERecord?id=CVE-2022-24069
• https://www.binarly.io/posts/An_In_Depth_Look_at_the_23_High_Impact_Vulnerabilities/index.html
• https://www.insyde.com/security-pledge
• https://nvd.nist.gov/vuln/detail/CVE-2021-45969
• https://nvd.nist.gov/vuln/detail/CVE-2021-45970
• https://nvd.nist.gov/vuln/detail/CVE-2021-45971
• https://support.ts.fujitsu.com/ProductSecurity/content/Fujitsu-PSIRT-FCCL-IS-2021-090903-Security-Advisory.asp?lng=com
• https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-001.txt
• https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-002.txt

CVE-2022-21882 : Vulnérabilité dans Microsoft Windows

Le 11 janvier 2022, lors de sa mise à jour mensuelle, l’éditeur a publié un avis concernant une vulnérabilité affectant les systèmes d’exploitation Windows 10, Windows 11, Windows Server 2019, Windows Server 20H2 et Windows Server 2022.

La vulnérabilité CVE-2022-21882 a un score CVSSv3 de 7.8. Une mauvaise gestion des privilèges dans le pilote win32k.sys permet à un attaquant local, authentifié, de tenter une élévation de privilèges afin d’obtenir les permissions les plus élevées du système d’exploitation (System).

L’éditeur annonçait dans l’avis une exploitation probable de cette vulnérabilité, il existe maintenant des preuves de concept disponibles sur Internet pour les systèmes d’exploitation Windows 10 et Windows Server 2019. Le CISA indique par ailleurs que la vulnérabilité est activement exploitée.

Il est fortement recommandé d’appliquer les mise à jour publiées par Microsoft lors de la mise à jour mensuelle de janvier 2022. Se référer à l’avis éditeur pour l’application de ces correctifs sur les différents systèmes d’exploitation concernés.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-027/
• https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21882

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 31 janvier au 06 février 2022, le CERT-FR a émis les publications suivantes :

• CERTFR-2022-AVI-091 : Vulnérabilité dans Synology DiskStation Manager
• CERTFR-2022-AVI-092 : Multiples vulnérabilités dans IBM Spectrum Protect Plus
• CERTFR-2022-AVI-093 : Vulnérabilité dans OpenSSL pour MIPS
• CERTFR-2022-AVI-094 : Vulnérabilité dans Symfony
• CERTFR-2022-AVI-095 : Vulnérabilité dans les produits ESET
• CERTFR-2022-AVI-096 : Multiples vulnérabilités dans Samba
• CERTFR-2022-AVI-097 : Multiples vulnérabilités dans IBM Spectrum Protect Plus
• CERTFR-2022-AVI-098 : Vulnérabilité dans VMware Cloud Foundation
• CERTFR-2022-AVI-099 : Vulnérabilité dans Tenable Nessus
• CERTFR-2022-AVI-100 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2022-AVI-101 : Vulnérabilité dans le noyau Linux de Red Hat
• CERTFR-2022-AVI-102 : Vulnérabilité dans Sophos Capsule8
• CERTFR-2022-AVI-103 : Vulnérabilité dans F5 BIG-IP et BIG-IQ
• CERTFR-2022-AVI-104 : Multiples vulnérabilités dans les produits Fortinet
• CERTFR-2022-AVI-105 : Multiples vulnérabilités dans Google Chrome
• CERTFR-2022-AVI-106 : Vulnérabilité dans PostgreSQL JDBC
• CERTFR-2022-AVI-107 : Multiples vulnérabilités dans Cisco Small Business RV
• CERTFR-2022-AVI-108 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2022-AVI-109 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
• CERTFR-2022-AVI-110 : Multiples vulnérabilités dans Microsoft Edge
• CERTFR-2022-AVI-111 : Multiples vulnérabilités dans F5 BIG-IP et BIG-IQ
• CERTFR-2022-AVI-112 : Multiples vulnérabilités dans les produits GitLab
• CERTFR-2022-AVI-113 : Multiples vulnérabilités dans les produits NetApp