Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 2
Tableau récapitulatif :
Vulnérabilités critiques du 09/01/23 au 15/01/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| SAP | SAP BPC MS 10.0 | CVE-2023-0016 | 9.9 | Exécution de code arbitraire à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0019 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | SAP NetWeaver ABAP Server et ABAP Platform | CVE-2023-0014 | 9.0 | Exécution de code arbitraire à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0019 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | SAP BusinessObjects Business Intelligence platform (Analysis edition pour OLAP) | CVE-2023-0022 | 9.9 | Exécution de code arbitraire à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0019 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | SAP NetWeaver AS for Java | CVE-2023-0017 | 9.4 | Exécution de code arbitraire à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0019 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| Microsoft | Windows Advanced Local Procedure Call (ALPC) | CVE-2023-21674 | 8.8 | Élévation de privilèges | 10/01/2023 | Exploitée | CERTFR-2023-AVI-0022 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674 |
| Siemens | SINEC INS | CVE-2022-45092 | 9.9 | Exécution de code arbitraire à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0015 | https://cert-portal.siemens.com/productcert/html/ssa-332410.html |
| Siemens | SINEC INS | CVE-2022-2274 | 9.8 | Exécution de code arbitraire à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0015 | https://cert-portal.siemens.com/productcert/html/ssa-332410.html |
| Siemens | SINEC INS | CVE-2022-35256 | 9.8 | Exécution de code arbitraire à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0015 | https://cert-portal.siemens.com/productcert/html/ssa-332410.html |
| Schneider Electric | EcoStruxure Geo SCADA Expert | CVE-2023-22610 | 9.1 | Déni de service à distance | 10/01/2023 | Pas d’information | CERTFR-2023-AVI-0014 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-010-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-010-02_Geo_SCADA_Security_Notification.pdf |
| IBM | Sterling B2B Integrator | CVE-2019-12384 | 9.8 | Exécution de code arbitraire à distance | 09/01/2023 | Pas d’information | CERTFR-2023-AVI-0012 | https://www.ibm.com/support/pages/node/6853637 |
| Cisco | Small Business RV016, RV042, RV042G et RV082 | CVE-2023-20025 | 9.0 | Exécution de code arbitraire à distance | 11/01/2023 | Pas d’information | CERTFR-2023-AVI-0026 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbr042-multi-vuln-ej76Pke5 |
CVE-2022-38773 : Vulnérabilité dans Siemens SIMATIC S7-1500 CPU et SINAMICS S120
Le 10 janvier 2023, Siemens a publié un avis de sécurité concernant la vulnérabilité CVE-2022-38773 affectant les automates programmables industriels de type SIMATIC S7-1500 CPU et SINAMICS S120. Le microgiciel de ces modèles n’est pas vérifié au démarrage, ainsi un attaquant ayant un accès physique à ces machines peut le modifier pour exécuter un code arbitraire.
Siemens ne prévoit pas de publier un correctif de sécurité et recommande de restreindre l’accès physique à ces automates. Le CERT-FR en profite pour rappeler l’importance de la sécurité physique qui est l’une des composante du modèle de défense en profondeur.
Liens :
- https://cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0015/
- https://cert-portal.siemens.com/productcert/html/ssa-482757.html
Autres vulnérabilités
CVE-2022-41080, CVE-41076 : Multiples vulnérabilités dans les serveurs Microsoft Exchange
Ces deux vulnérabilités ont été déclarées par l’éditeur lors des mises à jour mensuelles de novembre (CVE-2022-41080) et décembre dernier (CVE-2022-41076). La première vulnérabilité, CVE-2022-41080, permet de réaliser une requête forgée côté serveur (Server Side Request Forgery, SSRF), et la seconde, CVE-2022-41076, de contourner les restrictions d’exécution de commande Powershell. La combinaison de ces deux vulnérabilités permet à un attaquant authentifié d’exécuter à distance des commandes Powershell arbitraires sur les serveurs Microsoft Exchange ayant la fonctionnalité « PowerShell Remoting » activée.
Pour rappel, la mesure de contournement préconisée par Microsoft concernant la vulnérabilité CVE-2022-41080 avant la sortie du correctif n’est plus recommandée (cf. billet de blogue Microsoft). Seule l’application des correctifs permet de se protéger contre ces vulnérabilités.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1015/
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-054/
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41076
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41080
- https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
CVE-2022-46169 : Vulnérabilité dans Cacti
Le 5 décembre 2022, un correctif de sécurité a été publié pour Cacti, une plateforme de supervision en source ouverte. La vulnérabilité CVE-2022-46169 affecte la version v1.2.22 et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance. Son score CVSSv3 est de 9.8. Des codes d’exploitation sont publiquement disponibles. La vulnérabilité CVE-2022-46169 est activement exploitée.
Liens :
CVE-2022-44877: Vulnérabilité dans Control Web Panel
La version 0.9.8.1147 de Control Web Panel (anciennement appelé CentOS Web Panel) a été publiée le 25 octobre 2022. Entre autres, cette version corrige la vulnérabilité critique CVE-2022-44877 (score CVSSv3 9.8) qui permet à un attaquant distant non authentifié d’exécuter du code arbitraire à distance. Le 3 janvier 2023, le chercheur qui a découvert cette vulnérabilité a publié une preuve de concept. Depuis, cette vulnérabilité est activement exploitée.
Liens :
CVE-2015-0666: Vulnérabilité dans Cisco Prime Data Center Network Manager
Le 12 janvier 2023, Cisco a mis à jour son bulletin de sécurité cisco-sa-20150401-dcnm du 1er avril 2015 affectant Cisco Prime DCNM. L’éditeur indique avoir connaissance de cas d’exploitations actives de la vulnérabilité CVE-2015-0666 depuis mars 2022.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2015-AVI-135/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150401-dcnm
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 09 au 15 janvier 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-0011 : Multiples vulnérabilités dans les produits Nextcloud
- CERTFR-2023-AVI-0012 : Multiples vulnérabilités dans IBM Sterling
- CERTFR-2023-AVI-0013 : Multiples vulnérabilités dans GitLab
- CERTFR-2023-AVI-0014 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2023-AVI-0015 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2023-AVI-0016 : Multiples vulnérabilités dans Adobe Reader et Acrobat
- CERTFR-2023-AVI-0017 : Multiples vulnérabilités dans Intel oneAPI Toolkit
- CERTFR-2023-AVI-0018 : [SCADA] Vulnérabilité dans Moxa TN-4900
- CERTFR-2023-AVI-0019 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2023-AVI-0020 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2023-AVI-0021 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2023-AVI-0022 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2023-AVI-0023 : Vulnérabilité dans Microsoft .Net
- CERTFR-2023-AVI-0024 : Vulnérabilité dans Microsoft Azure
- CERTFR-2023-AVI-0025 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2023-AVI-0026 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2023-AVI-0027 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-0028 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2023-AVI-0029 : Multiples vulnérabilités dans Microsoft Edge
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2021-AVI-473 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2022-AVI-1109 : Multiples vulnérabilités dans Google Chrome
