Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 5
Tableau récapitulatif :
Vulnérabilités critiques du 30/01/23 au 05/02/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| F5 | BIG-IP (tous modules) | CVE-2023-22374 | 8.5 | Déni de service à distance, Exécution de code arbitraire à distance | 01/02/2023 | Pas d'information | CERTFR-2023-AVI-0088 | https://my.f5.com/manage/s/article/K000130415 |
| Tenable | tenable.io, tenable.sc, Nessus | CVE-2023-0524 | 9.1 | Élévation de privilèges | 30/01/2023 | Pas d'information | CERTFR-2023-AVI-0072 | https://www.tenable.com/security/tns-2023-04 |
| IBM | IBM Cognos Command Center | CVE-2017-7525 | 9.8 | Exécution de code arbitraire à distance | 30/01/2023 | Pas d'information | CERTFR-2023-AVI-0073 | https://www.ibm.com/support/pages/node/6555376 |
| IBM | IBM Cognos Command Center | CVE-2022-23307 | 9.8 | Exécution de code arbitraire à distance | 30/01/2023 | Pas d'information | CERTFR-2023-AVI-0073 | https://www.ibm.com/support/pages/node/6555376 |
| IBM | IBM Db2 on Cloud Pak for Data et Db2 Warehouse on Cloud Pak for Data | CVE-2022-37601 | 9.8 | Exécution de code arbitraire à distance | 30/01/2023 | Pas d'information | CERTFR-2023-AVI-0073 | https://www.ibm.com/support/pages/node/6890703 |
| QNAP | QTS, QuTS hero | CVE-2022-27596 | 9.8 | Exécution de code arbitraire à distance | 30/01/2023 | Pas d'information | CERTFR-2023-AVI-0071 | https://www.qnap.com/fr-fr/security-advisory/qsa-23-01 |
CVE-2023-22374 : Vulnérabilité dans F5 BIG-IP
La vulnérabilité CVE-2023-22374 permet à un attaquant distant authentifié d'effecteur un déni de service à distance et possiblement d'exécuter du code arbitraire.F5 indique ne pas avoir publié de correctif de sécurité pour la vulnérabilité CVE-2023-22374. Toutefois des mesures de contournement ainsi qu'un correctif temporaire sont disponibles.
Des détails concernant cette vulnérabilité ont été publiés en source ouverte. Le CERT-FR anticipe donc que des preuves de concept seront rapidement disponibles publiquement, au moins en ce qui concerne le déni de service.
Liens :
CVE-2022-27596 : Vulnérabilité dans Qnap QTS et QuTS hero
Le 30 janvier 2023, Qnap a publié un correctif de sécurité concernant la vulnérabilité CVE-2022-27596. Celle-ci permet à un attaquant non authentifié d'injecter du code arbitraire à distance. Le 3 février 2023, Qnap a mis à jour son avis de sécurité pour préciser que les versions QTS 5.0.0, QTS 4.x.x, QuTS hero 5.0.0 et QuTS hero 4.5.x ne sont pas affectées.Le CERT-FR n'a pas connaissance de code d'exploitation public. Toutefois, le CERT-FR a constaté qu'un grand nombre de QTS sont directement accessibles sur Internet.
Liens :
Alertes CERT-FR
CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
De nombreux ESXi ont fait l'objet d'une campagne d'exploitation dans le but d'installer un rançongiciel, vraisemblablement par le biais du service SLP.Liens :
Autres vulnérabilités
CVE-2022-31706, CVE-2022-31704 et CVE-2022-31711 : Multiples vulnérabilités dans VMware vRealize Log Insight
Ces trois vulnérabilités peuvent être combinées pour prendre le contrôle d'un VMware vRealize Log Insight. Une preuve de concept, permettant de déposer une porte dérobée sur un équipement vulnérable, est publiquement disponible.Liens :
- /avis/CERTFR-2023-AVI-0058/
- /actualite/CERTFR-2023-ACT-006/
- https://www.vmware.com/security/advisories/VMSA-2023-0001.html
CVE-2023-22501 : Vulnérabilité dans Jira Service Management Server et Service Management Data Center
Le 01 février 2023, Atlassian a publié un avis de sécurité concernant la vulnérabilité CVE-2023-2501. Celle-ci permet à un attaquant, sous certaines conditions, de prendre le contrôle d'un compte existant. Les versions affectées sont 5.3.x à 5.5.x. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs.Liens :
CVE-2022-44268 : Vulnérabilité dans ImageMagick
Une preuve de concept est publiquement disponible pour la vulnérabilité CVE-2022-44268, qui affecte les versions d'ImageMagick antérieures à 7.1.0-52. Cette vulnérabilité permet à un attaquant d'obtenir une lecture de fichier arbitraire en envoyant une image piégée à un serveur vulnérable.
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
