Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 11
Tableau récapitulatif :
Vulnérabilités critiques du 13/03/23 au 19/03/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Microsoft | Microsoft Outlook, Microsoft Office, Microsoft 365 Apps pour Entreprise | CVE-2023-23397 | 9.8 | Élévation de privilèges | 14/03/2023 | Exploitée | CERTFR-2023-AVI-0234 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 |
| Microsoft | Windows 11, Windows Server | CVE-2023-23392 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0232 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23392 |
| Microsoft | Windows 10, Windows 11, Windows Server | CVE-2023-21708 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0232 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21708 |
| Microsoft | Windows 10, Windows 11, Windows Server | CVE-2023-23415 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0232 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23415 |
| Adobe | ColdFusion 2018, ColdFusion 2021 | CVE-2023-26359 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0227 | https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html |
| Adobe | ColdFusion 2018, ColdFusion 2021 | CVE-2023-26360 | 8.6 | Exécution de code arbitraire à distance | 14/03/2023 | Exploitée | CERTFR-2023-AVI-0227 | https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html |
| Aruba | ClearPass Policy Manager | CVE-2023-25589 | 9.8 | Contournement de la politique de sécurité | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0226 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-003.txt |
| Siemens | SCALANCE | CVE-2022-32207 | 9.8 | Contournement de la politique de sécurité | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0220 | https://cert-portal.siemens.com/productcert/html/ssa-419740.html |
| Siemens | Mendix SAML | CVE-2023-25957 | 9.1 | Contournement de la politique de sécurité | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0220 | https://cert-portal.siemens.com/productcert/html/ssa-851884.html |
| Siemens | SCALANCE | CVE-2022-0547 | 9.8 | Contournement de la politique de sécurité | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0220 | https://cert-portal.siemens.com/productcert/html/ssa-419740.html |
| IBM | Sterling B2B Integrator | CVE-2021-23450 | 9.8 | Exécution de code arbitraire à distance | 08/03/2023 | Pas d'information | CERTFR-2023-AVI-0238 | https://www.ibm.com/support/pages/node/6963652 |
| IBM | Cognos Analytics | CVE-2021-3711 | 9.8 | Élévation de privilèges | 10/03/2023 | Pas d'information | CERTFR-2023-AVI-0214 | https://www.ibm.com/support/pages/node/6828527 |
| SAP | Business Objects | CVE-2023-25617 | 9.0 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | NetWeaver Application Server pour ABAP et ABAP Platform | CVE-2023-27269 | 9.6 | Atteinte à l'intégrité et à la confidentialité des données | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | Business Objects Business Intelligence Platform | CVE-2023-25616 | 9.9 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | NetWeaver AS pour ABAP et ABAP Platform | CVE-2023-27500 | 9.6 | Atteinte à l'intégrité et à la confidentialité des données | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | NetWeaver AS for Java | CVE-2023-23857 | 9.9 | Contournement de la politique de sécurité | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| Schneider Electric | Schneider Electric PowerLogic HDPM6000 | CVE-2023-28004 | 9.8 | Exécution de code arbitraire à distance et déni de service à distance | 14/03/2023 | Pas d'information | CERTFR-2023-AVI-0218 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf |
| Tenable | Nessus, tenable.io et tenable.sc | CVE-2022-4313 | 9.1 | Exécution de code arbitraire à distance | 13/03/2023 | Pas d'information | CERTFR-2023-AVI-0216 | https://www.tenable.com/security/tns-2023-14 |
CVE-2023-21708 : Multiples vulnérabilités dans les produits Microsoft concernant RPC
Le 14 mars 2023, Microsoft a publié des mises à jour de sécurité lors de son exercice mensuel afin de corriger plusieurs vulnérabilités impactant le protocole RPC et permettant une exécution de code arbitraire à distance. Pour rappel, la bonne pratique est de bloquer les ports : TCP 135, UDP 135, TCP 139 et TCP 445 sur le pare-feu de périmètre d’entreprise afin de réduire la probabilité d’attaques potentielles exploitant cette vulnérabilité.Liens :
- Avis CERTFR-2023-AVI-0231 du 15 mars 2023 /avis/CERTFR-2023-AVI-0231/
- Avis CERTFR-2023-AVI-0234 du 15 mars 2023 /avis/CERTFR-2023-AVI-0234/
- Bulletin de sécurité Microsoft CVE-2023-21708 du 14 mars 2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21708
- Bulletin de sécurité Microsoft CVE-2023-23405 du 14 mars 2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23405
- Bulletin de sécurité Microsoft CVE-2023-24869 du 14 mars 2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24869
- Bulletin de sécurité Microsoft CVE-2023-24908 du 14 mars 2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24908
- Recommandations sur le nomadisme numérique https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
Alertes CERT-FR
CVE-2023-23397 : Vulnérabilité dans Microsoft Outlook
En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l'existence d'une vulnérabilité, CVE-2023-23397, affectant diverses versions du produit Outlook pour Windows. Cette vulnérabilité permet à un attaquant de récupérer le condensat Net-NTLMv2 (new technology LAN manager). Ce condensat peut ensuite servir à l'attaquant pour tenter d'élever ses privilèges (ex.: attaque par relai NTLM).Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d'attaques ciblées. Par ailleurs, le CERT-FR a connaissance d'une première preuve de concept publique (non qualifiée).
Liens :
- Avis CERTFR-2023-AVI-0231 du 15 mars 2023 /avis/CERTFR-2023-AVI-0231/
- Avis CERTFR-2023-AVI-0234 du 15 mars 2023 /avis/CERTFR-2023-AVI-0234/
- Alerte CERTFR-2023-ALE-002 du 15 mars 2023 /alerte/CERTFR-2023-ALE-002/
- Bulletin de sécurité Microsoft CVE-2023-23397 du 14 mars 2023 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
Autres vulnérabilités
CVE-2022-42475 : Vulnérabilité dans Fortinet FortiOS SSL-VPN
Une preuve de concept est publiquement disponible pour la vulnérabilité, CVE-2022-42475. Celle-ci a fait l’objet d’une alerte CERT-FR et un correctif est disponible depuis le 12 décembre 2022.Liens :
- Alerte CERTFR-2022-ALE-012 du 13 décembre 2022 /alerte/CERTFR-2022-ALE-012/
- Avis CERTFR-2022-AVI-1090 du 13 décembre 2022 /avis/CERTFR-2022-AVI-1090
- Bulletin de sécurité Fortinet FG-IR-22-398 du 12 décembre 2022 https://www.fortiguard.com/psirt/FG-IR-22-398
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
