Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 2

Tableau récapitulatif :

Vulnérabilités critiques du 09/01/23 au 15/01/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
SAP SAP BPC MS 10.0 CVE-2023-0016 9.9 Exécution de code arbitraire à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0019 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP SAP NetWeaver ABAP Server et ABAP Platform CVE-2023-0014 9.0 Exécution de code arbitraire à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0019 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP SAP BusinessObjects Business Intelligence platform (Analysis edition pour OLAP) CVE-2023-0022 9.9 Exécution de code arbitraire à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0019 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP SAP NetWeaver AS for Java CVE-2023-0017 9.4 Exécution de code arbitraire à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0019 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Microsoft Windows Advanced Local Procedure Call (ALPC) CVE-2023-21674 8.8 Élévation de privilèges 10/01/2023 Exploitée CERTFR-2023-AVI-0022 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674
Siemens SINEC INS CVE-2022-45092 9.9 Exécution de code arbitraire à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0015 https://cert-portal.siemens.com/productcert/html/ssa-332410.html
Siemens SINEC INS CVE-2022-2274 9.8 Exécution de code arbitraire à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0015 https://cert-portal.siemens.com/productcert/html/ssa-332410.html
Siemens SINEC INS CVE-2022-35256 9.8 Exécution de code arbitraire à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0015 https://cert-portal.siemens.com/productcert/html/ssa-332410.html
Schneider Electric EcoStruxure Geo SCADA Expert CVE-2023-22610 9.1 Déni de service à distance 10/01/2023 Pas d'information CERTFR-2023-AVI-0014 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-010-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-010-02_Geo_SCADA_Security_Notification.pdf
IBM Sterling B2B Integrator CVE-2019-12384 9.8 Exécution de code arbitraire à distance 09/01/2023 Pas d'information CERTFR-2023-AVI-0012 https://www.ibm.com/support/pages/node/6853637
Cisco Small Business RV016, RV042, RV042G et RV082 CVE-2023-20025 9.0 Exécution de code arbitraire à distance 11/01/2023 Pas d'information CERTFR-2023-AVI-0026 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbr042-multi-vuln-ej76Pke5

CVE-2022-38773 : Vulnérabilité dans Siemens SIMATIC S7-1500 CPU et SINAMICS S120

Le 10 janvier 2023, Siemens a publié un avis de sécurité concernant la vulnérabilité CVE-2022-38773 affectant les automates programmables industriels de type SIMATIC S7-1500 CPU et SINAMICS S120. Le microgiciel de ces modèles n'est pas vérifié au démarrage, ainsi un attaquant ayant un accès physique à ces machines peut le modifier pour exécuter un code arbitraire.

Siemens ne prévoit pas de publier un correctif de sécurité et recommande de restreindre l'accès physique à ces automates. Le CERT-FR en profite pour rappeler l'importance de la sécurité physique qui est l'une des composante du modèle de défense en profondeur.

Liens :

Autres vulnérabilités

CVE-2022-41080, CVE-41076 : Multiples vulnérabilités dans les serveurs Microsoft Exchange

Ces deux vulnérabilités ont été déclarées par l’éditeur lors des mises à jour mensuelles de novembre (CVE-2022-41080) et décembre dernier (CVE-2022-41076). La première vulnérabilité, CVE-2022-41080, permet de réaliser une requête forgée côté serveur (Server Side Request Forgery, SSRF), et la seconde, CVE-2022-41076, de contourner les restrictions d’exécution de commande Powershell. La combinaison de ces deux vulnérabilités permet à un attaquant authentifié d’exécuter à distance des commandes Powershell arbitraires sur les serveurs Microsoft Exchange ayant la fonctionnalité « PowerShell Remoting » activée.

Pour rappel, la mesure de contournement préconisée par Microsoft concernant la vulnérabilité CVE-2022-41080 avant la sortie du correctif n'est plus recommandée (cf. billet de blogue Microsoft). Seule l'application des correctifs permet de se protéger contre ces vulnérabilités.

Liens :

CVE-2022-46169 : Vulnérabilité dans Cacti

Le 5 décembre 2022, un correctif de sécurité a été publié pour Cacti, une plateforme de supervision en source ouverte. La vulnérabilité CVE-2022-46169 affecte la version v1.2.22 et permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. Son score CVSSv3 est de 9.8. Des codes d'exploitation sont publiquement disponibles. La vulnérabilité CVE-2022-46169 est activement exploitée.

Liens :

CVE-2022-44877: Vulnérabilité dans Control Web Panel

La version 0.9.8.1147 de Control Web Panel (anciennement appelé CentOS Web Panel) a été publiée le 25 octobre 2022. Entre autres, cette version corrige la vulnérabilité critique CVE-2022-44877 (score CVSSv3 9.8) qui permet à un attaquant distant non authentifié d'exécuter du code arbitraire à distance. Le 3 janvier 2023, le chercheur qui a découvert cette vulnérabilité a publié une preuve de concept. Depuis, cette vulnérabilité est activement exploitée.

Liens :

CVE-2015-0666: Vulnérabilité dans Cisco Prime Data Center Network Manager

Le 12 janvier 2023, Cisco a mis à jour son bulletin de sécurité cisco-sa-20150401-dcnm du 1er avril 2015 affectant Cisco Prime DCNM. L’éditeur indique avoir connaissance de cas d'exploitations actives de la vulnérabilité CVE-2015-0666 depuis mars 2022.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 09 janvier 2023 au 15 janvier 2023, le CERT-FR a émis les publications suivantes :


Dans la période du 09 janvier 2023 au 15 janvier 2023, le CERT-FR a mis à jour les publications suivantes :