Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 11

Tableau récapitulatif :

Vulnérabilités critiques du 13/03/23 au 19/03/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Microsoft Microsoft Outlook, Microsoft Office, Microsoft 365 Apps pour Entreprise CVE-2023-23397 9.8 Élévation de privilèges 14/03/2023 Exploitée CERTFR-2023-AVI-0234 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
Microsoft Windows 11, Windows Server CVE-2023-23392 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d'information CERTFR-2023-AVI-0232 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23392
Microsoft Windows 10, Windows 11, Windows Server CVE-2023-21708 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d'information CERTFR-2023-AVI-0232 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21708
Microsoft Windows 10, Windows 11, Windows Server CVE-2023-23415 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d'information CERTFR-2023-AVI-0232 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23415
Adobe ColdFusion 2018, ColdFusion 2021 CVE-2023-26359 9.8 Exécution de code arbitraire à distance 14/03/2023 Pas d'information CERTFR-2023-AVI-0227 https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
Adobe ColdFusion 2018, ColdFusion 2021 CVE-2023-26360 8.6 Exécution de code arbitraire à distance 14/03/2023 Exploitée CERTFR-2023-AVI-0227 https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
Aruba ClearPass Policy Manager CVE-2023-25589 9.8 Contournement de la politique de sécurité 14/03/2023 Pas d'information CERTFR-2023-AVI-0226 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-003.txt
Siemens SCALANCE CVE-2022-32207 9.8 Contournement de la politique de sécurité 14/03/2023 Pas d'information CERTFR-2023-AVI-0220 https://cert-portal.siemens.com/productcert/html/ssa-419740.html
Siemens Mendix SAML CVE-2023-25957 9.1 Contournement de la politique de sécurité 14/03/2023 Pas d'information CERTFR-2023-AVI-0220 https://cert-portal.siemens.com/productcert/html/ssa-851884.html
Siemens SCALANCE CVE-2022-0547 9.8 Contournement de la politique de sécurité 14/03/2023 Pas d'information CERTFR-2023-AVI-0220 https://cert-portal.siemens.com/productcert/html/ssa-419740.html
IBM Sterling B2B Integrator CVE-2021-23450 9.8 Exécution de code arbitraire à distance 08/03/2023 Pas d'information CERTFR-2023-AVI-0238 https://www.ibm.com/support/pages/node/6963652
IBM Cognos Analytics CVE-2021-3711 9.8 Élévation de privilèges 10/03/2023 Pas d'information CERTFR-2023-AVI-0214 https://www.ibm.com/support/pages/node/6828527
SAP Business Objects CVE-2023-25617 9.0 Exécution de code arbitraire à distance 14/03/2023 Pas d'information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP NetWeaver Application Server pour ABAP et ABAP Platform CVE-2023-27269 9.6 Atteinte à l'intégrité et à la confidentialité des données 14/03/2023 Pas d'information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP Business Objects Business Intelligence Platform CVE-2023-25616 9.9 Exécution de code arbitraire à distance 14/03/2023 Pas d'information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP NetWeaver AS pour ABAP et ABAP Platform CVE-2023-27500 9.6 Atteinte à l'intégrité et à la confidentialité des données 14/03/2023 Pas d'information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP NetWeaver AS for Java CVE-2023-23857 9.9 Contournement de la politique de sécurité 14/03/2023 Pas d'information CERTFR-2023-AVI-0228 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Schneider Electric Schneider Electric PowerLogic HDPM6000 CVE-2023-28004 9.8 Exécution de code arbitraire à distance et déni de service à distance 14/03/2023 Pas d'information CERTFR-2023-AVI-0218 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf
Tenable Nessus, tenable.io et tenable.sc CVE-2022-4313 9.1 Exécution de code arbitraire à distance 13/03/2023 Pas d'information CERTFR-2023-AVI-0216 https://www.tenable.com/security/tns-2023-14

CVE-2023-21708 : Multiples vulnérabilités dans les produits Microsoft concernant RPC

Le 14 mars 2023, Microsoft a publié des mises à jour de sécurité lors de son exercice mensuel afin de corriger plusieurs vulnérabilités impactant le protocole RPC et permettant une exécution de code arbitraire à distance. Pour rappel, la bonne pratique est de bloquer les ports : TCP 135, UDP 135, TCP 139 et TCP 445 sur le pare-feu de périmètre d’entreprise afin de réduire la probabilité d’attaques potentielles exploitant cette vulnérabilité.

Liens :

Alertes CERT-FR

CVE-2023-23397 : Vulnérabilité dans Microsoft Outlook

En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l'existence d'une vulnérabilité, CVE-2023-23397, affectant diverses versions du produit Outlook pour Windows. Cette vulnérabilité permet à un attaquant de récupérer le condensat Net-NTLMv2 (new technology LAN manager). Ce condensat peut ensuite servir à l'attaquant pour tenter d'élever ses privilèges (ex.: attaque par relai NTLM).

Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance d'une première preuve de concept publique (non qualifiée).

Liens :

Autres vulnérabilités

CVE-2022-42475 : Vulnérabilité dans Fortinet FortiOS SSL-VPN

Une preuve de concept est publiquement disponible pour la vulnérabilité, CVE-2022-42475. Celle-ci a fait l’objet d’une alerte CERT-FR et un correctif est disponible depuis le 12 décembre 2022.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 13 mars 2023 au 19 mars 2023, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :