Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 37
Tableau récapitulatif :
Vulnérabilités critiques du 12/09/22 au 18/09/22
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| TrendMicro | Apex One et Apex One SaaS | CVE-2022-40139 | 7.2 | Exécution de code arbitraire à distance | 13/09/2022 | Exploitée | CERTFR-2022-AVI-817 | https://success.trendmicro.com/dcx/s/solution/000291528?language=en_US |
| Apple | macOS et iOS | CVE-2022-32917 | Exécution de code arbitraire à distance | 12/09/2022 | Exploitée | CERTFR-2022-AVI-812 | https://support.apple.com/en-us/HT213446 | |
| Microsoft | Microsoft Dynamics CRM (on-premises) 9.0 et 9.1 | CVE-2022-35805 | 9.8 | Exécution de code arbitraire à distance | 13/09/2022 | Pas d’information | CERTFR-2022-AVI-842 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-35805 |
| Microsoft | Microsoft Dynamics CRM (on-premises) 9.0 et 9.1 | CVE-2022-34700 | 9.8 | Exécution de code arbitraire à distance | 13/09/2022 | Pas d’information | CERTFR-2022-AVI-842 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34700 |
| Microsoft | Windows 7, 8, 8.1, 10, 11 et Windows Server 2008, 2012, 2016, 2019, 2022 | CVE-2022-37969 | 7.8 | Elévation de privilège | 13/09/2022 | Exploitée | CERTFR-2022-AVI-839 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969 |
| Microsoft | Windows 7, 8, 8.1, 10, 11 et Windows Server 2008, 2012, 2016, 2019, 2022 | CVE-2022-34722 | 9.8 | Exécution de code arbitraire à distance | 13/09/2022 | Pas d’information | CERTFR-2022-AVI-839 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34722 |
| Microsoft | Windows 7, 8, 8.1, 10, 11 et Windows Server 2008, 2012, 2016, 2019, 2022 | CVE-2022-34721 | 9.8 | Exécution de code arbitraire à distance | 13/09/2022 | Preuve de concept publiquement disponible | CERTFR-2022-AVI-839 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34721 |
| Microsoft | Windows 7, 8, 8.1, 10, 11 et Windows Server 2008, 2012, 2016, 2019, 2022 | CVE-2022-34718 | 9.8 | Exécution de code arbitraire à distance | 13/09/2022 | Pas d’information | CERTFR-2022-AVI-839 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34718 |
| IBM | Intelligent Operations Center (IOC) | CVE-2021-23450 | 9.8 | Exécution de code arbitraire à distance | 13/09/2022 | Pas d’information | CERTFR-2022-AVI-816 | https://www.ibm.com/support/pages/node/6619923 |
CVE-2022-37969 : Vulnérabilité dans Microsoft Windows et Microsoft Windows Server
Le 13 septembre 2022, l’éditeur a déclaré une vulnérabilité affectant le driver Windows Common Log File. Cette vulnérabilité permet à un attaquant ayant déjà la possibilité d’exécuter du code arbitraire sur le système Windows de réaliser une élévation de privilège afin d’obtenir les privilèges SYSTEM. D’après l’éditeur, cette vulnérabilité est exploitée et des codes exploitation sont publiquement disponibles.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-839/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969
Alertes CERT-FR
CVE-2022-34718, CVE-2022-34721, CVE-2022-34722 : Multiples vulnérabilités dans Microsoft Windows et Windows Server
Dans le cadre de sa dernière mise à jour mensuelle, en date du 13 septembre 2022, Microsoft a indiqué l’existence de multiples vulnérabilités au sein de plusieurs versions de Windows et Windows Server.
Le CERT-FR recommande fortement d’appliquer les correctifs et, le cas échéant, de mettre en œuvre les moyens d’atténuation proposés par l’éditeur.
Pour plus d’informations, veuillez-vous référer à l’alerte CERT-FR en cours [1].
Liens :
- [1] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-007/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34718
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34721
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34722
Autres vulnérabilités
CVE-2022-35914, CVE-2022-35947 : Multiples vulnérabilités dans GLPI
Le 14 septembre 2022, GLPI a déclaré plusieurs vulnérabilités, dont deux critiques affectant tous les produits GLPI ayant une version antérieure à 10.0.3.
La vulnérabilité immatriculée CVE-2022-35914 est due à la présence d’un fichier de test et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance. L’éditeur propose de supprimer le fichier vendor/htmlawed/htmlawed/htmLawedTest.php, le temps de réaliser la mise à jour.
La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une injection SQL afin de réaliser une connexion avec n’importe quel utilisateur ayant au préalable défini une clé API. L’éditeur propose de désactiver l’option Enable login with external token dans le menu de configuration de l’API, le temps de réaliser la mise à jour.
Liens :
- https://glpi-project.org/fr/glpi-10-0-3-disponible/
- https://github.com/glpi-project/glpi/security/advisories
CVE-2022-29499 : Vulnérabilité dans Mitel MiVoice Connect
Le 19 avril 2022, Mitel a publié un avis concernant la vulnérabilité critique CVE-2022-29499. Celle-ci permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur Mitel MiVoice Service Appliance, SA100, SA400 ainsi que sur un Service Appliance virtuel.
Le 23 juin 2022, Crowdstrike a publié un billet de blogue faisant état d’une exploitation qu’ils ont observé avant la mise à disposition des correctifs.
Le 12 septembre 2022, Articwolf indique avoir constaté d’autres cas d’exploitation de la vulnérabilité CVE-2022-29499 par des criminels.
En date du 20 septembre 2022, le CERT-FR n’a pas connaissance de codes d’exploitation publics. Néanmoins, la vulnérabilité CVE-2022-29499 est activement exploitée. Le CERT-FR recommande donc d’appliquer les correctifs disponibles depuis avril 2022 si ce n’est pas encore fait. De plus, il peut être utile de rechercher les indicateurs de compromissions fournis dans les billets de blogue, même si ceux-ci n’ont pas été qualifiés par l’ANSSI.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-359/
- https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-22-0002
- https://www.crowdstrike.com/blog/novel-exploit-detected-in-mitel-voip-appliance/
- https://arcticwolf.com/resources/blog/lorenz-ransomware-chiseling-in/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 12 au 18 septembre 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-ALE-007 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-808 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-809 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
- CERTFR-2022-AVI-810 : Multiples vulnérabilités dans Sophos Firewall
- CERTFR-2022-AVI-811 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2022-AVI-812 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2022-AVI-813 : Multiples vulnérabilités dans Typo3
- CERTFR-2022-AVI-814 : [SCADA] Multiples vulnérabilités dans les produits SIEMENS
- CERTFR-2022-AVI-815 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2022-AVI-816 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2022-AVI-817 : Multiples vulnérabilités dans Trend Micro Apex One
- CERTFR-2022-AVI-818 : Vulnérabilité dans Citrix Hypervisor
- CERTFR-2022-AVI-819 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2022-AVI-820 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2022-AVI-821 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-AVI-822 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2022-AVI-823 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-824 : Vulnérabilité dans PaloAlto Cortex XDR Agent
- CERTFR-2022-AVI-825 : Multiples vulnérabilités dans Google Chrome
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-ALE-004 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2022-ALE-005 : [MàJ] Vulnérabilité dans Microsoft Windows
