Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 2
Tableau récapitulatif :
Vulnérabilités critiques du 08/01/24 au 14/01/24
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Juniper Networks | Junos OS | CVE-2024-21591 | 9.8 | Exécution de code arbitraire à distance | 10/01/2024 | Pas d’information | CERTFR-2024-AVI-0027 | https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591?language=en_US |
| Ivanti | Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways | CVE-2024-21887 | 9.1 | Exécution de code arbitraire à distance | 10/01/2024 | Exploitée | CERTFR-2024-ALE-001 | https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US |
| Ivanti | Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways | CVE-2023-46805 | 8.2 | Contournement de la politique de sécurité | 10/01/2024 | Exploitée | CERTFR-2024-ALE-001 | https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US |
| SAP | Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries | CVE-2023-50422 | 9.1 | Élévation de privilèges | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0018 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | Business Technology Platform (BTP) Security Services Integration Libraries | CVE-2023-50423 | 9.1 | Élévation de privilèges | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0018 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | Business Technology Platform (BTP) Security Services Integration Libraries | CVE-2023-50424 | 9.1 | Élévation de privilèges | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0018 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | Business Application Studio, Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries | CVE-2023-49583 | 9.1 | Élévation de privilèges | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0018 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| Microsoft | Windows, Windows Server | CVE-2024-20674 | 8.8 | Contournement de la politique de sécurité | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0021 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674 |
| Microsoft | .NET | CVE-2024-0057 | 9.1 | Contournement de la politique de sécurité | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0024 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057 |
| Siemens | SIMATIC CN 4100 | CVE-2023-49621 | 9.8 | Contournement de la politique de sécurité | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0014 | https://cert-portal.siemens.com/productcert/html/ssa-777015.html |
| Siemens | SIMATIC IPC647E , SIMATIC IPC847E, SIMATIC IPC1047E | CVE-2023-51438 | 10 | Exécution de code arbitraire à distance | 09/01/2024 | Pas d’information | CERTFR-2024-AVI-0014 | https://cert-portal.siemens.com/productcert/html/ssa-702935.html |
| GitLab | Community Edition (CE) et Enterprise Edition (EE) | CVE-2023-5356 | 9.6 | Exécution de code arbitraire à distance | 11/01/2024 | Pas d’information | CERTFR-2024-AVI-0030 | https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/ |
| GitLab | Community Edition (CE) et Enterprise Edition (EE) | CVE-2023-7028 | 10 | Contournement de la politique de sécurité | 11/01/2024 | Code d’exploitation public | CERTFR-2024-ALE-002 | https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/ |
CVE-2019-17571, CVE-2020-9493, CVE-2021-26691, CVE-2021-39275, CVE-2021-44228, CVE-2021-44790, CVE-2022-23305, CVE-2022-37434 et CVE-2023-38408 : Multiples vulnérabilités dans les produits Juniper Networks
En complément de la vulnérabilité CVE-2024-21591, Juniper Networks a également publié des correctifs pour de multiples vulnérabilités critiques affectant des composants tiers utilisés par Session Smart Router, CTPView et Security Director Insights.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0027/
- https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Session-Smart-Router-Multiple-vulnerabilities-resolved
- https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-CTPView-Multiple-vulnerabilities-in-CTPView-CVE-yyyy-nnnn?language=en_US
- https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Security-Director-Insights-Multiple-vulnerabilities-in-SDI?language=en_US
Rappel des alertes CERT-FR
CVE-2024-21887, CVE-2023-46805 : Multiples vulnérabilités dans les produits Ivanti
Le 10 janvier 2024, Ivanti a publié un avis de sécurité concernant ses produits Connect Secure et Policy Secure Gateways car ils sont affectés par deux vulnérabilités critiques.
La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l’authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d’exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.
Ivanti indique que ces vulnérabilités sont activement exploitées dans le cadre d’attaques ciblées. Selon l’éditeur, une dizaine d’équipements ont été compromis.
Les correctifs ne sont pas disponibles pour l’instant. Leurs publications sont prévues, pour les versions 9.x et 22.x, entre les semaines du 22 janvier et du 19 février 2024.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-001/
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
CVE-2023-7028 : Vulnérabilité dans les produits GitLab
Le 11 janvier 2024, l’éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab.
La plus critique est la vulnérabilité CVE-2023-7028. Elle permet à un attaquant non authentifié d’envoyer un courriel de réinitialisation de mot de passe de n’importe quel utilisateur à une adresse arbitraire. L’attaquant peut ainsi, par le biais d’une simple requête HTTP POST, prendre le contrôle d’un compte dont il connaîtrait le courriel.
Des codes d’exploitation sont publiquement disponibles.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-002/
- https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
Autres vulnérabilités
CVE-2023-29357 : Vulnérabilités dans Microsoft Sharepoint
La CISA indique que la vulnérabilité CVE-2023-29357 est activement exploitée. Pour rappel, celle-ci permet à un attaquant non authentifié d’obtenir les droits administrateur sur un serveur Sharepoint.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0461/
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2023-ACT-043/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29357
- https://www.cisa.gov/news-events/alerts/2024/01/10/cisa-adds-one-known-exploited-vulnerability-catalog
CVE-2023-48795 : Vulnérabilité dans les produits Palo Alto Networks
L’éditeur recommande de désactiver l’algorithme CHACHA20-POLY1305 dans ses produits pour bloquer l’exploitation potentielle de la vulnérabilité CVE-2023-48795, aussi appelée Terrapin.
Liens :
CVE-2023-51467 : Vulnérabilité dans Apache OFBiz
La vulnérabilité critique CVE-2023-51467 permet à un attaquant de contourner l’authentification pour injecter des requêtes illégitimes par rebond côté serveur (SSRF) dans OFBiz. Une preuve de concept de l’exploitation est publiquement disponible.
Liens :
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 08 au 14 janvier 2024, le CERT-FR a émis les publications suivantes :
- CERTFR-2024-ALE-001 : [MàJ] Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways
- CERTFR-2024-ALE-002 : [MàJ] Multiples Vulnérabilités dans GitLab
- CERTFR-2024-AVI-0011 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2024-AVI-0012 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2024-AVI-0013 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2024-AVI-0014 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2024-AVI-0015 : Multiples vulnérabilités dans les produits Splunk
- CERTFR-2024-AVI-0016 : Multiples vulnérabilités dans les produits Trend Micro
- CERTFR-2024-AVI-0017 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2024-AVI-0018 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2024-AVI-0019 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2024-AVI-0020 : Vulnérabilité dans Microsoft Office
- CERTFR-2024-AVI-0021 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2024-AVI-0022 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2024-AVI-0023 : Vulnérabilité dans Microsoft Azure
- CERTFR-2024-AVI-0024 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2024-AVI-0025 : Vulnérabilité dans SPIP
- CERTFR-2024-AVI-0026 : Vulnérabilité dans Cisco Unity Connection
- CERTFR-2024-AVI-0027 : Multiples vulnérabilités dans les produits Juniper Networks
- CERTFR-2024-AVI-0028 : Vulnérabilité dans SPIP
- CERTFR-2024-AVI-0029 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2024-AVI-0030 : Multiples vulnérabilités dans GitLab
- CERTFR-2024-AVI-0031 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2024-AVI-0032 : Vulnérabilité dans les produits WithSecure
- CERTFR-2024-AVI-0033 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2024-AVI-0034 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
