S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 avril 2022
N° CERTFR-2022-ACT-014
Affaire suivie par: CERT-FR
le 04 avril 2022

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2022-ACT-014

Gestion du document

Référence CERTFR-2022-ACT-014
Titre Bulletin d’actualité CERTFR-2022-ACT-014
Date de la première version 04 avril 2022
Date de la dernière version 04 avril 2022
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 14

Tableau récapitulatif

Vulnérabilités critiques du 28/03/2022 au 01/04/2022
Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (preuve de concept publique) Avis Cert-FR Avis éditeur
Sophos Sophos Firewall CVE-2022-1040 9.8 Exécution de code arbitraire à distance 25/03/2022 OUI CERTFR-2022-AVI-274 sophos-sa-20220325-sfos-rce
Trend Micro Apex Central CVE-2022-26871 8.6 Exécution de code arbitraire à distance, téléversement de fichier 29/03/2022 OUI CERTFR-2022-AVI-288 000290678
Noyau Linux IPsec CVE-2022-27666 7.8 Exécution de code arbitraire, déni de service 28/03/2022 Pas d’information CERTFR-2022-AVI-282 USN-5353-1
VMware Spring Cloud Function CVE-2022-22963 9.8 Exécution de code arbitraire à distance 29/03/2022 OUI CERTFR-2022-AVI-287 cve-2022-22963
VMware Spring Framework CVE-2022-22965 9.8 Exécution de code arbitraire à distance 31/03/2022 OUI CERTFR-2022-AVI-297 cve-2022-22965
Gitlab Community Edition et Enterprise Edition CVE-2022-1162 9.1 Contournement de la politique de sécurité, élévation de privilèges, atteinte à la confidentialité des données 31/03/2022 Pas d’information CERTFR-2022-AVI-304 gitlab-14-9-2-released
Apple macOS CVE-2022-22674 Pas d’information Exécution de code arbitraire, qtteinte à la confidentialité des données 31/03/2022 OUI CERTFR-2022-AVI-301 HT213220
Apple macOS, iOS, iPadOS CVE-2022-22675 Pas d’information Exécution de code arbitraire, qtteinte à la confidentialité des données 31/03/2022 OUI CERTFR-2022-AVI-301 HT213219
IBM IBM QRadar Network Security CVE-2016-4658 9.8 Exécution de code arbitraire à distance, déni de service à distance, atteinte à l’intégrité des données, atteinte à la confidentialité des données 31/03/2022 Pas d’information CERTFR-2022-AVI-302 6568207

CVE-2022-1040 : Vulnérabilité dans Sophos Firewall

Le 25 mars 2022, l’éditeur a publié un bulletin de sécurité concernant la vulnérabilité dont l’identifiant CVE est CVE-2022-1040. Elle a un score CVSS de 9.8 et est amenée par une faiblesse dans la gestion de l’authentification au niveau du portail d’administration. Cette vulnérabilité permet à un attaquant non authentifié de tenter une exécution de code arbitraire à distance. Elle est corrigée dans Sophos Firewall version 18.5.3.

Sophos a observé que cette vulnérabilité avait été utilisée pour cibler certaines organisations principalement présentes en Asie du Sud.

L’éditeur indique que la configuration par défaut de ces équipements autorise l’application automatique de correctifs de sécurité. Il préconise par ailleurs de ne pas exposer les portails d’administration sur le WAN.

L’ANSSI recommande fortement l’application des correctifs de sécurité lorsque ceux-ci sont disponibles. De manière générale, il faut a minima prendre les mesures nécessaires pour que l’interface de gestion d’un pare-feu, comme pour tout autre équipement périmétrique, ne soit pas accessible directement sur internet.
Concrètement, cela se traduit par bloquer l’accès à l’interface de gestion par le réseau étendu (WAN). Si un accès à distance est requis par les administrateurs, ceux-ci peuvent passer par l’interface du réseau local (LAN) par le biais d’un réseau privé virtuel (Virtual Private Network, VPN).

Rappels :

Liens :

CVE-2022-22963 et CVE-2022-22965 : Multiples vulnérabilités dans Spring

Le 29 mars 2022, puis le 31 mars 2022, l’éditeur a publié deux avis de sécurité concernant deux vulnérabilités en rapport avec Spring. Cet environnement Open Source répandu est utilisé dans la construction d’applications Java. Le cadriciel Spring sert de base aux bibliothèques Spring Cloud ou Spring Boot.

La vulnérabilité identifiée CVE-2022-22963 est présente dans la bibliothèque Spring Cloud Function. Cette vulnérabilité autorise l’utilisation d’un contexte d’évaluation non sécurisé lorsqu’un attaquant, authentifié ou non, transmet une requête HTTP spécifique. Ce dernier est alors en mesure de tenter une exécution de code arbitraire à distance. Cette vulnérabilité a été corrigée dans Spring Cloud Function versions 3.1.7 et 3.2.3.

Des preuves de concept ont été publiées sur internet.

La vulnérabilité surnommée SpringShell ou Spring4Shell dont l’identifiant CVE est CVE-2022-22965 est présente dans le cadriciel Spring. Une méthode de ce cadriciel expose à tort l’objet de classe lors de la liaison des paramètres d’une requête HTTP avec un objet Java. A partir de cet objet class et d’une fonctionnalité introduite dans Java version 9, un attaquant est en mesure d’accéder aux propriétés de l’objet chargeur de classe (ClassLoader) de Tomcat.

A la suite de la découverte de la vulnérabilité identifiée CVE-2010-1622, l’accès au chargeur de classe (ClassLoader) de Tomcat avait été restreint par la mise en place d’une liste noire (blacklist) des méthodes interdites. Un nouvel objet, nommé Module, introduit dans Java version 9, permet de contourner cette restriction car il possède aussi une propriété ClassModule accessible au travers de Spring et dont les méthode ne sont pas explicitement interdites dans la liste noire.

Un attaquant est alors en mesure d’altérer la configuration de journalisation de Tomcat puis d’écrire arbitrairement un fichier JSP malicieux accessible depuis internet et exécutant un interpréteur de commandes (webshell).

La vulnérabilité affecte aussi tous les éléments dépendant du cadriciel Spring comme par exemple la bibliothèque Spring Boot.

Les preuves de concept disponibles sur internet fonctionnent dans un contexte applicatif précis :

  • cadriciel Spring en versions 5.3.x antérieures à 5.3.18 ou 5.2.x antérieures à 5.2.20
  • JDK version 9 ou supérieure
  • Apache Tomcat en versions antérieures à 10.0.20, 9.0.62 et 8.5.78, défini comme étant le conteneur d’extensions (serveur de servlets)
  • application vulnérable contenue dans un paquet WAR
  • dépendance à spring-webmvc ou à spring-webflux

Le CERT-FR recommande d’appliquer les correctifs publiés par l’éditeur. Si l’application de ces correctifs n’est pas envisageable, se référer aux mesures de contournement indiquées dans l’annonce anticipée.

Liens :

 

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 28 mars au 03 avril 2022, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 04 avril 2022
    Version initiale