Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 28
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| IBM | IBM Tivoli Netcool/OMNIbus_GUI | CVE-2021-3918 | 9.8 | Exécution de code arbitraire à distance | 15/07/2022 | Pas d’information | CERTFR-2022-AVI-647 | https://www.ibm.com/support/pages/node/6590981 |
| IBM | App Connect Enterprise Certified Container 1.1 EUS (EUS) | CVE-2022-29622 | 9.8 | Exécution de code arbitraire à distance | 13/07/2022 | Pas d’information | CERTFR-2022-AVI-631 | https://www.ibm.com/support/pages/node/6602965 |
| IBM | IBM MQ Operator CD release | CVE-2020-15257 | 9.8 | Élévation de privilèges | 11/07/2022 | Pas d’information | CERTFR-2022-AVI-624 | https://www.ibm.com/support/pages/node/6602259 |
| IBM | IBM i Modernization Engine for Lifecycle Integration | CVE-2022-22965 | 9.8 | Exécution de code arbitraire à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-626 | https://www.ibm.com/support/pages/node/6602625 |
| SonicWall | Email Security | CVE-2022-1292 | 9.8 | Exécution de code arbitraire à distance | 15/07/2022 | Pas d’information | CERTFR-2022-AVI-648 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0011 |
| Schneider Electric | Smart-UPS SMT Series, Smart-UPS SMC Series | CVE-2022-22805 | 9.0 | Exécution de code arbitraire à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-215 | SEVD-2022-067-02_APC_Smart-UPS_Security_Notification_V4.0_EN.pdf |
| Schneider Electric | Smart-UPS SMT Series, Smart-UPS SMC Series | CVE-2022-22806 | 9.0 | Exécution de code arbitraire à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-215 | SEVD-2022-067-02_APC_Smart-UPS_Security_Notification_V4.0_EN.pdf |
| Schneider Electric | IGSS Data Server | CVE-2022-2329 | 9.8 | Exécution de code arbitraire à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-628 | SEVD-2022-102-01_IGSS_Security_Notification_V2.0.pdf |
| Schneider Electric | SCADAPack RemoteConnect for x70 | CVE-2021-22779 | 9.8 | Contournement de la politique de sécurité | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-215 | SEVD-2021-194-01_EcoStruxure_[…]_M580_M340_V4.0.pdf |
| Microsoft | Windows | CVE-2022-22047 | 7.8 | Exécution de code arbitraire | 13/07/2022 | Exploitée | CERTFR-2022-AVI-633 | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22047 | Siemens | Opcenter Quality 13.1, Opcenter Quality 13.2 | CVE-2022-33736 | 9.6 | Contournement de la politique de sécurité | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-627 | https://cert-portal.siemens.com/productcert/html/ssa-944952.html |
| Siemens | SCALANCE | CVE-2022-26649 | 9.6 | Déni de service à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-627 | https://cert-portal.siemens.com/productcert/html/ssa-310038.html |
| Siemens | SINAMICS PERFECT HARMONY GH180 Drives | CVE-2021-29998 | 9.8 | Exécution de code arbitraire à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-627 | https://cert-portal.siemens.com/productcert/html/ssa-910883.html |
| Siemens | SIMATIC eaSie Core Package | CVE-2021-44222 | 10 | Exécution de code arbitraire à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-627 | https://cert-portal.siemens.com/productcert/html/ssa-580125.html |
| Siemens | SIMATIC CP, SIPLUS ET, SIPLUS NET CP, SIPLUS S7 | CVE-2022-34819 | 10 | Exécution de code arbitraire à distance | 12/07/2022 | Pas d’information | CERTFR-2022-AVI-627 | https://cert-portal.siemens.com/productcert/html/ssa-517377.html |
CVE-2022-32212 et CVE-2022-32223 : Multiples vulnérabilités dans Node.js
Le 07 juillet 2022, l’éditeur a publié un avis concernant sept vulnérabilités dont deux considérées comme étant de gravité élevée.
La vulnérabilité CVE-2022-32212 affecte toutes les versions de Node.js : 18.x, 16.x et 14.x.
Un manque de contrôle dans la validité d’une adresse IP peut permettre à un attaquant d’émettre des requêtes DNS vers un serveur administré par ce dernier. Cet attaquant est alors en mesure d’usurper les réponses DNS via une attaque de l’intermédiaire (MITM). Il peut ensuite se connecter au débogueur WebSocket et tenter une exécution de code arbitraire.
La vulnérabilité CVE-2022-32223 concerne les versions 16.x et 14.x de Node.js.
Elle concerne les environnements Windows installés avec OpenSSL et uniquement si le fichier openssl.cnf est présent dans C:\Program Files\Common Files\SSL.
Dans ces conditions, la vulnérabilité permet à un attaquant de téléverser une versions malveillante de providers.dll. Il sera ensuite en mesure de tenter une exécution de code arbitraire à distance.
Les sept vulnérabilités ont été corrigées dans Node.js version 14.20.0 (LTS), Node.js version 16.16.0 (LTS) et Node.js version 18.5.0 (Current).
Liens :
CVE-2022-29900 et CVE-2022-29901 : Retbleed, multiples vulnérabilités dans les processeurs Intel, AMD et ARM
Le 12 juillet 2022, deux chercheurs de l’université de Zurich ont publié un avis concernant deux vulnérabilités associées aux mécanismes d’exécution spéculative des processeurs Intel et AMD.
Retbleed est une nouvelle attaque de type Spectre-BTI qui exploite l’injection de cibles de branche (branch targets injection) dans le but de provoquer une atteinte à la confidentialité des informations localisées dans la mémoire du noyau.
Les vulnérabilités CVE-2022-29900 et CVE-2022-29901 concernent les processeurs Intel Core génération 6, 7 et 8 produits entre 2015 et 2017 ainsi que les processeurs AMD Zen 1, Zen 1+ et Zen 2 produits entre 2017 et 2019. Les deux constructeurs ont fourni des listes plus complètes accessibles via les liens listés ci-dessous.
L’éditeur Intel a indiqué dans le billet de blogue 1399055 que les systèmes d’exploitation Windows ne sont pas affectés par la vulnérabilité CVE-2022-29901 car la spéculation indirecte restreinte à la branche (Indirect Branch Restricted Speculation) est configurée par défaut.
Enfin, l’éditeur ARM a précisé dans l’avis ka005138 que les processeurs vulnérables à l’attaque Spectre par canal latéral (Spectre side-channel attack) utilisant des branches indirectes sont également vulnérables à Retbleed.
Le CERT-FR recommande de mettre à jour les systèmes d’exploitation des processeurs vulnérables à la dernière version disponible.
Liens :
- https://comsec.ethz.ch/research/microarch/retbleed/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-636/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-637/
- https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00702.html
- https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1037
- https://developer.arm.com/documentation/ka005138/1-0/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 11 au 17 juillet 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-AVI-623 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2022-AVI-624 : Multiples vulnérabilités dans IBM MQ Operator et Queue manager
- CERTFR-2022-AVI-625 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2022-AVI-626 : Multiples vulnérabilités dans IBM i Modernization
- CERTFR-2022-AVI-627 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2022-AVI-628 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2022-AVI-629 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-630 : Vulnérabilité dans Veeam Management Pack
- CERTFR-2022-AVI-631 : Vulnérabilité dans IBM App Connect Enterprise Certified Container
- CERTFR-2022-AVI-632 : Vulnérabilité dans Microsoft Office
- CERTFR-2022-AVI-633 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-634 : Multiples vulnérabilités dans Microsoft Azure
- CERTFR-2022-AVI-635 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2022-AVI-636 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2022-AVI-637 : Multiples vulnérabilités dans les produits AMD
- CERTFR-2022-AVI-638 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2022-AVI-639 : Vulnérabilité dans Ruby on Rails
- CERTFR-2022-AVI-640 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2022-AVI-641 : Multiples vulnérabilités dans Xen
- CERTFR-2022-AVI-642 : Vulnérabilité dans les produits F-Secure
- CERTFR-2022-AVI-643 : Vulnérabilité dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-644 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-645 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-646 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2022-AVI-647 : Vulnérabilité dans IBM Tivoli Netcool/OMNIbus
- CERTFR-2022-AVI-648 : Multiples vulnérabilités dans les produits SonicWall
- CERTFR-2022-AVI-649 : Multiples vulnérabilités dans Grafana
- CERTFR-2022-AVI-650 : Multiples vulnérabilités dans les produits Juniper
