Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 15
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
VMware | Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation, vRealize Suite Lifecycle Manager | CVE-2022-22958 | 9.1 | Exécution de code arbitraire à distance | 06/04/2022 | Pas d’information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation, vRealize Suite Lifecycle Manager | CVE-2022-22957 | 9.1 | Exécution de code arbitraire à distance | 06/04/2022 | Pas d’information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access, Identity Manager, Cloud Foundation, vRealize Suite Lifecycle Manager | CVE-2022-22954 | 9.8 | Exécution de code arbitraire à distance | 06/04/2022 | Pas d’information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access | CVE-2022-22955 | 9.8 | Contournement de la politique de sécurité, atteinte à la confidentialité et à l’intégrité des données | 06/04/2022 | Pas d’information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
VMware | Workspace ONE Access | CVE-2022-22956 | 9.8 | Contournement de la politique de sécurité, atteinte à la confidentialité et à l’intégrité des données | 06/04/2022 | Pas d’information | CERTFR-2022-AVI-318 | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |
Cisco | Nexus Dashboard Fabric Controller | CVE-2017-5641 | 9.8 | Exécution de code arbitraire à distance | 01/04/2022 | Exploitée | CERTFR-2022-AVI-315 | https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvz62623 |
Apache | HTTP server | CVE-2022-22721 | 9.8 | Exécution de code arbitraire à distance | 14/03/2022 | Pas d’information | CERTFR-2022-AVI-241 | https://httpd.apache.org/security/vulnerabilities_24.html |
Apache | HTTP server | CVE-2022-23943 | 9.8 | Exécution de code arbitraire à distance | 14/03/2022 | Pas d’information | CERTFR-2022-AVI-241 | https://httpd.apache.org/security/vulnerabilities_24.html |
Apache | HTTP server | CVE-2022-22720 | 9.8 | Contrebande de requête HTTP (HTTP request smuggling) | 14/03/2022 | Pas d’information | CERTFR-2022-AVI-241 | https://httpd.apache.org/security/vulnerabilities_24.html |
CVE-2022-22954, CVE-2022-22955, CVE-2022-22956, CVE-2022-22957 et CVE-2022-22958 : Multiples vulnérabilités dans les produits VMware
Le 07 avril 2022, l’éditeur a déclaré plusieurs vulnérabilités critiques affectant notamment la solution de gestion de l’identité Workspace ONE Access (auparavant dénommée Identity Manager) mais également des composants de sa solution d’administration d’environnement cloud vRealize.
Les vulnérabilités, désignées par les identifiants CVE-2022-22954, CVE-2022-22955 et CVE-2022-22956, permettent à un attaquant non authentifié d’exécuter du code arbitraire sur les serveurs exécutant ces services, donnant la possibilité à l’attaquant d’en prendre le contrôle puis compromettre le système d’information. Les CVE-2022-22957 et CVE-2022-22958 permettent à un utilisateur authentifié d’exécuter du code arbitraire à distance et de prendre également le contrôle des services d’administration.
L’application des correctifs est donc fortement recommandée.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-318/
- https://www.vmware.com/security/advisories/VMSA-2022-0011.html
- https://www.vmware.com/security/advisories/VMSA-2022-0012.html
CVE-2017-5641 : Vulnérabilité dans Cisco Nexus Dashboard Fabric Controller
Le 06 avril 2022, l’éditeur a publié une mise à jour de sa solution Nexus Dashboard Fabric Controller (anciennement DCNM) afin de corriger une vulnérabilité affectant le composant Apache Flex. Des codes d’exploitation sont disponibles pour exploiter cette vulnérabilité au sein de Cisco Nexus Dashboard Fabric Controller. Ils permettent à un attaquant non authentifié de prendre le contrôle de cette solution d’administration.
L’application des correctifs est donc fortement recommandée, ainsi que l’application des règles pour l’administration sécurisée des systèmes d’information [1].
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-315/
- https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvz62623
- [1] https://www.ssi.gouv.fr/guide/securiser-ladministration-des-systemes-dinformation
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 04 au 10 avril 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-305 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-306 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2022-AVI-307 : Vulnérabilité dans VMware Tanzu
- CERTFR-2022-AVI-308 : Multiples vulnérabilités dans Google Android
- CERTFR-2022-AVI-309 : Vulnérabilité dans Google Chrome
- CERTFR-2022-AVI-310 : Vulnérabilité dans le client ownCloud pour Android
- CERTFR-2022-AVI-311 : Multiples vulnérabilités dans Mozilla Firefox et Firefox ESR
- CERTFR-2022-AVI-312 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2022-AVI-313 : Multiples vulnérabilités dans les commutateurs Aruba Instant On 1930
- CERTFR-2022-AVI-314 : Multiples vulnérabilités dans Xen
- CERTFR-2022-AVI-315 : Multiples vulnérabilités dans Cisco Data Center Network Manager
- CERTFR-2022-AVI-316 : Multiples vulnérabilités dans Mozilla Thunderbird
- CERTFR-2022-AVI-317 : Vulnérabilité dans Citrix Hypervisor
- CERTFR-2022-AVI-318 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2022-AVI-319 : Vulnérabilité dans Stormshield Endpoint Security
- CERTFR-2022-AVI-320 : Multiples vulnérabilités dans Tenable Tenable.sc
- CERTFR-2022-AVI-321 : Vulnérabilité dans Microsoft Edge
- CERTFR-2022-AVI-322 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-323 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-324 : Multiples vulnérabilités dans les produits QNAP
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-AVI-091 : Vulnérabilité dans Synology DiskStation Manager
- CERTFR-2022-AVI-179 : Vulnérabilité dans Synology DiskStation Manager
- CERTFR-2022-AVI-278 : Multiples vulnérabilités dans IBM Spectrum discover