Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 17
Tableau récapitulatif :
Vulnérabilités critiques du 02/05/22 au 08/05/22
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| F5 | BIG-IP | CVE-2022-1388 | 9.8 | Exécution de code arbitraire à distance | 04/05/2022 | Oui | CERTFR-2022-AVI-419 | https://support.f5.com/csp/article/K23605346 |
| F5 | BIG-IP, BIG-IQ, F5OS-A/C | CVE-2022-22822 | 9.8 | Exécution de code arbitraire à distance | 01/05/2022 | Oui (non qualifié) | CERTFR-2022-AVI-134 | https://support.f5.com/csp/article/K23421535 |
| F5 | BIG-IP, BIG-IQ, F5OS-A/C | CVE-2022-22823 | 9.8 | Exécution de code arbitraire à distance | 01/05/2022 | Pas d’information | CERTFR-2022-AVI-134 | https://support.f5.com/csp/article/K23421535 |
| F5 | BIG-IP, BIG-IQ, F5OS-A/C | CVE-2022-22824 | 9.8 | Exécution de code arbitraire à distance | 01/05/2022 | Pas d’information | CERTFR-2022-AVI-134 | https://support.f5.com/csp/article/K23421535 |
| F5 | BIG-IP, BIG-IQ | CVE-2022-25236 | 9.8 | Exécution de code arbitraire | 30/04/2022 | Pas d’information | CERTFR-2022-AVI-201 | https://support.f5.com/csp/article/K19473898 |
| F5 | BIG-IP, BIG-IQ | CVE-2022-25315 | 9.8 | Exécution de code arbitraire | 30/04/2022 | Pas d’information | CERTFR-2022-AVI-201 | https://support.f5.com/csp/article/K19473898 |
| F5 | BIG-IP, BIG-IQ | CVE-2022-23852 | 9.8 | Exécution de code arbitraire | 30/04/2022 | Pas d’information | CERTFR-2022-AVI-201 | https://support.f5.com/csp/article/K19473898 |
| F5 | BIG-IP, BIG-IQ | CVE-2022-25235 | 9.8 | Exécution de code arbitraire | 30/04/2022 | Pas d’information | CERTFR-2022-AVI-201 | https://support.f5.com/csp/article/K19473898 |
| Aruba | ClearPass Policy Manager | CVE-2022-23657 | 9.8 | Exécution de code arbitraire à distance | 04/05/2022 | Pas d’information | CERTFR-2022-AVI-417 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-007.txt |
| Aruba | ClearPass Policy Manager | CVE-2022-23658 | 9.8 | Exécution de code arbitraire à distance | 04/05/2022 | Pas d’information | CERTFR-2022-AVI-417 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-007.txt |
| Aruba | ClearPass Policy Manager | CVE-2022-23660 | 9.8 | Exécution de code arbitraire à distance | 04/05/2022 | Pas d’information | CERTFR-2022-AVI-417 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-007.txt |
| Aruba | ArubaOS-Switch | CVE-2022-23676 | 9.1 | Exécution de code arbitraire à distance | 03/05/2022 | Pas d’information | CERTFR-2022-AVI-422 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt |
| Aruba | ArubaOS-Switch | CVE-2022-23677 | 9.0 | Exécution de code arbitraire à distance | 03/05/2022 | Pas d’information | CERTFR-2022-AVI-422 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-008.txt |
| Belden | pac-resolver, Provize Basic | CVE-2021-23406 | 9.8 | Exécution de code arbitraire à distance | 03/05/2022 | Pas d’information | CERTFR-2022-AVI-413 | https://dam.belden.com/dmm3bwsv3/assetstream.aspx?assetid=14299&mediaformatid=50063&destinationid=10016 |
| Avaya | ERS platforms | CVE-2022-29861 | 9.8 | Exécution de code arbitraire à distance | 03/05/2022 | Pas d’information | https://extremeportal.force.com/ExtrArticleDetail?an=000104248 | |
| Avaya | ERS platforms | CVE-2022-29860 | 9.8 | Exécution de code arbitraire à distance | 03/05/2022 | Pas d’information | https://extremeportal.force.com/ExtrArticleDetail?an=000104247 | |
| PJSIP | Fortinet FortiFone | CVE-2021-43845 | 9.1 | Exécution de code arbitraire à distance | 03/05/2022 | Pas d’information | CERTFR-2022-AVI-410 | https://www.fortiguard.com/psirt/FG-IR-22-007 |
| PJSIP | Fortinet FortiFone | CVE-2021-37706 | 9.8 | Exécution de code arbitraire à distance | 03/05/2022 | Pas d’information | CERTFR-2022-AVI-410 | https://www.fortiguard.com/psirt/FG-IR-22-007 |
| Qnap | QVR | CVE-2022-27588 | 9.8 | Exécution de code arbitraire à distance | 05/05/2022 | Pas d’information | CERTFR-2022-AVI-421 | https://www.qnap.com/fr-fr/security-advisory/qsa-22-07 |
CVE-2022-23852, CVE-2022-25315, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-25236, CVE-2022-25235 : Multiples vulnérabilités dans les produits F5
Le 1 mai 2022, l’éditeur a déclaré plusieurs vulnérabilités critiques qui concernent les produits F5 BIG-IP, F5 BIG-IQ et F5 OS-A/C.
Ces vulnérabilités affectent le serveur HTTP des produits F5 et plus spécifiquement la libraire Expat (anciennement libexpat). Celle-ci sert à l’analyse syntaxique de données structurées en XML. Pour le moment l’éditeur n’a publié aucun correctif afin de mettre à jour cette bibliothèque et ainsi corriger ces vulnérabilités. L’éditeur a cependant publié des recommandations afin d’attenuer le risque de compromission.
Des codes d’exploitations sont publiquement disponibles pour certaines de ces vulnérabilités.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-419/
- https://support.f5.com/csp/article/K23421535
- https://support.f5.com/csp/article/K19473898
CVE-2022-1388 : Vulnérabilités dans F5 BIG-IP iControl REST
Le 4 mai 2022, l’éditeur a déclaré une vulnérabilité affectant F5 BIG-IP iControl REST. Cette vulnérabilité permettant de réaliser une exécution de code arbitraire à distance est assez similiaire à une vulnérabilité de 2021 affectant le même produit (CVE-2021-22986). La vulnérabilité CVE-2021-22986 a été largement exploitée. Il est donc assez prévisible qu’il en sera de même pour la CVE-2022-1388. Des codes d’exploitations sont d’ailleurs déjà publiquement disponibles.
L’API iControl REST permet l’automatisation de certaines tâches d’administration. Elle est accessible depuis l’interface d’administration de l’équipement mais également depuis les adresses IP dénommées self-IPs qui peuvent être configurées via le menu Network / Self-IPs dans les différents VLANs auxquels ces équipements sont connectés. Si la mise à jour des équipements ne peut pas être réalisée dans les plus brefs délais, l’éditeur recommande fortement de restreindre l’accès à l’API REST iControl depuis les Self-IPs et de n’autoriser que des équipements de confiance.
Liens :
Autres vulnérabilités
CVE-2022-29861, CVE-2022-29860 : Multiples vulnérabilités dans les produits Avaya
Le 03 mai 2022, l’éditeur a déclaré deux vulnérabilités critiques affectant les produits ERS (Ethernet Routing Switch). Ces vulnérabilités permettent à un attaquant d’exécuter du code arbitraire à distance.
Liens :
- https://extremeportal.force.com/ExtrArticleDetail?an=000104248
- https://extremeportal.force.com/ExtrArticleDetail?an=000104247
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 02 au 08 mai 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-404 : [SCADA] Vulnérabilité dans Moxa MXview Series
- CERTFR-2022-AVI-405 : Multiples vulnérabilités dans Google Android
- CERTFR-2022-AVI-406 : Multiples vulnérabilités dans les produits Gitlab
- CERTFR-2022-AVI-407 : Vulnérabilité dans IBM Spectrum Scale
- CERTFR-2022-AVI-408 : Multiples vulnérabilités dans Google Pixel
- CERTFR-2022-AVI-409 : Multiples vulnérabilités dans Mozilla Firefox et Firefox ESR
- CERTFR-2022-AVI-410 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2022-AVI-411 : Multiples vulnérabilités dans OpenSSL
- CERTFR-2022-AVI-412 : Multiples vulnérabilités dans les produits Mitel
- CERTFR-2022-AVI-413 : Multiples vulnérabilités dans Belden Provize Basic
- CERTFR-2022-AVI-414 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-415 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2022-AVI-416 : Multiples vulnérabilités dans Cisco Enterprise NFVIS
- CERTFR-2022-AVI-417 : Multiples vulnérabilités dans les produits Aruba
- CERTFR-2022-AVI-418 : Multiples vulnérabilités dans Splunk Enterprise
- CERTFR-2022-AVI-419 : Multiples vulnérabilités dans les produits F5
- CERTFR-2022-AVI-420 : Multiples vulnérabilités dans Mozilla Thunderbird
- CERTFR-2022-AVI-421 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2022-AVI-422 : Multiples vulnérabilités dans ArubaOS-Switch
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2021-ALE-017 : Multiples vulnérabilités dans Microsoft Exchange
- CERTFR-2021-ALE-019 : [MaJ] Vulnérabilité dans Microsoft Windows
- CERTFR-2021-ALE-021 : Vulnérabilité dans Microsoft Exchange
- CERTFR-2021-ALE-022 : [MaJ] Vulnérabilité dans Apache Log4j
- CERTFR-2022-ALE-001 : [MaJ] Vulnérabilité dans Microsoft Windows
- CERTFR-2022-ALE-003 : [MàJ] Vulnérabilité dans l’implémentation du protocole RPC par Microsoft
