Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 10
Tableau récapitulatif :
Vulnérabilités critiques du 06/03/23 au 12/03/23
CVE-2023-27898, CVE-2023-27905: Multiples vulnérabilités dans Jenkins
Une chaîne de vulnérabilités, baptisée CorePlague, a été découverte dans les serveurs Jenkins et le centre de mises à jour (CVE-2023-27898, CVE-2023-27905). L'exploitation de ces vulnérabilités permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur un serveur Jenkins, pouvant entraîner une compromission complète du serveur.En outre, ces vulnérabilités peuvent être exploitées et ce, même si le serveur Jenkins n'est pas directement accessible par les attaquants et impactent également les serveurs Jenkins auto-hébergés.
Le CERT-FR a connaissance de codes d'exploitation publiquement disponibles.
Liens:
CVE-2023-27372: Vulnérabilité dans SPIP
La vulnérabilité critique CVE-2023-27372 affectant SPIP permet une exécution de code arbitraire à distance, son score CVSSv3 est 9,8.SPIP a publié un correctif de sécurité le 27 février 2023. Le lendemain, un nouveau correctif a été publié pour corriger un problème induit par la mise à jour de sécurité.
Le CERT-FR a connaissance d'au moins un code d'exploitation public ainsi que de nombreux sites Web utilisant SPIP qui n'ont pas appliqué la mise à jour.
Liens:
- /avis/CERTFR-2023-AVI-0213
- https://blog.spip.net/Mise-a-jour-sortie-de-SPIP-4-2-2-SPIP-4-1-9-SPIP-4-0-11-et-SPIP-3-2-19.html
- https://blog.spip.net/Mise-a-jour-critique-de-securite-sortie-de-SPIP-4-2-1-SPIP-4-1-8-SPIP-4-0-10-et.html
CVE-2023-33235 (ZDI-CAN-19895), CVE-2023-33236(ZDI-CAN-19896) : Multiples vulnérabilités dans Moxa MXsecurity
Une vulnérabilité référencée CVE-2023-33235 (ZDI-CAN-19895) a été découverte dans le programme SSH CLI. Elle peut être exploitée par des attaquants ayant obtenu des privilèges d'autorisation. L'attaque consiste en l'échappement du terminal restreint offrant la possibilité d'y exécuter du code arbitraire à distance.Une vulnérabilité référencée CVE-2023-33236(ZDI-CAN-19896) a été découverte. Celle-ci tire parti de la création de jetons JWT arbitraires permettant in fine le contournement de l'authentification pour les API basées sur le web. Ceci est dû à l'utilisation d'informations d'identification codées en dur.
Liens:
- /avis/CERTFR-2023-AVI-0204/
- https://www.moxa.com/en/support/product-support/security-advisory/mxsecurity-command-injection-and-hardcoded-credential-vulnerabilities
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.