Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 13
Tableau récapitulatif
| Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| IBM | Control Center | CVE-2020-27221 | 9.8 | Exécution de code arbitraire à distance | 18/03/2022 | Pas d’information | CERTFR-2022-AVI-259 | 6564757 |
| HP | HP Color LaserJet Pro, HP LaserJet Pro, HP PageWide, HP OfficeJet Pro | CVE-2022-24292 | 9.8 | Exécution de code arbitraire à distance, déni de service à distance, atteinte à la confidentialité des données | 21/03/2022 | Pas d’information | CERTFR-2022-AVI-268 | hpsbpi03781 |
| HP | HP Color LaserJet Pro, HP LaserJet Pro, HP PageWide, HP OfficeJet Pro | CVE-2022-24293 | 9.8 | Exécution de code arbitraire à distance, déni de service à distance, atteinte à la confidentialité des données | 21/03/2022 | Pas d’information | CERTFR-2022-AVI-268 | hpsbpi03781 |
| VMware | Carbon Black App Control | CVE-2022-22951 | 9.1 | Exécution de code arbitraire à distance | 25/03/2022 | Pas d’information | CERTFR-2022-AVI-269 | VMSA-2022-0008 |
| VMware | Carbon Black App Control | CVE-2022-22952 | 9.1 | Contournement de la politique de sécurité | 25/03/2022 | Pas d’information | CERTFR-2022-AVI-269 | VMSA-2022-0008 |
| SonicWall | FireWalls, NSsp Firewall, NSv Firewalls | CVE-2022-22274 | 9.4 | Exécution de code arbitraire à distance | 25/03/2022 | Pas d’information | CERTFR-2022-AVI-271 | SNWLID-2022-0003 |
CVE-2022-22274 : Vulnérabilité dans les pare-feux SonicWall
Le 25 mars 2022, l’éditeur a déclaré une vulnérabilité critique affectant le système d’exploitation SonicOS disposant des versions 6 et 7. Cette vulnérabilité permet à un attaquant non authentifié, en envoyant une requête HTTP forgée, de réaliser un déni de service et potentiellement une exécution de code arbitraire sur le produit. Une très large gamme de produits SonicWall est donc concernée par cette vulnérabilité. Un correctif est disponible pour l’ensemble des produits affectés excepté pour le produit SonicWall NSsp 15700 qui devrait disposer d’une mise à jour mi-avril.
Par ailleurs, le CERT-FR recommande de suivre les indications de l’éditeur concernant le durcissement de l’accès à l’interface de management et de ne jamais l’exposer directement sur Internet.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-271/
- https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0003
Vulnérabilités antérieures
CVE-2021-44529 : Vulnérabilité dans Ivanti endpoint manager cloud services appliance
Le 21 décembre 2021, l’éditeur a corrigé une vulnérabilité critique permettant à un attaquant de réaliser une exécution de code arbitraire à distance.
Cette vulnérabilité affecte tous les produits Ivanti EPM Cloud Services Appliance (CSA) disposant d’une version antérieure à 4.6. Des codes d’exploitations sont publiquement disponibles pour cette vulnérabilité.
Liens :
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 21 au 27 mars 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-258 : Vulnérabilité dans les produits Sophos
- CERTFR-2022-AVI-259 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2022-AVI-260 : Multiples vulnérabilités dans Moodle
- CERTFR-2022-AVI-261 : Multiples vulnérabilités dans Sophos UTM
- CERTFR-2022-AVI-262 : Vulnérabilité dans Drupal Core
- CERTFR-2022-AVI-263 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-264 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2022-AVI-265 : Multiples vulnérabilités dans le noyau Linux de Ubuntu
- CERTFR-2022-AVI-266 : Multiples vulnérabilités dans IBM WebSphere Service Registry and Repository
- CERTFR-2022-AVI-267 : Multiples vulnérabilités dans Juniper Networks Junos Space
- CERTFR-2022-AVI-268 : Multiples vulnérabilités dans les produits HP
- CERTFR-2022-AVI-269 : Multiples vulnérabilités dans VMware Carbon Black App Control
- CERTFR-2022-AVI-270 : Multiples vulnérabilités dans le noyau Linux de Ubuntu
- CERTFR-2022-AVI-271 : Vulnérabilité dans les produits SonicWall
- CERTFR-2022-AVI-272 : Multiples vulnérabilités dans IBM QRadar
