Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 52
CVE-2020-25066 : Vulnérabilité dans le serveur HTTP de Treck
Une vulnérabilité de type débordement de tampon dans le tas du serveur HTTP de Treck permet à un attaquant d ‘exécuter du code arbitraire à distance. Ce composant est utilisé dans plusieurs systèmes industriels, notamment dans les coupleurs de bus TM3 de Schneider Electric.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-843/
- https://treck.com/vulnerability-response-information/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-836/
- https://www.se.com/ww/en/download/document/SEVD-2020-353-02/
Suivi des alertes
Présence de code malveillant dans SolarWinds Orion
De nouveaux détails concernant l’attaque par chaîne d’approvisionnement ont été publiés, notamment par Palo Alto Networks. De plus, l’avis SolarWinds a été mis à jour pour apporter des précisions sur SUPERNOVA, un « code encoquillé » (webshell) déposé et exécuté via l’exploitation d’une vulnérabilité corrigée dans les dernières versions d’Orion.
Liens :
- https://www.solarwinds.com/securityadvisory
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-026/
Autres vulnérabilités
CVE-2020-25066 : Vulnérabilité dans l’interface Web de Pulse Connect Secure et Pulse Policy Secure
Du code d’attaque est publiquement disponible pour la vulnérabilité CVE-2020-25066. Celle-ci permet d’exécuter du code arbitraire à distance à partir de l’interface Web de Pulse Connect Secure et Pulse Policy Secure. L’exploitation de cette vulnérabilité nécessite d’être authentifié.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-681/
- https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44601/?kA23Z000000boS0
CVE-2020-14871 : Vulnérabilité dans Oracle Solaris
Du code d’attaque est publiquement disponible pour la vulnérabilité CVE-2020-14871. Celle-ci touche le composant PAM (Pluggable Authentication Module) et permet à un attaquant non authentifié de compromettre un serveur Oracle Solaris en version 10 ou 11.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-665/
- https://www.oracle.com/security-alerts/cpuoct2020verbose.html#SUNS
CVE-2020-24633, CVE-2020-24634 : Vulnérabilités dans Aruba ArubaOS
Ces deux vulnérabilités permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance. Elles concernent le protocole PAPI (Protocol Application Programming Interface) qui décrit le canal de contrôle entre les points d’accès et les contrôleurs. Ces communications se situent sur le port UDP 8211. La première vulnérabilité identifie l’opportunité de plusieurs débordements de tampon. La deuxième vulnérabilité vient d’une possible injection de commandes par le biais de paquets mal formés.
Liens :
Rappel des avis émis
Dans la période du 21 au 27 décembre 2020, le CERT-FR a émis les publications suivantes :
- CERTFR-2020-AVI-833 : Multiples vulnérabilités dans Wireshark
- CERTFR-2020-AVI-834 : Multiples vulnérabilités dans le noyau Linux de Debian LTS
- CERTFR-2020-AVI-835 : Vulnérabilité dans F5 BIG-IP
- CERTFR-2020-AVI-836 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2020-AVI-837 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2020-AVI-838 : Multiples vulnérabilités dans Aruba ArubaOS
- CERTFR-2020-AVI-839 : Multiples vulnérabilités dans Trend Micro InterScan Web Security Virtual Appliance
- CERTFR-2020-AVI-840 : Multiples vulnérabilités dans Tenable Tenable.sc
- CERTFR-2020-AVI-841 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2020-AVI-842 : Multiples vulnérabilités dans Asterisk
- CERTFR-2020-AVI-843 : Multiples vulnérabilités dans les produits Treck
- CERTFR-2020-AVI-844 : Multiples vulnérabilités dans les produits Qnap