Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 15

Tableau récapitulatif :

Vulnérabilités critiques du 04/04/22 au 08/04/22
Editeur Produit Identifiant CVE Score CVSS Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation, vRealize Suite Lifecycle Manager CVE-2022-22958 9.1 Exécution de code arbitraire à distance 06/04/2022 Pas d’information CERTFR-2022-AVI-318 https://www.vmware.com/security/advisories/VMSA-2022-0011.html
VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation, vRealize Suite Lifecycle Manager CVE-2022-22957 9.1 Exécution de code arbitraire à distance 06/04/2022 Pas d’information CERTFR-2022-AVI-318 https://www.vmware.com/security/advisories/VMSA-2022-0011.html
VMware Workspace ONE Access, Identity Manager, Cloud Foundation, vRealize Suite Lifecycle Manager CVE-2022-22954 9.8 Exécution de code arbitraire à distance 06/04/2022 Pas d’information CERTFR-2022-AVI-318 https://www.vmware.com/security/advisories/VMSA-2022-0011.html
VMware Workspace ONE Access CVE-2022-22955 9.8 Contournement de la politique de sécurité, atteinte à la confidentialité et à l’intégrité des données 06/04/2022 Pas d’information CERTFR-2022-AVI-318 https://www.vmware.com/security/advisories/VMSA-2022-0011.html
VMware Workspace ONE Access CVE-2022-22956 9.8 Contournement de la politique de sécurité, atteinte à la confidentialité et à l’intégrité des données 06/04/2022 Pas d’information CERTFR-2022-AVI-318 https://www.vmware.com/security/advisories/VMSA-2022-0011.html
Cisco Nexus Dashboard Fabric Controller CVE-2017-5641 9.8 Exécution de code arbitraire à distance 01/04/2022 Exploitée CERTFR-2022-AVI-315 https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvz62623
Apache HTTP server CVE-2022-22721 9.8 Exécution de code arbitraire à distance 14/03/2022 Pas d’information CERTFR-2022-AVI-241 https://httpd.apache.org/security/vulnerabilities_24.html
Apache HTTP server CVE-2022-23943 9.8 Exécution de code arbitraire à distance 14/03/2022 Pas d’information CERTFR-2022-AVI-241 https://httpd.apache.org/security/vulnerabilities_24.html
Apache HTTP server CVE-2022-22720 9.8 Contrebande de requête HTTP (HTTP request smuggling) 14/03/2022 Pas d’information CERTFR-2022-AVI-241 https://httpd.apache.org/security/vulnerabilities_24.html

CVE-2022-22954, CVE-2022-22955, CVE-2022-22956, CVE-2022-22957 et CVE-2022-22958 : Multiples vulnérabilités dans les produits VMware

Le 07 avril 2022, l’éditeur a déclaré plusieurs vulnérabilités critiques affectant notamment la solution de gestion de l’identité Workspace ONE Access (auparavant dénommée Identity Manager) mais également des composants de sa solution d’administration d’environnement cloud vRealize.
Les vulnérabilités, désignées par les identifiants CVE-2022-22954, CVE-2022-22955 et CVE-2022-22956, permettent à un attaquant non authentifié d’exécuter du code arbitraire sur les serveurs exécutant ces services, donnant la possibilité à l’attaquant d’en prendre le contrôle puis compromettre le système d’information. Les CVE-2022-22957 et CVE-2022-22958 permettent à un utilisateur authentifié d’exécuter du code arbitraire à distance et de prendre également le contrôle des services d’administration.
L’application des correctifs est donc fortement recommandée.

Liens :

CVE-2017-5641 : Vulnérabilité dans Cisco Nexus Dashboard Fabric Controller

Le 06 avril 2022, l’éditeur a publié une mise à jour de sa solution Nexus Dashboard Fabric Controller (anciennement DCNM) afin de corriger une vulnérabilité affectant le composant Apache Flex. Des codes d’exploitation sont disponibles pour exploiter cette vulnérabilité au sein de Cisco Nexus Dashboard Fabric Controller. Ils permettent à un attaquant non authentifié de prendre le contrôle de cette solution d’administration.
L’application des correctifs est donc fortement recommandée, ainsi que l’application des règles pour l’administration sécurisée des systèmes d’information [1].

Liens :

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 04 au 10 avril 2022, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :