Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 5

Tableau récapitulatif :

Vulnérabilités critiques du 30/01/23 au 05/02/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
F5 BIG-IP (tous modules) CVE-2023-22374 8.5 Déni de service à distance, Exécution de code arbitraire à distance 01/02/2023 Pas d’information CERTFR-2023-AVI-0088 https://my.f5.com/manage/s/article/K000130415
Tenable tenable.io, tenable.sc, Nessus CVE-2023-0524 9.1 Élévation de privilèges 30/01/2023 Pas d’information CERTFR-2023-AVI-0072 https://www.tenable.com/security/tns-2023-04
IBM IBM Cognos Command Center CVE-2017-7525 9.8 Exécution de code arbitraire à distance 30/01/2023 Pas d’information CERTFR-2023-AVI-0073 https://www.ibm.com/support/pages/node/6555376
IBM IBM Cognos Command Center CVE-2022-23307 9.8 Exécution de code arbitraire à distance 30/01/2023 Pas d’information CERTFR-2023-AVI-0073 https://www.ibm.com/support/pages/node/6555376
IBM IBM Db2 on Cloud Pak for Data et Db2 Warehouse on Cloud Pak for Data CVE-2022-37601 9.8 Exécution de code arbitraire à distance 30/01/2023 Pas d’information CERTFR-2023-AVI-0073 https://www.ibm.com/support/pages/node/6890703
QNAP QTS, QuTS hero CVE-2022-27596 9.8 Exécution de code arbitraire à distance 30/01/2023 Pas d’information CERTFR-2023-AVI-0071 https://www.qnap.com/fr-fr/security-advisory/qsa-23-01

CVE-2023-22374 : Vulnérabilité dans F5 BIG-IP

La vulnérabilité CVE-2023-22374 permet à un attaquant distant authentifié d’effecteur un déni de service à distance et possiblement d’exécuter du code arbitraire.

F5 indique ne pas avoir publié de correctif de sécurité pour la vulnérabilité CVE-2023-22374. Toutefois des mesures de contournement ainsi qu’un correctif temporaire sont disponibles.

Des détails concernant cette vulnérabilité ont été publiés en source ouverte. Le CERT-FR anticipe donc que des preuves de concept seront rapidement disponibles publiquement, au moins en ce qui concerne le déni de service.

Liens :

CVE-2022-27596 : Vulnérabilité dans Qnap QTS et QuTS hero

Le 30 janvier 2023, Qnap a publié un correctif de sécurité concernant la vulnérabilité CVE-2022-27596. Celle-ci permet à un attaquant non authentifié d’injecter du code arbitraire à distance.
Le 3 février 2023, Qnap a mis à jour son avis de sécurité pour préciser que les versions QTS 5.0.0, QTS 4.x.x, QuTS hero 5.0.0 et QuTS hero 4.5.x ne sont pas affectées.

Le CERT-FR n’a pas connaissance de code d’exploitation public. Toutefois, le CERT-FR a constaté qu’un grand nombre de QTS sont directement accessibles sur Internet.

Liens :

Alertes CERT-FR

CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi

De nombreux ESXi ont fait l’objet d’une campagne d’exploitation dans le but d’installer un rançongiciel, vraisemblablement par le biais du service SLP.

Liens :

Autres vulnérabilités

CVE-2022-31706, CVE-2022-31704 et CVE-2022-31711 : Multiples vulnérabilités dans VMware vRealize Log Insight

Ces trois vulnérabilités peuvent être combinées pour prendre le contrôle d’un VMware vRealize Log Insight. Une preuve de concept, permettant de déposer une porte dérobée sur un équipement vulnérable, est publiquement disponible.

Liens :

CVE-2023-22501 : Vulnérabilité dans Jira Service Management Server et Service Management Data Center

Le 01 février 2023, Atlassian a publié un avis de sécurité concernant la vulnérabilité CVE-2023-2501. Celle-ci permet à un attaquant, sous certaines conditions, de prendre le contrôle d’un compte existant. Les versions affectées sont 5.3.x à 5.5.x. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs.

Liens :

CVE-2022-44268 : Vulnérabilité dans ImageMagick

Une preuve de concept est publiquement disponible pour la vulnérabilité CVE-2022-44268, qui affecte les versions d’ImageMagick antérieures à 7.1.0-52. Cette vulnérabilité permet à un attaquant d’obtenir une lecture de fichier arbitraire en envoyant une image piégée à un serveur vulnérable.

 


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 30 janvier au 05 février 2023, le CERT-FR a émis les publications suivantes :