Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 6
CVE-2021-33485, CVE-2022-24310, CVE-2022-24311, CVE-2022-24312, CVE-2022-24313, CVE-2020-35198 : Multiples vulnérabilités dans les produits Schneider
Le 09 février 2022, l’éditeur a publié des correctifs pour de multiples vulnérabilités dont plusieurs critiques. La CVE-2021-33485 affecte le serveur web CODESYS V3 utilisé dans différents produits de Schneider. Cette vulnérabilité a un score CVSS v3 de 9.8 car elle permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur l’équipement vulnérable.
Les CVE-2022-24310, CVE-2022-24311, CVE-2022-24312 et CVE-2022-24313 concernent le logiciel Interactive Graphical SCADA System (IGSS) Data Server. Elles ont toutes un score CVSSv3 de 9.8. Elles permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance.
L’éditeur a par ailleurs mis à jour son avis de sécurité concernant la vulnérabilité BadAlloc (CVE-2020-35198) afin de confirmer la liste des produits affectés et indiquer les correctifs disponibles.
Il est fortement recommandé d’effectuer une analyse de risques afin d’envisager une mise à jour rapide.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-123/
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-011-06
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2022-039-01
- https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-313-05
CVE-2015-7705, CVE-2015-7853, CVE-2021-45106 : Multiples vulnérabilités dans les produits Siemens
Le 09 février 2022, l’éditeur a publié des correctifs pour plusieurs vulnérabilités dont certaines critiques. Les CVE-2015-7705 et CVE-2015-7583 affectent le composant NTP en charge de la synchronisation de l’horloge de l’équipement avec une source de temps de référence à travers le réseau. Ces vulnérabilités ont un score CVSSv3 de 9.8. Elles permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance.
La CVE-2021-45106 affecte le produit SICAM TOOLBOX II et a un score CVSSv3 de 9.9. Un attaquant ayant accès au port TCP/1522 (protocole SQLNet Oracle) pourrait contourner un mécanisme de contrôle d’accès et ainsi accéder à la base de données sans restriction. L’éditeur recommande de respecter la notice d’installation qui précise que le port TCP/1522 ne doit être accessible que localement ou depuis des adresses IP de confiance. Un correctif est en cours de développement.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-124/
- https://cert-portal.siemens.com/productcert/pdf/ssa-211752.pdf
- https://cert-portal.siemens.com/productcert/pdf/ssa-669737.pdf
CVE-2022-22536, CVE-2022-22544, CVE-2021-44228, CVE-2021-45046, CVE-2021-45105 : Multiples vulnérabilités dans les produits SAP
Dans le cadre de sa mise à jour mensuelle, l’éditeur a publié des correctifs pour un grand nombre de vulnérabilités. Parmi celles-ci, il convient de noter la CVE-2022-22536 qui peut être exploitée par un attaquant non authentifié en injectant une requête malicieuse dans une requête légitime par la technique dite de « contrebande » (request smuggling). Cette vulnérabilité affecte les produits suivants :
- SAP Web Dispatcher versions 7.49, 7.53, 7.77, 7.81, 7.85, 8.22EXT, 7.86, 7.87
- SAP Content Server version 7.53
- SAP Netweaver et SAP ABAP versions KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT, 7.49
La CVE-2022-22544 est une vulnérabilité qui affecte SAP Solution Manager (Diagnostics Root Cause Analysis Tools) version 720. Son score CVSSv3 est de 9.1. Elle permet à un attaquant ayant accès au logiciel de gestion de compromettre tous les équipements disposant d’un agent de diagnostic connecté à SAP Solution Manager.
Il est à noter que l’éditeur a également publié des correctifs pour certains produits affectés par les vulnérabilités « Log4Shell » (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) : SAP Commerce, SAP Data Intelligence, SAP Dynamic Authorization Management, Internet of Things Edge Platform et SAP Customer Checkout.
L’application de ces correctifs est fortement recommandée.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-125/
- https://wiki.scn.sap.com/wiki/display/PSR/SAP+Security+Patch+Day+-+February+2022
CVE-2021-40390 : Vulnérabilité dans MOXA MXView
Le 11 février 2022, l’éditeur a publié des correctifs pour MXView notamment pour supprimer la présence d’un mot de passe par défaut qui permettrait à un attaquant de se connecter au logiciel MXView et de prendre le contrôle des équipements gérés par celui-ci. Cette vulnérabilité est particulièrement critique et la mise à jour du logiciel est fortement recommandée. Il convient par ailleurs de noter que des vulnérabilités critiques avaient déjà fait l’objet de correctifs en septembre 2021 ([1], [2]), ces vulnérabilités permettent d’altérer le logiciel pour y injecter un code arbitraire ou d’émettre des messages via le protocole MQTT sans être authentifié.
Il est très fortement recommandé de mettre à jour le logiciel MXView dans les plus brefs délais.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-142/
- https://www.moxa.com/en/support/product-support/security-advisory/mxview-network-management-software-vulnerabilities-(1)
- [1] https://www.moxa.com/en/support/product-support/security-advisory/mxview-network-management-software-vulnerabilities
- [2] https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-715/
CVE-2022-22620 : Vulnérabilité dans les produits Apple
Le 11 février 2022, l’éditeur a corrigé une vulnérabilité critique dans le composant WebKit qui pourrait faire l’objet d’une exploitation. Cette vulnérabilité permettrait à un attaquant d’exécuter du code arbitraire après avoir incité l’utilisateur à visiter une page web dont le contenu serait malveillant. Cette vulnérabilité a un score CVSSv3 de 10, une mise à jour est très fortement recommandée.
Liens :
CVE-2022-21984, CVE-2022-22005 : Multiples vulnérabilités dans les produits Microsoft
Dans le cadre de son Patch Tuesday, l’éditeur a publié des correctifs pour plusieurs vulnérabilités dont 2 critiques. La CVE-2022-21984 permet à un attaquant d’exécuter du code arbitraire sur un serveur exposant le service Windows DNS lorsque celui-ci est configuré pour accepter les mises à jour dynamiques d’enregistrements DNS. La CVE-2022-22005 est une vulnérabilité qui affecte Windows SharePoint Server. Elle permet à un attaquant distant et authentifié de provoquer une exécution de code arbitraire sur le serveur.
La mise à jour des produits Microsoft est fortement recommandée, notamment pour corriger ces 2 vulnérabilités.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-130/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-129/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21984
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22005
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 07 au 13 février 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-114 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-115 : Vulnérabilité dans IBM WebSphere
- CERTFR-2022-AVI-116 : Vulnérabilité dans MongoDB
- CERTFR-2022-AVI-117 : Multiples vulnérabilités dans Postfix
- CERTFR-2022-AVI-118 : [MàJ] Multiples vulnérabilités dans Zimbra
- CERTFR-2022-AVI-119 : Vulnérabilité dans SonicWall SMA1000
- CERTFR-2022-AVI-120 : Vulnérabilité dans Red Hat Gluster Storage Server
- CERTFR-2022-AVI-121 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2022-AVI-122 : Multiples vulnérabilités dans Google Android
- CERTFR-2022-AVI-123 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2022-AVI-124 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2022-AVI-125 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2022-AVI-126 : Multiples vulnérabilités dans Mozilla Firefox
- CERTFR-2022-AVI-127 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2022-AVI-128 : Vulnérabilité dans les produits F-Secure
- CERTFR-2022-AVI-129 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2022-AVI-130 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-131 : Vulnérabilité dans Microsoft .Net
- CERTFR-2022-AVI-132 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2022-AVI-133 : Multiples vulnérabilités dans Citrix Hypervisor
- CERTFR-2022-AVI-134 : Multiples vulnérabilités dans Tenable Nessus
- CERTFR-2022-AVI-135 : Multiples vulnérabilités dans Stormshield Network Security
- CERTFR-2022-AVI-136 : Multiples vulnérabilités dans les produits Palo Alto Networks
- CERTFR-2022-AVI-137 : Vulnérabilité dans les produits Apple
- CERTFR-2022-AVI-138 : Vulnérabilité dans Microsoft Edge
- CERTFR-2022-AVI-139 : Multiples vulnérabilités dans Wireshark
- CERTFR-2022-AVI-140 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-141 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-142 : [SCADA] Multiples vulnérabilités dans les produits Moxa
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-AVI-094 : Vulnérabilité dans Symfony
