Le FBI, la CISA, l'ACSC (Australian Cyber Security Centre) et le NCSC-UK (National Cyber Security Centre) dévoilent les 30 vulnérabilités les plus exploitées ces deux dernières années

Date de publication :

L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA), le centre australien de cybersécurité (ACSC), le centre national de cybersécurité (NCSC) du Royaume-Uni et le bureau fédéral d'enquête (FBI) des États-Unis ont rédigé conjointement un avis de sécurité concernant les 30 vulnérabilités les plus exploitées en 2020 et 2021.

Bien que ce classement se base majoritairement sur des exploitations envers des entités américaines, anglo-saxonnes et australiennes, le CERT Santé a également observé des exploitations d’un grand nombre de ces vulnérabilités dans le secteur de la santé en France.

Il apparaît donc nécessaire de se prévenir des ces vulnérabilités en mettant à jour les dispositifs et logiciels concernés dès que possible si cela n’est pas déjà fait.

 

2020 : 

CVE-2019-19781 [Score CVSS v3 : 9.8] : Une vulnérabilité de traversement de répertoire dans Citrix application delivery controller (ADC) et Citrix Gateway. Un attaquant distant et non-authentifié peut être en mesure d’injecter du code arbitraire sur les dispositifs vulnérables.

CVE-2019-11510 [Score CVSS v3 : 10.0] : Une vulnérabilité au sein de Pulse Connect Secure. Un attaquant distant et non-authentifié peut lire des fichiers de façon arbitraire sur les dispositifs vulnérables en envoyant un URI spécialement conçu. 

CVE-2018-13379 [Score CVSS v3 : 9.8] : Une vulnérabilité de traversement de chemin dans Fortinet FortiOS et FortiProxy. Un attaquant distant et non-authentifié peut être en mesure de télécharger des fichiers systèmes des applications vulnérables.

CVE-2020-5902 [Score CVSS v3 : 9.8] : Une vulnérabilité de type exécution de commandes et de code arbitraire a été découverte au sein du composant TMUI de F5 BIG-IP. Un attaquant distant et non authentifié peut exécuter des commandes système ainsi que du code Java arbitraire, via l’utilisation d’un bogue non spécifié sur certaines pages de l’interface. 

CVE-2020-15505 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de Mobileiron Core & connecter. Son exploitation peut permettre à attaquant distant et non-authentifié d’exécuter du code arbitraire sur les machines vulnérables.

CVE-2017-11882 [Score CVSS v3 : 7.8] : Une vulnérabilité au sein de Microsoft Office. Un attaquant local et non authentifié peut être en mesure d’exécuter du code arbitraire à travers un fichier malveillant. Le fichier doit être lancé dans Microsoft Office, par un utilisateur non averti par exemple.

CVE-2019-11580 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de Atlassian Crowd et Wrowd Data Center. Son exploitation peut permettre à un attaquant distant et non authentifié d’installer des plugins arbitraires sur les installations vulnérables. Il serait ainsi en mesure d'exécuter du code arbitraire.

CVE-2018-7600 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de Drupal peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire sur les installations vulnérables.

CVE-2019-0604 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de Microsoft SharePoint. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire sur le logiciel.

CVE-2020-0787 [Score CVSS v3 : 7.8] : Une vulnérabilité dans le service Windows Background Intelligent Transfer (BITS). Un attaquant local et authentifié peut être en mesure d’élever ses privilèges sur le système Windows sous-jacent.

CVE-2020-1472 [Score CVSS v3 : 10.0] : Une vulnérabilité au sein de Microsoft Netlogon. Son exploitation peut permettre à un attaquant distant et non-authentifié d’élever ses privilèges sur un contrôleur de domaine Windows vulnérable.

CVE-2019-18935 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de l’interface utilisateur de Progress Telerik. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire.

CVE-2020-0688 [Score CVSS v3 : 8.8] : Une vulnérabilité au sein de Microsoft Exchange. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code arbitraire au sein du serveur Windows sous-jacent.

CVE-2019-3396 [Score CVSS v3 : 9.8] : Une vulnérabilité de traversement de chemin au sein du module Widget Connector des serveurs Atlassian Confluence. Un attaquant distant et non authentifié peut être en mesure d’injecter du code arbitraire

 

2021 :

CVE-2021-26855 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de Microsoft Exchange. Son exploitation peut permettre à un attaquant distant et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.

CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 [Score CVSS v3 : 7.8] : Trois vulnérabilités au sein de Microsoft Exchange. Leur exploitation peut permettre à un attaquant local et non authentifié d’injecter du code arbitraire sur un dispositif vulnérable.

CVE-2021-22893 [Score CVSS v3 : 10.0] : Cette vulnérabilité impacte la solution VPN Pulse Connect Secure. Son exploitation peut permettre à un attaquant distant et non authentifié d'exécuter un code arbitraire via des vecteurs non spécifiés.

CVE-2021-22894 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre un débordement de tampon dans la solution VPN Pulse Connect Secure. Son exploitation peut permettre à un attaquant distant et authentifié d'exécuter un code arbitraire via des vecteurs non spécifiés.

CVE-2021-22899 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre une injection de commande dans la solution VPN Pulse Connect Secure. Son exploitation peut permettre à un attaquant distant et authentifié d'exécuter un code arbitraire via des vecteurs non spécifiés.

CVE-2021-27101 [Score CVSS v3 : 9.8] : Une vulnérabilité pouvant permettre une injection SQL au sein de Accellion FTA. Un attaquant distant et non authentifié peut être en mesure d’exécuter des commandes SQL au sein du dispositif.  

CVE-2021-27102 [Score CVSS v3 : 7.8] : Une vulnérabilité au sein de Accellion FTA. Un attaquant local et authentifié peut être en mesure d’exécuter des commandes systèmes au sein des dispositifs vulnérables. 

CVE-2021-27103 [Score CVSS v3 : 9.8] : Une vulnérabilité pouvant permettre une attaque de type SSRF (Server Side Request Forgery) au sein de Accellion FTA. Un attaquant distant et non authentifié peut être en mesure d’exécuter des commandes SQL au sein du dispositif.  

CVE-2021-27104 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de Accellion FTA. Un attaquant distant et non-authentifié peut être en mesure d’exécuter des commandes systèmes au sein des dispositifs vulnérables. 

CVE-2021-21985 [Score CVSS v3 : 9.8] : Le client VMWare vSphere (HTML5) contient une vulnérabilité d'exécution de code à distance due à l'absence de validation des entrées dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server. Un attaquant distant et non-authentifié ayant un accès réseau au port 443 peut exploiter cette faille pour exécuter des commandes avec des privilèges non restreints sur le système d'exploitation sous-jacent qui héberge vCenter Server.

CVE-2018-13379 [Score CVSS v3 : 9.8] : Une limitation incorrecte d'un nom de chemin vers un répertoire restreint ("Path Traversal") dans Fortinet FortiProxy sous le portail web SSL VPN a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de télécharger des fichiers système via des requêtes de ressources HTTP spécialement conçues.

CVE-2020-12812 [Score CVSS v3 : 9.8] : Une vulnérabilité permettant un contournement de l’authentification à deux facteurs a été découverte dans le VPN SSL de FortiOS. Elle est due à un défaut de traitement de la casse du nom d’utilisateur. Un attaquant distant et non-authentifié peut exploiter cette faille.

CVE-2019-5591 [Score CVSS v3 : 6.5] : Une vulnérabilité de la configuration par défaut dans FortiOS peut permettre à un attaquant distant et non authentifié d'intercepter des informations sensibles en se faisant passer pour le serveur LDAP.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Atteinte à la confidentialité des données
  • Atteinte à l’intégrité des données
  • Violation des politiques de sécurité

Criticité

  • Scores CVSS v3 : 10 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • Citrix ADC et Citrix Gateway versions 10.5, 11.1, 12.0, 12.1 et 13.0
  • Pulse Secure Pulse Connect Secure (PCS) version 8.2 jusqu’à 8.2R12.1, 8.3 jusqu’à 8.3R7.1 et 9.0 jusqu’à 9.0R3.4 
  • Fortinet FortiOS versions 6.0.0 jusqu’à 6.0.4, 5.6.3 jusqu’à 5.6.7 et 5.4.6 jusqu’à 5.4.12
  • BIG-IP versions 15.1.0, 15.0.0-15.0.1, 14.1.0-14.1.2, 13.1.0-13.1.3, 12.1.0-12.1.5, and 11.6.1-11.6.5
  • MobileIron Core & Connector versions antérieures à 10.3.0.3, 10.4.0.0, 10.4.0.1, 10.4.0.2, 10.4.0.3, 10.5.1.0, 10.5.2.0 et 10.6.0.0
  • Microsoft Exchange Server 2019 Cumulative Update 3 and 4
  • Microsoft Exchange Server 2016 Cumulative Update 14 and 15
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server2010 Service Pack 3 Update Rollup 30
  • Confluence Server et Confluence Data Center versions antérieures à 6.6.12 
  • Confluence Server et Confluence Data Center versions antérieures à 6.12.3
  • Confluence Server et Confluence Data Center versions antérieures à 6.13.3
  • Confluence Server et Confluence Data Center versions antérieures à 6.14.2
  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2
  • Microsoft Office 2013 Service Pack 1
  • Microsoft Office 2016
  • Atlassian Crowd versions antérieures à 3.0.5 
  • Atlassian Crowd versions antérieures à 3.1.6
  • Atlassian Crowd versions antérieures à 3.2.8
  • Atlassian Crowd versions antérieures à 3.3.5
  • Atlassian Crowd versions antérieures à 3.4.4
  • Drupal versions antérieures à 7.58
  • Drupal versions antérieures à 8.3.9
  • Drupal versions antérieures à 8.4.6
  • Drupal versions antérieures à 8.5.1
  • Telerik UI pour ASP.NET AJAX versions antérieures à R1 2020 (2020.1.114)
  • Microsoft Sharepoint 2019
  • Microsoft SharePoint 2016
  • Microsoft SharePoint 2013 SP1
  • Microsoft SharePoint 2010 SP2
  • Windows 7 for 32-bit and x64-based Systems Service Pack 1, 8.1 for 32-bit and x64-based systems, RT 8.1, 10 for 32-bit and x64-based Systems, 10 1607 for 32-bit and x64-based Systems, 10 1709 for 32-bit and x64-based and ARM64-based Systems, 10 1803 for 32-bit and ARM64-based and x64-based Systems, 10 1809 for 32-bit and ARM64-based and x64-based Systems, 10 1903 for 32-bit and ARM64-based and x64-based Systems, 10 1909 for 32-bit, and ARM64-based and x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1, 2008 R2 for x64-based Systems Service Pack 1 (Server Core Installation), 2008 for 32-bit Systems Service Pack 2, 2008 for 32-bit Systems Service Pack 2 (Server Core Installation), 2012, 2012 (Server Core Installation), 2012 R2, 2012 R2 (Server Core Installation), 2016, 2016 (Server Core Installation), 2019, 2019 (Server Core Installation), 1803 (Server Core Installation), 1903 (Server Core Installation), and 1909 (Server Core Installation)
  • Windows Server 2019; all versions of Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; and Windows Server versions 1909/1903/1809.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour les composants vulnérabilités conformément aux instructions des constructeurs.

Liens