Bulletins de sécurité RingCentral

Dernière mise à jour : 08.09.2022 20:48(Heure) UTC
CVE
DEGRÉ DE GRAVITÉ
TITRE
Date
Mise à jour requise
Okta octobre 2023, violation de données Okta
CVE : 
Okta octobre 2023, violation de données Okta
ÉLEVÉ
DEGRÉ DE GRAVITÉ :  
ÉLEVÉ
Réponse de RingCentral
TITRE :  
Réponse de RingCentral
30/10/2023
DATE :  
30/10/2023
NON
Mise à jour requise :  
NON
RingCentral a pris connaissance d’une violation de données du système de gestion des dossiers d’assistance Okta. Dans le cadre de son processus de due diligence vis-à-vis des tiers, RingCentral a confirmé qu’aucune de ses propres données ou des données clients n’étaient concernées. 
Cet incident a-t-il un impact sur les services Okta utilisés par RingCentral ?
Non, Okta a confirmé que les produits Okta ainsi que les services fournis à ses clients n’avaient pas été impactés.  Il convient de noter que le système de gestion des dossiers d’assistance Okta est séparé de son service de production. Ce dernier est pleinement opérationnel et n’est pas concerné par l’incident. 
Pour en savoir plus sur cet incident, vous pouvez consulter le communiqué officiel publié par Okta en cliquant sur le lien suivant : https://sec.okta.com/harfiles
RingCentral accorde la plus haute importance à la sécurité de ses produits et services ainsi qu’au respect de la confidentialité des donnés clients. Nous allons continuer de surveiller attentivement notre environnement afin d’assurer la continuité des activités et la sécurité des opérations. N’hésitez pas à nous contacter pour toute question concernant nos procédures et notre engagement en matière de sécurité.
CVE-2023-34362
CVE : 
CVE-2023-34362
ÉLEVÉ
DEGRÉ DE GRAVITÉ :  
ÉLEVÉ
Vulnérabilité de transfert MOVEit
TITRE :  
Vulnérabilité de transfert MOVEit
08/06/2023
DATE :  
08/06/2023
NON
Mise à jour requise :  
NON
RingCentral a connaissance de la vulnérabilité Progress MOVEit Transfer, signalée par la base de données nationale des vulnérabilités du NIST sous CVE-2023-34362. Au vu de notre analyse, nous ne pensons pas que les produits et services RingCentral soient vulnérables. Les produits et services RingCentral n’utilisent pas le logiciel MOVEit.
Description (tel qu’indiqué par NVD) : dans Progress MOVEit Transfer avant 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) et 2023.0.1 (15.0.1), une vulnérabilité par injection SQL a été découverte dans l’application web MOVEit Transfer qui pourrait permettre à un attaquant non authentifié d’accéder à la base de données de MOVEit Transfer. Selon le moteur de base de données utilisé (MySQL, Microsoft SQL Server ou Azure SQL), un attaquant peut être en mesure de déduire des informations sur la structure et le contenu de la base de données et d’exécuter des instructions SQL qui modifient ou suppriment des éléments de la base de données.
Voir aussi la notice Progress.
CVE-2022-28751
CVE : 
CVE-2022-28751
ÉLEVÉ
DEGRÉ DE GRAVITÉ :  
ÉLEVÉ
Escalade des privilèges locaux de Zoom dans les mises à jour automatiques pour macOS
TITRE :  
Escalade des privilèges locaux de Zoom dans les mises à jour automatiques pour macOS
09/08/2022
DATE :  
09/08/2022
NON
 Mise à jour requise :  
NON
RingCentral a connaissance d’une faille de sécurité dans l’escalade des privilèges locaux de Zoom pour les clients macOS (cf.CVE-2022-28751 et failles connexes CVE-2022-28756 et CVE-2022-28757). Sur la base de notre analyse, nous pensons que les produits RingCentral ne sont pas vulnérables à ces failles dans l’escalade des privilèges locaux sur macOS.
Cette faille correspond à la référence ZSB-22017 telle que référencée par Zoom pour ses clients et produits.
Degré de gravité (telle qu’indiqué par Zoom) : Élevé
Score CVSS  (telle qu’indiquée par Zoom) :  8,8
Chaîne du vecteur CVSS (telle qu’indiquée par Zoom) : CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Description (telle qu’indiquée par Zoom) : Le client Zoom Meetings sur macOS (standard et pour admin IT) contient une faille dans le processus de mise à jour automatique, dans les versions comprises entre 5.7.3 (incluse) et 5.11.6 (exclue). Un utilisateur local doté de privilèges limités peut exploiter cette vulnérabilité pour élever ses privilèges au niveau de l’utilisateur racine.
Résolution :
Les utilisateurs peuvent renforcer la sécurité en appliquant les dernières mises à jour ou en téléchargeant la dernière version de Zoom avec les dernières mises à jour de sécurité sur la page https://zoom.us/download.
Source : Patrick Wardle chez Objective-See
Compromission d’Okta, janvier 2022
CVE : 
COMPROMISSION D’OKTA, JANVIER 2022
MOYEN
DEGRÉ DE GRAVITÉ :  
Moyen
Réponse de RingCentral
TITRE :  
Réponse de RingCentral
24/03/2022
DATE :  
24/03/2022
OUI
 Mise à jour requise :  
OUI
RingCentral a connaissance de la violation signalée et confirmée par Okta via l’un de ses sous-traitants, Sitel. RingCentral utilise Okta dans le cadre de ses processus internes de sécurité et d’authentification unique. Sitel fournit une assistance supplémentaire de niveau 1 aux clients de RingCentral dans plusieurs pays, notamment en Europe. Nous n’avons aucune preuve que cet incident signalé par Okta ait eu un quelconque impact sur RingCentral et nous avons vérifié avec Sitel qu’il n’y a pas de liens entre les personnes concernées et les employés de Sitel fournissant une assistance à RingCentral. 
CVE-2021-34424
CVE : 
CVE-2021-34424
MOYEN
DEGRÉ DE GRAVITÉ :  
Moyen
Exposition de la mémoire du processus dans RCApp, RCM
TITRE :  
Exposition de la mémoire du processus dans RcAPP, RCM (RingCentral Meetings)
11/01/2022
DATE :  
11/01/2022
OUI
 Mise à jour requise :  
OUI
Cette faille de sécurité correspond à la vulnérabilité ZSB-21020 telle que référencée par Zoom pour ses clients et produits.
Degré de gravité (tel qu’indiqué par Zoom) : Moyen
Score CVSS (tel qu’indiqué par Zoom) :  5,3
Chaîne du vecteur CVSS (tel qu’indiquée par Zoom) : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Description (tel qu’indiquée par Zoom) : Une faille de sécurité a été découverte dans les produits listés dans la section "Produits concernés" de ce bulletin. Cette vulnérabilité permet potentiellement d'exposer l'état de la mémoire du processus. Ce problème pourrait être utilisé pour accéder à des zones arbitraires de la mémoire du produit.
Résolution :
Il est fortement recommandé aux clients de mettre à jour leurs applications en suivant les étapes standard définies pour les mises à jour des fichiers MSI et EXE en réponse aux invites de mise à jour appropriées.
Produits RingCentral concernés : 
·         RCApp (mThor), versions antérieures à 21.4.30
·         RCApp (Jupiter), versions antérieures à 21.4.30
·         Applications RCM mobiles (iOS), versions antérieures à 21.4.40208
·         Applications RCM mobiles (Android), versions antérieures à 21.4.40206
·         Applications RCM logicielles (Mac), versions antérieures à 21.4.53875
·         Applications RCM logicielles (Windows), versions antérieures à 21.4.40194
·         Application RCM logicielles (Linux) 655666, versions antérieures à 21.4.53809
·         Application RCM Rooms Host (Mac), versions antérieures à 21.3.19700
·         Application RCM Rooms Host (Windows), versions antérieures à 21.3.19702
Sur la base des produits Zoom concernés :
·         Client Zoom Meetings (pour Android, iOS, Linux, macOS et Windows), versions antérieures à 5.8.4
·         Client Zoom Meetings pour Blackberry ( Android et iOS), versions antérieures à 5.8.1
·         Client Zoom Meetings pour intune (Android et iOS), versions antérieures à 5.8.4
·         Client Zoom Meetings pour Chrome OS, versions antérieures à 5.0.1
·         Zoom Rooms pour salle de conférence (pour Android, AndroidBali, macOS et Windows), versions antérieures à 5.8.3
·         Contrôleurs pour Zoom Rooms (pour Android, iOS et Windows), versions antérieures à 5.8.3
·         Zoom VDI, versions antérieures à 5.8.4
·         Zoom Meeting SDK pour Android, versions antérieures à 5.7.6.1922
·         Zoom Meeting SDK pour iOS, versions antérieures à 5.7.6.1082
·         Zoom Meeting SDK pour Windows, versions antérieures à 5.7.6.1081
·         Zoom Meeting SDK pour Mac, versions antérieures à 5.7.6.1340
·         Zoom Video SDK (pour Android, iOS, macOS et Windows), versions antérieures à 1.1.2
·         Zoom On-Premise Meeting Connector, versions antérieures à 4.8.12.20211115
·         Zoom On-Premise Meeting Connector MMR, versions antérieures à 4.8.12.20211115
·         Zoom On-Premise Recording Connector, versions antérieures à 5.1.0.65.20211116
·         Zoom On-Premise Virtual Room Connector, versions antérieures à 4.4.7266.20211117
·         Zoom On-Premise Virtual Room Connector Load Balancer, versions antérieures à 2.5.5692.20211117
·         Zoom Hybrid Zproxy, versions antérieures à 1.0.1058.20211116
·         Zoom Hybrid MMR, versions antérieures à 4.6.20211116.131_x86-64
Source : Publié par Zoom en réponse à un signalement de Natalie Silvanovich du Google Project Zero
CVE-2021-34423
CVE : 
CVE-2021-34423
ÉLEVÉ
DEGRÉ DE GRAVITÉ :  
Élevé
Dépassement de tampon dans RCApp, RCM
TITRE :  
Dépassement de tampon dans RCApp, RCM (RingCentral Meetings)
11/01/2022
DATE :  
11/01/2022
OUI
 Mise à jour requise :  
OUI
Cette faille de sécurité correspond à la vulnérabilité ZSB-21019 telle que référencée par Zoom pour ses clients et produits.
Degré de gravité (tel qu’indiqué par Zoom) : Élevé
Score CVSS (tel qu’indiqué par Zoom) :  7,3
Chaîne du vecteur CVSS (tel qu’indiquée par Zoom) : CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
Description (tel qu’indiquée par Zoom) : Une faille de dépassement de tampon a été découverte dans les produits listés dans la section "Produits concernés" de ce bulletin. Cette vulnérabilité peut potentiellement permettre à un acteur malveillant de bloquer le service ou l'application, ou de lancer l’exécution d’un code arbitraire.
Résolution :
Il est fortement recommandé aux clients de mettre à jour leurs applications en suivant les étapes standard définies pour les mises à jour des fichiers MSI et EXE en réponse aux invites de mise à jour appropriées.
Produits RingCentral concernés :
·         RCApp (mThor), versions antérieures à 21.4.30
·         RCApp (Jupiter), versions antérieures à 21.4.30
·         Applications RCM mobiles (iOS), versions antérieures à 21.4.40208
·         Applications RCM mobiles (Android), versions antérieures à 21.4.40206
·         Applications RCM logicielles (Mac), versions antérieures à 21.4.53875
·         Applications RCM logicielles (Windows), versions antérieures à 21.4.40194
·         Application RCM logicielles (Linux) 655666, versions antérieures à 21.4.53809
·         Application RCM Rooms Host (Mac), versions antérieures à 21.3.19700
·         Application RCM Rooms Host (Windows), versions antérieures à 21.3.19702
Sur la base des produits Zoom concernés :
·         Client Zoom Meetings (pour Android, iOS, Linux, macOS et Windows), versions antérieures à 5.8.4
·         Client Zoom Meetings pour Blackberry ( Android et iOS), versions antérieures à 5.8.1
·         Client Zoom Meetings pour intune (Android et iOS), versions antérieures à 5.8.4
·         Client Zoom Meetings pour Chrome OS, versions antérieures à 5.0.1
·         Zoom Rooms pour salle de conférence (pour Android, AndroidBali, macOS et Windows), versions antérieures à 5.8.3
·         Contrôleurs pour Zoom Rooms (pour Android, iOS et Windows), versions antérieures à 5.8.3
·         Zoom VDI, versions antérieures à 5.8.4
·         Zoom Meeting SDK pour Android, versions antérieures à 5.7.6.1922
·         Zoom Meeting SDK pour iOS, versions antérieures à 5.7.6.1082
·         Zoom Meeting SDK pour Windows, versions antérieures à 5.7.6.1081
·         Zoom Meeting SDK pour Mac, versions antérieures à 5.7.6.1340
·         Zoom Video SDK (pour Android, iOS, macOS et Windows), versions antérieures à 1.1.2
·         Zoom On-Premise Meeting Connector, versions antérieures à 4.8.12.20211115
·         Zoom On-Premise Meeting Connector MMR, versions antérieures à 4.8.12.20211115
·         Zoom On-Premise Recording Connector, versions antérieures à 5.1.0.65.20211116
·         Zoom On-Premise Virtual Room Connector, versions antérieures à 4.4.7266.20211117
·         Zoom On-Premise Virtual Room Connector Load Balancer, versions antérieures à 2.5.5692.20211117
·         Zoom Hybrid Zproxy, versions antérieures à 1.0.1058.20211116
·         Zoom Hybrid MMR, versions antérieures à 4.6.20211116.131_x86-64
Source : Publié par Zoom en réponse à un signalement de Natalie Silvanovich du Google Project Zero
CVE-2021-45105
CVE : 
CVE-2021-45105
CRITIQUE
DEGRÉ DE GRAVITÉ :  
CRITIQUE
Log4j - Exécution de code à distance
TITRE :  
Log4j - Exécution de code à distance
20/12/2021
DATE :  
20/12/2021
NON
 Mise à jour requise :  
NON
RingCentral a connaissance de la faille de sécurité 0-day de log4j (cf. CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105). Notre réponse et nos solutions pour la référence 44228 prennent en compte les références 45046 et 45105, avec notamment les mises à jour de log4j 2.16 et log4j 2.17.  Sur la base de notre analyse et de nos mesures correctives, nous continuons à penser que les produits RingCentral ne sont pas vulnérables au risque d’exécution de code à distance, en particulier :
·  les applications RingCentral (mobile, bureau, navigateur web)
·  la messagerie RingCentral (également connue sous le nom de Glip)
·  RingCentral Video 
·  RingCentral MVP (Messagerie, Vidéo, Téléphonie)
·  RingCentral Engage (Video, Digital)
·  RingCentral Meetings (RCM)
·  RingCentral Centre de Contact
·  RingCentral Analytics Portal 
·  le portail d’administration RingCentral
·  RingCentral General Web 
Degré de gravité : CRITIQUE
Score CVSS : 10.0
Chaîne du vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Description : Les fonctionnalités JNDI d’Apache Log4j2 versions 2.14.1 et antérieures utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre les attaques sur les points de terminaison LDAP et autres points de terminaison liés à JNDI. Un attaquant qui peut contrôler les messages de journal ou les paramètres correspondants peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée. Depuis log4j 2.15.0, ce comportement a été désactivé par défaut. Dans les versions antérieures (>2.10), ce comportement peut être atténué en définissant la propriété système "log4j2.formatMsgNoLookups" sur "true" ou en supprimant la classe JndiLookup du classpath (exemple : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Java 8u121 (voir https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) protège de l’exécution de code à distance en donnant par défaut la valeur "false" à "com.sun.jndi.rmi.object.trustURLCodebase" et "com.sun.jndi.cosnaming.object.trustURLCodebase".
CVE-2021-45046
CVE : 
CVE-2021-45046
CRITIQUE
DEGRÉ DE GRAVITÉ :  
CRITIQUE
Log4j - Exécution de code à distance
TITRE :  
Log4j - Exécution de code à distance
20/12/2021
DATE :  
20/12/2021
NON
 Mise à jour requise :  
NON
RingCentral a connaissance de la faille de sécurité 0-day de log4j (cf. CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105). Notre réponse et nos solutions pour la référence 44228 prennent en compte les références 45046 et 45105, avec notamment les mises à jour de log4j 2.16 et log4j 2.17.  Sur la base de notre analyse et de nos mesures correctives, nous continuons à penser que les produits RingCentral ne sont pas vulnérables au risque d’exécution de code à distance, en particulier :
·  les applications RingCentral (mobile, bureau, navigateur web)
·  la messagerie RingCentral (également connue sous le nom de Glip)
·  RingCentral Video 
·  RingCentral MVP (Messagerie, Vidéo, Téléphonie)
·  RingCentral Engage (Video, Digital)
·  RingCentral Meetings (RCM)
·  RingCentral Centre de Contact
·  RingCentral Analytics Portal 
·  le portail d’administration RingCentral
·  RingCentral General Web 
Degré de gravité: CRITIQUE
Score CVSS : 10.0
Chaîne du vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Description : Les fonctionnalités JNDI d’Apache Log4j2 versions 2.14.1 et antérieures utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre les attaques sur les points de terminaison LDAP et autres points de terminaison liés à JNDI. Un attaquant qui peut contrôler les messages de journal ou les paramètres correspondants peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée. Depuis log4j 2.15.0, ce comportement a été désactivé par défaut. Dans les versions antérieures (>2.10), ce comportement peut être atténué en définissant la propriété système "log4j2.formatMsgNoLookups" sur "true" ou en supprimant la classe JndiLookup du classpath (exemple : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Java 8u121 (voir https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) protège de l’exécution de code à distance en donnant par défaut la valeur "false" à "com.sun.jndi.rmi.object.trustURLCodebase" et "com.sun.jndi.cosnaming.object.trustURLCodebase".
CVE-2021-44228
CVE : 
CVE-2021-44228
NIVEAU DE
SÉVÉRITÉ :  
CRITIQUE
Log4j - Exécution de code à distance
TITRE :  
Log4j - Exécution de code à distance
13/12/2021
DATE :  
13/12/2021
NON
Mise à jour requise :  
NON
RingCentral a connaissance de la faille de sécurité 0-day de log4j (cf. CVE-2021-44228 et CVE-2021-45046). Notre réponse et nos solutions tiennent compte de CVE-2021-45046, y compris les mises à jour de log4.j 2.16.  
Sur la base de notre analyse et de nos mesures correctives, nous pensons que les produits RingCentral ne sont pas vulnérables au risque d’exécution de code à distance, en particulier :
- les applications RingCentral (mobile, bureau, navigateur web)
- la messagerie RingCentral (également connue sous le nom de Glip)
- RingCentral Video 
- RingCentral MVP (Message, Vidéo, Téléphone)
- RingCentral Engage (Video, Digital)
- RingCentral Contact Center
- le portail d’analyse RingCentral
- le portail d’administration RingCentral
- la messagerie RingCentral (RCM)
Degré de gravité: CRITIQUE
Score CVSS: 10.0
Chaîne du vecteur CVSS : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Description : Les fonctionnalités JNDI d’Apache Log4j2 versions 2.14.1 et antérieures utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre les attaques sur les points de terminaison LDAP et autres points de terminaison liés à JNDI. Un attaquant qui peut contrôler les messages de journal ou les paramètres correspondants peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée. Depuis log4j 2.15.0, ce comportement a été désactivé par défaut. Dans les versions antérieures (>2.10), ce comportement peut être atténué en définissant la propriété système "log4j2.formatMsgNoLookups" sur "true" ou en supprimant la classe JndiLookup du classpath (exemple : zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). Java 8u121 (voir https://www.oracle.com/java/technologies/javase/8u121-relnotes.html) protège de l’exécution de code à distance en donnant par défaut la valeur "false" à "com.sun.jndi.rmi.object.trustURLCodebase" et "com.sun.jndi.cosnaming.object.trustURLCodebase".