Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 40
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Trend Micro | Apex One (on-prem), Apex One (SaaS) | CVE-2022-41746 | 9.1 | Élévation de privilèges | 05/10/2022 | Pas d’information | CERTFR-2022-AVI-884 | https://success.trendmicro.com/dcx/s/solution/000291645?language=en_US |
| Zimbra | Zimbra Collaboration | CVE-2022-41352 | 9.8 | Contournement de la politique de sécurité, Exécution de code arbitraire à distance | 07/10/2022 | Exploitée | CERTFR-2022-ALE-009 | Aucune donnée |
| Fortinet | FortiOS, FortiProxy, FortiSwitchManager | CVE-2022-40684 | 9.6 | Exécution de code arbitraire à distance | 10/10/2022 | Exploitée | CERTFR-2022-AVI-894 | https://www.fortiguard.com/psirt/FG-IR-22-377 |
| Expat (libexpat) | Expat (libexpat) | CVE-2022-40674 | 9.8 | Déni de service, Exécution de code arbitraire à distance | 05/10/2022 | Pas d’information | https://github.com/libexpat/libexpat/pull/629 | |
| IBM | IBM HTTP Server versions 9.0.x.x , IBM HTTP Server versions 8.5.x.x, IBM HTTP Server versions 8.0.0.x, IBM HTTP Server versions 7.0.0.x | CVE-2022-40674 | 9.8 | Déni de service, Exécution de code arbitraire à distance | 05/10/2022 | Pas d’information | CERTFR-2022-AVI-886 | https://www.ibm.com/support/pages/node/6827119 |
| GLPI | GLPI | CVE-2022-35914 | 9.8 | Exécution de code arbitraire à distance | 14/09/2022 | Exploitée | CERTFR-2022-ACT-041 | https://github.com/glpi-project/glpi/security/advisories |
CVE-2022-41746 : Vulnérabilité dans les produits Trend Micro
Le 06 octobre 2022, l’éditeur a publié un avis de sécurité annonçant la correction de plusieurs vulnérabilités dans le produit Apex One. La vulnérabilité la plus critique est une élévation de privilèges, référencée par l’identifiant CVE-2022-41476 et valorisée avec un score CVSSv3 de 9,1. Un attaquant ayant accès à une console web Apex One pourra en particulier modifier certains paramètres d’administration des agents Apex déployés dans le système d’information.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-884/
- https://success.trendmicro.com/dcx/s/solution/000291645?language=en_US
CVE-2022-40684 : Vulnérabilité dans les produits Fortinet
Le 07 octobre 2022, des informations ont circulé concernant l’existence d’une vulnérabilité critique dans les produits Fortinet. Le 11 octobre, l’éditeur a publié un avis de sécurité détaillant l’existence d’une vulnérabilité permettant à un attaquant non authentifié de pouvoir réaliser des actions au travers de l’interface d’administration.
L’éditeur indique que cette vulnérabilité a fait l’objet d’une attaque ciblée.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-894/
- https://www.fortiguard.com/psirt/FG-IR-22-377
CVE-2022-40674 : Vulnérabilité dans la bibliothèque Expat (libexpat)
Le 14 septembre 2022, l’équipe qui maintient la bibliothèque d’analyse syntaxique XML Expat (libexpat) a corrigé une vulnérabilité pouvant provoquer un déni de service ou une potentielle exécution de code arbitraire. Cette vulnérabilité est référencée avec l’identifiant CVE-2022-40674 à laquelle il a été attribué un score CVSSv3 de 9,8.
Le 06 octobre 2022, l’éditeur IBM a publié un avis de sécurité concernant sa solution IBM HTTP server pour annoncer la mise à disposition de nouvelles versions intégrant une version à jour de la bibliothèque Expat (libexpat).
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-886/
- https://github.com/libexpat/libexpat/pull/629
- https://www.ibm.com/support/pages/node/6827119
Alertes CERT-FR
CVE-2022-41040, CVE-2022-41082 : Vulnérabilités affectant Microsoft Exchange activement exploitées
Le 29 septembre 2022, Microsoft a signalé l’existence de deux vulnérabilités, de type zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019. Le CERT-FR a publié une alerte le 30 septembre 2022 et l’a actualisée le 7 octobre 2022 après la découverte d’incidents en France impliquant l’exploitation de ces vulnérabilités.
Se référer à l’alerte pour plus d’informations.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-008/
- https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
CVE-2022-41352 : Vulnérabilité dans Zimbra
Le 15 septembre 2022, l’éditeur a publié un avis recommandant de ne pas utiliser l’utilitaire cpio pour la gestion des pièces jointes dans le cadre de la protection antivirus. Une vulnérabilité permet en effet à un attaquant d’exécuter du code arbitraire sur le serveur Zimbra avec un simple envoi de courriel contenant une archive piégée au format .cpio, .rpm ou .tar.
Le 7 octobre 2022, le CERT-FR ayant connaissance de cas d’exploitation de cette vulnérabilité, une alerte CERT-FR a été publiée. Se référer à l’alerte CERT-FR pour de plus amples informations.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-009/
- https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
CVE-2022-35914, CVE-2022-35947 : Vulnérabilités dans GLPI
Le 14 septembre 2022, l’éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Le CERT-FR a publié un bulletin d’actualité le 20 septembre 2022 afin de signaler l’existence de ces vulnérabilités.
Une alerte CERT-FR a ensuite été publiée le 07 octobre 2022 suite à la découverte de nombreux incidents liés à l’exploitation de la vulnérabilité immatriculée CVE-2022-35914.
Liens :
- https://github.com/glpi-project/glpi/security/advisories
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-041/
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-010/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 03 au 09 octobre 2022, le CERT-FR a émis les publications suivantes :
- CERTFR-2022-ALE-009 : [MaJ] Vulnérabilité dans Zimbra Collaboration
- CERTFR-2022-ALE-010 : Multiples vulnérabilités dans GLPI
- CERTFR-2022-AVI-874 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2022-AVI-875 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2022-AVI-876 : Multiples vulnérabilités dans Microsoft Exchange Server
- CERTFR-2022-AVI-877 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2022-AVI-878 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-879 : Vulnérabilité dans strongSwan
- CERTFR-2022-AVI-880 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-881 : Multiples vulnérabilités dans Google Android
- CERTFR-2022-AVI-882 : Multiples vulnérabilités dans OpenSSH
- CERTFR-2022-AVI-883 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2022-AVI-884 : Multiples vulnérabilités dans Trend Micro Apex One
- CERTFR-2022-AVI-885 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2022-AVI-886 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2022-AVI-887 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2022-AVI-888 : Vulnérabilité dans les produits F5
- CERTFR-2022-AVI-889 : Multiples vulnérabilités dans IBM Security QRadar Analyst Workflow
- CERTFR-2022-AVI-890 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-ALE-002 : Vulnérabilité dans VMware Spring Cloud Gateway
- CERTFR-2022-ALE-006 : [MàJ] Vulnérabilité dans Atlassian Confluence
