Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 50

Tableau récapitulatif :

Vulnérabilités critiques du 10/12/22 au 16/12/22
Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Schneider Electric Modicon M580 CPU et M580 CPU Safety CVE-2022-37300 9.8 Atteinte à l’intégrité des données, Atteinte à la confidentialité des données 13/12/2022 Pas d’information CERTFR-2022-AVI-1093 Bulletin de sécurité Schneider (PDF)
Schneider Electric Modicon M580 CPU et M580 CPU Safety CVE-2021-22779 9.8 Contournement de l’authentification 13/12/2022 Pas d’information CERTFR-2022-AVI-1093 Bulletin de sécurité Schneider (PDF)
Schneider Electric APC Easy UPS Online Monitoring CVE-2022-42971 9.8 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1093 Bulletin de sécurité Schneider (PDF)
Schneider Electric APC Easy UPS Online Monitoring CVE-2022-42970 9.8 Contournement de la politique de sécurité 13/12/2022 Pas d’information CERTFR-2022-AVI-1093 Bulletin de sécurité Schneider (PDF)
SAP SAP Commerce CVE-2022-42889 (Apache Commons Text) 9.8 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1101 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14
SAP SAP NetWeaver Process Integration CVE-2022-41271 9.4 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1101 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14
SAP SAP NetWeaver Process Integration CVE-2022-41272 9.9 Atteinte à l’intégrité et à la confidentialité des données et déni de service à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1101 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14
SAP SAP BusinessObjects Business Intelligence CVE-2022-41267 9.9 Injection de requêtes forgées côté serveur (SSRF) 13/12/2022 Pas d’information CERTFR-2022-AVI-1101 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1&todaysdate=2022-12-14
Microsoft Windows Secure Socket Tunneling Protocol (SSTP) CVE-2022-44670 8.1 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1103 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44670
Microsoft Microsoft Dynamics NAV, Microsoft Dynamics 365 Business Central CVE-2022-41127 8.5 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1106 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41127
Microsoft Windows Secure Socket Tunneling Protocol (SSTP) CVE-2022-44676 8.1 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1103 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44676
Microsoft PowerShell CVE-2022-41076 8.5 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1103 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41076
Microsoft Sharepoint CVE-2022-44690 8.8 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1102 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44690
Microsoft Sharepoint CVE-2022-44693 8.8 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1102 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44693
VMware Fusion, Workstation CVE-2022-31705 9.3 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1096 https://www.vmware.com/security/advisories/VMSA-2022-0033.html
VMware VMware vRealize Network Insight (vRNI) CVE-2022-31702 9.8 Exécution de code arbitraire à distance 13/12/2022 Pas d’information CERTFR-2022-AVI-1096 https://www.vmware.com/security/advisories/VMSA-2022-0031.html
Citrix Citrix ADC, Citrix Gateway CVE-2022-27518 9.8 Exécution de code arbitraire à distance 13/12/2022 Exploitée CERTFR-2022-ALE-013 https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518
Fortinet FortiOS SSL-VPN CVE-2022-42475 9.3 Exécution de code arbitraire à distance 12/12/2022 Exploitée CERTFR-2022-ALE-012 https://www.fortiguard.com/psirt/FG-IR-22-398

CVE-2022-37300, CVE-2021-22779 : Multiples vulnérabilités dans les produits Schneider Electric

Le 13 décembre 2022, l’éditeur a choisi de retirer le micrologiciel Modicon M580 SV4.02 pour des raisons de qualité. Cette version n’est donc plus disponible en téléchargement.
Des mesures d’atténuation ont été renseignées dans l’avis de sécurité de l’éditeur afin de réduire le risque d’exploitation des vulnérabilités qui est induit par le retrait de la version SV4.02.

Liens :

Alertes CERT-FR

CVE-2022-27518 : Vulnérabilité dans les produits Citrix

Le 13 décembre 2022, Citrix a indiqué avoir connaissance d’une vulnérabilité de type jour-zéro (zero-day) affectant les produits Citrix ADC et Citrix Gateway. Cette vulnérabilité, immatriculée CVE-2022-27518, permet à un attaquant à distance et non authentifié d’exécuter du code arbitraire sur l’équipement.
Pour plus d’informations, veuillez vous référer à l’alerte [1].

Liens :

CVE-2022-27518 : Vulnérabilité dans les produits FortiOS SSL-VPN

Le 12 décembre 2022, l’éditeur Fortinet a publié un avis de sécurité mentionnant une vulnérabilité critique dans son produit FortiOS SSL-VPN. Cette vulnérabilité de débordement de tas permet à un attaquant distant non authentifié d’exécuter du code ou des commandes arbitraires via des requêtes spécifiquement conçues.
Pour plus d’informations, veuillez vous référer à l’alerte [1].

Liens :

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 12 au 18 décembre 2022, le CERT-FR a émis les publications suivantes :