S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 juin 2022
N° CERTFR-2022-ACT-028
Affaire suivie par: CERT-FR
le 27 juin 2022

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2022-ACT-028

Gestion du document

Référence CERTFR-2022-ACT-028
Titre Bulletin d’actualité CERTFR-2022-ACT-028
Date de la première version 27 juin 2022
Date de la dernière version 27 juin 2022
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 25

Tableau récapitulatif :

Vulnérabilités critiques du 20/06/2022 au 24/06/2022
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
IBM IBM StoredIQ CVE-2021-45046 9.0 Exécution de code arbitraire à distance 17/06/2022 Pas d’information CERTFR-2022-AVI-570 https://www.ibm.com/support/pages/node/6596155
IBM IBM Spectrum Symphony, IBM Spectrum Conductor CVE-2022-22965 9.8 Exécution de code arbitraire à distance 19/06/2022 Pas d’information CERTFR-2022-AVI-572 https://www.ibm.com/support/pages/node/6596873
https://www.ibm.com/support/pages/node/6596867
IBM IBM Security Guardium CVE-2016-5397 9.8 Exécution de code arbitraire à distance 20/06/2022 Pas d’information CERTFR-2022-AVI-570 https://www.ibm.com/support/pages/node/6572497
IBM IBM StoredIQ CVE-2021-44228 10.0 Exécution de code arbitraire à distance 17/06/2022 Pas d’information CERTFR-2022-AVI-570 https://www.ibm.com/support/pages/node/6596145
https://www.ibm.com/support/pages/node/6596155
Splunk Splunk Enterprise CVE-2022-32158 9.0 Exécution de code arbitraire à distance 16/06/2022 Pas d’information CERTFR-2022-AVI-548 https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
QNAP QNAP QTS, QuTS hero, QuTScloud CVE-2019-11043 9.8 Exécution de code arbitraire à distance 22/06/2022 Pas d’information CERTFR-2022-AVI-577 https://www.qnap.com/fr-fr/security-advisory/qsa-22-20
OpenSSL OpenSSL CVE-2022-2068 9.8 Exécution de code arbitraire à distance 21/06/2022 Pas d’information CERTFR-2022-AVI-575 https://www.openssl.org/news/secadv/20220621.txt
Siemens SIMATIC WinCC OA CVE-2022-33139 9.8 Exécution de code arbitraire à distance 21/06/2022 Pas d’information CERTFR-2022-AVI-574 https://cert-portal.siemens.com/productcert/html/ssa-111512.html

CVE-2022-2068 : Vulnérabilité dans OpenSSL

Le 21 juin 2022, l’éditeur a déclaré une vulnérabilité concernant OpenSSL. Cette vulnérabilité, dont l’identifiant CVE est CVE-2022-2068, a un score CVSSv3 de 9.8. Elle concerne le code Perl c_rehash fourni avec la bibliothèque. Cet outil parcourt tous les fichiers d’un dossier et ajoute des liens symboliques vers leur condensat.

Ce code ne nettoie pas correctement certains caractères fournis en entrée via l’invite de commande et certaines distributions Linux peuvent avoir automatisé son exécution. Dans ce contexte, la vulnérabilité permettrait à un attaquant de tenter une injection de commandes arbitraires lancées avec les privilèges du code.

En plus de l’injection de commande c_rehash identifiée dans la vulnérabilité CVE-2022-1292, une revue de code a permis d’identifier d’autres cas d’usage lors desquels le code c_rehash ne nettoie pas correctement les métacaractères de l’invite de commande afin de bloquer l’injection de commandes.

L’éditeur précise que l’utilisation de c_rehash est jugée obsolète et devrait être remplacée par l’exécutable rehash présent dans la suite OpenSSL.

Liens :

CVE-2022-33139 : Vulnérabilité dans Siemens SIMATIC WinCC OA

Le 21 juin 2022, l’éditeur a déclaré une vulnérabilité concernant le produit SIMATIC WinCC OA. La vulnérabilité CVE-2022-33139 a un score CVSSv3 de 9.8.

SIMATIC WinCC Open Architecture est un système orienté objet et basé sur des évènements. Il permet une gestion centralisée d’applications SCADA.

SIMATIC WinCC OA implémente l’authentification côté client lorsque l’authentification côté serveur (Server-Side Authentication ou SSA) et lorsque l’authentification Kerberos sont désactivées. Dans cette configuration, un attaquants pourrait contourner la politique de sécurité afin de se faire passer pour un autre utilisateur ou exploiter le protocole client-serveur sans être authentifié afin d’exécuter un code arbitraire à distance.

Comme indiqué dans les directive de sécurité WinCC OA, l’éditeur recommande d’activer l’authentification côté serveur (SSA) ou l’authentification Kerberos pour tous les projets WinCC OA.

L’authentification côté serveur (SSA) est disponible depuis la version 3.15 de SIMATIC WinCC OA. Elle est proposée comme configuration par défaut depuis la version 3.17.

Liens :

 

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 20 au 26 juin 2022, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 27 juin 2022
    Version initiale