Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 50
Tableau récapitulatif :
Vulnérabilités critiques du 11/12/23 au 17/12/23
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Siemens | SCALANCE | CVE-2023-44373 | 9.1 | Exécution de code arbitraire à distance | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1015 | https://cert-portal.siemens.com/productcert/html/ssa-180704.html |
Siemens | SIMATIC, SIPLUS | CVE-2023-45871 | 9.8 | Exécution de code arbitraire à distance | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1037 | https://cert-portal.siemens.com/productcert/html/ssa-398330.html |
Siemens | RUGGEDCOM, SCALANCE | CVE-2023-45853 | 9.8 | Exécution de code arbitraire | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1015 | https://cert-portal.siemens.com/productcert/html/ssa-398330.html |
Apple | iOS, iPadOS | CVE-2023-42917 | 8.8 | Exécution de code arbitraire à distance | 11/12/2023 | Exploitée | CERTFR-2023-AVI-1013 | https://support.apple.com/en-us/HT214034 |
Apple | iOS, iPadOS | CVE-2023-42916 | 6.5 | Atteinte à la confidentialité des données | 11/12/2023 | Exploitée | CERTFR-2023-AVI-1013 | https://support.apple.com/en-us/HT214034 |
Fortinet | FortiMail | CVE-2023-47539 | 9.0 | Contournement de la politique de sécurité | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1018 | https://www.fortiguard.com/psirt/FG-IR-23-439 |
Microsoft | Internet Connection Sharing (ICS) | CVE-2023-35641 | 8.8 | Exécution de code arbitraire à distance | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1023 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35641 |
Microsoft | Windows MSHTML Platform | CVE-2023-35628 | 8.1 | Exécution de code arbitraire à distance | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1023 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35628 |
Microsoft | Internet Connection Sharing (ICS) | CVE-2023-35630 | 8.8 | Exécution de code arbitraire à distance | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1023 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35630 |
Microsoft | Microsoft Power Platform Connector | CVE-2023-36019 | 9.6 | Contournement de la politique de sécurité | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1025 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36019 |
Schneider Electric | ProLeiT Plant iT/Brewmaxx (Redis) | CVE-2022-0543 | 10 | Exécution de code arbitraire à distance | 12/12/2023 | Pas d’information | CERTFR-2023-AVI-1014 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-346-02&Sp_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-346-02.pdf |
Alertes CERT-FR
CVE-2023-50164 : Vulnérabilité dans Apache Struts 2
Le 04 décembre 2023, Apache a publié un avis de sécurité concernant la vulnérabilité critique CVE-2023-50164 concernant le cadriciel Struts 2. Cette vulnérabilité permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à distance.
Le 12 décembre 2023, un premier code d’exploitation a été publié publiquement et le CERT-FR a connaissance de tentatives d’exploitation.
Liens :
- https://cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-013/
- https://cwiki.apache.org/confluence/display/WW/s2-066
Autres vulnérabilités
Multiples vulnérabilités dans Nagios XI
Les chercheurs du NCC group à l’origine de la découverte de multiples vulnérabilités dans Nagios XI ont publié les détails techniques de leurs travaux. Un correctif est disponible depuis le 06 décembre 2023.
Liens :
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 11 au 17 décembre 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-ALE-013 : Vulnérabilité dans Apache Struts 2
- CERTFR-2023-AVI-1010 : Multiples vulnérabilités dans les produits Ivanti
- CERTFR-2023-AVI-1011 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2023-AVI-1012 : Multiples vulnérabilités dans LibreOffice
- CERTFR-2023-AVI-1013 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2023-AVI-1014 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2023-AVI-1015 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2023-AVI-1016 : Vulnérabilité dans Xen
- CERTFR-2023-AVI-1017 : Multiples vulnérabilités dans les produits ElasticSearch
- CERTFR-2023-AVI-1018 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2023-AVI-1019 : Vulnérabilité dans les produits Cisco
- CERTFR-2023-AVI-1020 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2023-AVI-1021 : Multiples vulnérabilités dans les produits PRIM’X
- CERTFR-2023-AVI-1022 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2023-AVI-1023 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2023-AVI-1024 : Multiples vulnérabilités dans Microsoft Azure
- CERTFR-2023-AVI-1025 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2023-AVI-1026 : Vulnérabilité dans VMware Workspace ONE Launcher
- CERTFR-2023-AVI-1027 : Multiples vulnérabilités dans GitLab
- CERTFR-2023-AVI-1028 : Vulnérabilité dans les produits Wallix
- CERTFR-2023-AVI-1029 : Multiples vulnérabilités dans les produits Palo Alto Networks
- CERTFR-2023-AVI-1030 : Vulnérabilité dans Squid
- CERTFR-2023-AVI-1031 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2023-AVI-1032 : Vulnérabilité dans Microsoft Azure
- CERTFR-2023-AVI-1033 : Multiples vulnérabilités dans Tenable Security Center
- CERTFR-2023-AVI-1034 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-1035 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-1036 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2023-AVI-1037 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2023-AVI-1038 : Multiples vulnérabilités dans les produits IBM
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-AVI-853 : Vulnérabilité dans Sophos Firewall
- CERTFR-2023-ALE-006 : Vulnérabilité dans les produits Microsoft
- CERTFR-2023-AVI-0995 : Multiples vulnérabilités dans Google Android
- CERTFR-2023-AVI-1005 : Vulnérabilité dans Apache Struts 2