Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 17
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSS | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Atlassian | Jira | CVE-2022-0540 | 9.9 | Contournement de la politique de sécurité | 21/04/2022 | Pas d’information | CERTFR-2022-AVI-382 | https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html |
| Grafana | Enterprise | CVE-2022-24812 | 8.8 | Élévation de privilèges | 21/04/2022 | Pas d’information | CERTFR-2022-AVI-378 | https://grafana.com/blog/2022/04/12/grafana-enterprise-8.4.6-released-with-high-severity-security-fix/ |
| Microsoft | Windows | CVE-2022-22718 | 7.8 | Élévation de privilèges | 21/04/2022 | Exploitée | CERTFR-2022-AVI-130 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22718 |
| Oracle | Java SE, GraalVM Enterprise Edition | CVE-2022-21449 | 7.5 | Atteinte à l’intégrité des données, atteinte à la confidentialité des données | 21/04/2022 | Oui | CERTFR-2022-AVI-364 | https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA |
| Oracle | Solaris Cluster | CVE-2019-17195 | 9.8 | Déni de service à distance | 20/04/2022 | Pas d’information | CERTFR-2022-AVI-367 | https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixSUNS |
| Oracle | JDeveloper | CVE-2022-21445 | 9.8 | Exécution de code arbitraire à distance | 20/04/2022 | Pas d’information | CERTFR-2022-AVI-369 | https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixFMW |
| Oracle | Fusion (Coherence Core protocole T3) | CVE-2022-21420 | 9.8 | Exécution de code arbitraire à distance | 20/04/2022 | Pas d’information | CERTFR-2022-AVI-369 | https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixFMW |
| Oracle | MySQL | CVE-2022-23305 | 9.8 | Exécution de code arbitraire à distance | 20/04/2022 | Pas d’information | CERTFR-2022-AVI-369 | https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixMSQL |
| Tenable | Tenable.sc | CVE-2021-41116 | 9.8 | Exécution de code arbitraire à distance | 21/04/2022 | Pas d’information | CERTFR-2022-AVI-370 | https://www.tenable.com/security/tns-2022-09 |
| Chrome pour Windows, Mac et Linux | CVE-2022-1364 | Pas d’information | Élévation de privilèges | 18/04/2022 | Exploitée | CERTFR-2022-AVI-355 | https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html |
CVE-2022-21449 : Vulnérabilité dans Oracle java SE et Oracle GraalVM Enterprise Edition
Le 19 avril 2022, lors de la publication de son avis trimestriel concernant les mises à jour critiques, l’éditeur a déclaré une vulnérabilité affectant les produits Oracle Java SE et Oracle GraalVM Enterprise Edition. La vulnérabilité est identifiée par l’identifiant CVE-2022-21449 et a un score CVSSv3 de 7.5.
Une faiblesse dans l’implémentation de l’algorithme de vérification d’une signature de type elliptic curve digital signature algorithm ou ECDSA permet à un attaquant distant de compromettre l’intégrité et la confidentialité des données transitant vers une machine virtuelle Java. L’attaquant peut alors intercepter et altérer des communications chiffrées, par exemple, via TLS, et à destination de processus d’authentification ou de gestion des accès utilisant ECDSA, comme des objets JWT signés, des assertions SAML, des périphériques WebAuthn/FIDO, etc.
La vulnérabilité concerne les produits Oracle Java SE versions 15, 17.0.2 et 18 ainsi que les produits Oracle GraalVM Enterprise Edition versions 21.3.1 et 22.0.0.2.
Une preuve de concept est disponible sur internet.
Le CERT-FR encourage fortement la mise à jour des environnements Java à la dernière version proposée par l’éditeur.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-364/
- https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA
- https://openjdk.java.net/groups/vulnerability/advisories/2022-04-19
CVE-2022-0540 : Vulnérabilité dans Atlassian Jira
Le 21 avril 2022, l’éditeur a déclaré une vulnérabilité dans les produits Jira et Jira Service Management. La vulnérabilité, identifiée CVE-2022-0540, a un score CVSSv3 de 9.9. Elle permet à un attaquant distant de contourner la politique de sécurité mise en place au travers de Seraph, le cadriciel de sécurité déployé sur les produits Jira et Confluence pour gérer les demandes de connexion et de déconnexion des utilisateurs.
L’éditeur précise que la vulnérabilité peut être exploitée dans une configuration spécifique de Seraph. Cette vulnérabilité peut aussi ne pas avoir d’impact en fonction des applications installées, leur modèle de sécurité pouvant compléter celui de Seraph.
À cet effet, Atlassian a publié une liste de questions fréquentes concernant la vulnérabilité. Se référer au bulletin de sécurité Atlassian FAQ 1123193843 du 20 avril 2022.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-382/
- https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
- https://jira.atlassian.com/browse/JSDSERVER-11224
- https://jira.atlassian.com/browse/JRASERVER-73650
- https://confluence.atlassian.com/kb/faq-for-cve-2022-0540-1123193843.html
CVE-2022-22718 : Vulnérabilité dans le spouleur d’impression de Microsoft Windows
Le 8 février 2022, lors de sa campagne mensuelle de corrections de vulnérabilités (patch tuesday), l’éditeur a publié un avis concernant la vulnérabilité CVE-2022-22718. Elle a un score CVSSv3 de 7.8 et concerne le service d’impression de Windows. Cette vulnérabilité permet à un attaquant local de tenter une élévation de privilèges.
Cette vulnérabilité fait l’objet d’une exploitation active. Une preuve de concept a été publiée sur internet.
L’installation des mises à jour du patch tuesday de février 2022 a amené divers conflits pouvant entraîner un retrait potentiel du correctif concernant cette vulnérabilité. Il est important de vérifier que ce correctif est bien déployé sur les envrionnements concernés.
Pour rappel, 15 vulnérabilités ont été corrigées dans le spouleur d’impression du système d’exploitation Windows avec le patch tuesday d’avril 2022.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-130/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22718
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 18 au 24 avril 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-353 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-354 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-355 : Vulnérabilité dans Google Chrome
- CERTFR-2022-AVI-356 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2022-AVI-357 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-358 : Multiples vulnérabilités dans Postfix
- CERTFR-2022-AVI-359 : Vulnérabilité dans Mitel MiVoice Connect
- CERTFR-2022-AVI-360 : [SCADA] Vulnérabilité dans les produits Siemens
- CERTFR-2022-AVI-361 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-362 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-363 : Multiples vulnérabilités dans Oracle Database Server
- CERTFR-2022-AVI-364 : Multiples vulnérabilités dans Oracle Java SE
- CERTFR-2022-AVI-365 : Multiples vulnérabilités dans Oracle MySQL
- CERTFR-2022-AVI-366 : Multiples vulnérabilités dans Oracle PeopleSoft
- CERTFR-2022-AVI-367 : Multiples vulnérabilités dans Oracle Systems
- CERTFR-2022-AVI-368 : Multiples vulnérabilités dans Oracle Virtualization
- CERTFR-2022-AVI-369 : Multiples vulnérabilités dans Oracle WebLogic Server
- CERTFR-2022-AVI-370 : Multiples vulnérabilités dans Tenable.sc
- CERTFR-2022-AVI-371 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2022-AVI-372 : Multiples vulnérabilités dans Drupal core
- CERTFR-2022-AVI-373 : Vulnérabilité dans les produits Palo Alto Networks
- CERTFR-2022-AVI-374 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-375 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-376 : Multiples vulnérabilités dans Fortinet FortiSOAR
- CERTFR-2022-AVI-377 : Vulnérabilité dans VMware Spring Security OAuth
- CERTFR-2022-AVI-378 : Vulnérabilité dans Grafana Enterprise
- CERTFR-2022-AVI-379 : Multiples vulnérabilités dans Stormshield Network VPN Client
- CERTFR-2022-AVI-380 : Vulnérabilité dans MongoDB Server
- CERTFR-2022-AVI-381 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-382 : Vulnérabilité dans Atlassian Jira
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-AVI-332 : Vulnérabilité dans Apache Struts
