S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 18 décembre 2023
N° CERTFR-2023-ACT-054
Affaire suivie par: CERT-FR
le 18 décembre 2023

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2023-ACT-054

Gestion du document

Référence CERTFR-2023-ACT-054
Titre Bulletin d’actualité CERTFR-2023-ACT-054
Date de la première version 18 décembre 2023
Date de la dernière version 18 décembre 2023
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 50

Tableau récapitulatif :

Vulnérabilités critiques du 11/12/23 au 17/12/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Siemens SCALANCE CVE-2023-44373 9.1 Exécution de code arbitraire à distance 12/12/2023 Pas d’information CERTFR-2023-AVI-1015 https://cert-portal.siemens.com/productcert/html/ssa-180704.html
Siemens SIMATIC, SIPLUS CVE-2023-45871 9.8 Exécution de code arbitraire à distance 12/12/2023 Pas d’information CERTFR-2023-AVI-1037 https://cert-portal.siemens.com/productcert/html/ssa-398330.html
Siemens RUGGEDCOM, SCALANCE CVE-2023-45853 9.8 Exécution de code arbitraire 12/12/2023 Pas d’information CERTFR-2023-AVI-1015 https://cert-portal.siemens.com/productcert/html/ssa-398330.html
Apple iOS, iPadOS CVE-2023-42917 8.8 Exécution de code arbitraire à distance 11/12/2023 Exploitée CERTFR-2023-AVI-1013 https://support.apple.com/en-us/HT214034

https://support.apple.com/en-us/HT214031
Apple iOS, iPadOS CVE-2023-42916 6.5 Atteinte à la confidentialité des données 11/12/2023 Exploitée CERTFR-2023-AVI-1013 https://support.apple.com/en-us/HT214034

https://support.apple.com/en-us/HT214031
Fortinet FortiMail CVE-2023-47539 9.0 Contournement de la politique de sécurité 12/12/2023 Pas d’information CERTFR-2023-AVI-1018 https://www.fortiguard.com/psirt/FG-IR-23-439
Microsoft Internet Connection Sharing (ICS) CVE-2023-35641 8.8 Exécution de code arbitraire à distance 12/12/2023 Pas d’information CERTFR-2023-AVI-1023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35641
Microsoft Windows MSHTML Platform CVE-2023-35628 8.1 Exécution de code arbitraire à distance 12/12/2023 Pas d’information CERTFR-2023-AVI-1023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35628
Microsoft Internet Connection Sharing (ICS) CVE-2023-35630 8.8 Exécution de code arbitraire à distance 12/12/2023 Pas d’information CERTFR-2023-AVI-1023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35630
Microsoft Microsoft Power Platform Connector CVE-2023-36019 9.6 Contournement de la politique de sécurité 12/12/2023 Pas d’information CERTFR-2023-AVI-1025 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36019
Schneider Electric ProLeiT Plant iT/Brewmaxx (Redis) CVE-2022-0543 10 Exécution de code arbitraire à distance 12/12/2023 Pas d’information CERTFR-2023-AVI-1014 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-346-02&Sp_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-346-02.pdf

Alertes CERT-FR

CVE-2023-50164 : Vulnérabilité dans Apache Struts 2

Le 04 décembre 2023, Apache a publié un avis de sécurité concernant la vulnérabilité critique CVE-2023-50164 concernant le cadriciel Struts 2. Cette vulnérabilité permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à distance.
Le 12 décembre 2023, un premier code d’exploitation a été publié publiquement et le CERT-FR a connaissance de tentatives d’exploitation.

Liens :

Autres vulnérabilités

Multiples vulnérabilités dans Nagios XI

Les chercheurs du NCC group à l’origine de la découverte de multiples vulnérabilités dans Nagios XI ont publié les détails techniques de leurs travaux. Un correctif est disponible depuis le 06 décembre 2023.

Liens :

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 11 au 17 décembre 2023, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 18 décembre 2023
    Version initiale