Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’actions lorsqu’elles génèrent des risques sur le système d’information.

Vulnérabilités significatives de la semaine 42

CVE-2020-16951, CVE-2020-16952 : Microsoft SharePoint

Ces deux vulnérabilités critiques permettent à un attaquant authentifié de réaliser une exécution de code arbitraire à distance dans le contexte du pool d’applications SharePoint et du compte de batterie de serveurs SharePoint. Il convient de noter qu’un code d’exploitation a été publié dès la publication des correctifs et qu’il est donc très fortement recommandé de procéder à l’application des correctifs

Liens :

CVE-2020-16898 : Pile TCP/IP de Windows

Cette vulnérabilité affecte les versions Windows 10 (à partir de la version 1709) ainsi que Windows Server 2019 lorsqu’une interface IPv6 est configurée (ce qui est le cas par défaut). La vulnérabilité concerne la fonctionnalité de configuration automatique des serveurs DNS via les messages RDNSS du protocole ICMPv6 Router Advertisement (RA), qui sont une alternative à l’utilisation de DHCPv6 pour le paramétrage DNS. L’exploitation de cette vulnérabilité permet à un attaquant ayant un accès au réseau local de provoquer un arrêt brutal de la machine cible (« Blue Screen of Death« ). L’éditeur annonce que l’exécution de code arbitraire à distance, via l’exploitation de cette vulnérabilité, est extrêmement difficile.

Le CERT-FR recommande donc :

  • d’appliquer le correctif dès que possible;
  • ou, si le redémarrage des machines n’est pas envisageable, d’appliquer le contournement proposé par l’éditeur lorsque la configuration des postes et des serveurs ne repose pas sur les ICMPv6 RA RDNSS pour le paramétrage des serveurs DNS;
  • de veiller à désactiver les interfaces IPv6 configurées par défaut si le réseau ne s’appuie pas sur IPv6.

Liens :

CVE-2020-6364 : SAP Solution Manager et SAP Focused Run

Cette vulnérabilité permet à un attaquant non authentifié de réaliser une injection de commande arbitraire et donc de prendre le contrôle du serveur.

Liens :

CVE-2020-10188 : Juniper

Une vulnérabilité dans le service telnet permet à un attaquant non authentifié d’exploiter un dépassement de tampon pour exécuter du code arbitraire à distance. Le CERT-FR rappelle que le service telnet est à proscrire et qu’il est recommandé d’utiliser un protocole sécurisé pour l’administration des équipements [1]

Liens :

CVE-2017-14491 : Siemens SCALANCE et RUGGEDCOM

Une vulnérabilité dans les produits SCALANCE et RUGGEDCOM permet à un attaquant de corrompre la mémoire en envoyant des paquets de réponse à une requête DNS dont la taille n’est pas gérée correctement. Cela débouche sur un déni de service ou potentiellement sur une exécution de code arbitraire à distance.

Liens :

CVE-2020-11896, CVE-2020-14509, CVE-2020-7533 : Schneider Electric

La CVE-2020-11896 est une vulnérabilité qui affecte la pile TCP/IP de Treck, utilisée dans un grand nombre d’équipements Schneider Electric. Le fabricant a mis à jour son avis de sécurité avec la liste des équipements affectés. La CVE-2020-14509 est une vulnérabilité dans le composant CodeMeter des produits EcoStruxure et E+PLC qui permet à un attaquant de corrompre la mémoire dans le but de réaliser une exécution de code arbitraire à distance. Enfin, la CVE-2020-7533 permet à un attaquant de contourner le mécanisme d’authentification du serveur web pour exécuter des commandes à distance sur des équipements de type Modicon.

Liens :

CVE-2020-24400, CVE-2020-24407 : Magento

Ces vulnérabilités permettent de réaliser une exécution de code arbitraire et d’accéder en lecture et en écriture à la base de données sur des sites basés sur Magento 2. Le CERT-FR signale que des attaques semblent viser la version 1 de Magento qui n’est plus maintenue par l’éditeur [2].

Liens :

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884