Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 14

Tableau récapitulatif :

Vulnérabilités critiques du 03/04/23 au 09/04/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Sophos Sophos Web Appliance (SWA) CVE-2023-1671 9.8 Exécution de code arbitraire à distance 04/04/2023 Pas d'information CERTFR-2023-AVI-0283 https://www.sophos.com/fr-fr/security-advisories/sophos-sa-20230404-swa-rce

Autres vulnérabilités

CVE-2022-37967 : Vulnérabilité dans Windows Kerberos

Le 8 novembre 2022, Microsoft a découvert une vulnérabilité cryptographique affectant le protocole Kerberos. Cette vulnérabilité permet à un attaquant authentifié d'altérer le contenu des signatures de Privilege Attribute Certificate (PAC) et ainsi d'élever ses privilèges auprès du service ciblé. Sa correction se fait en plusieurs mises à jour afin de ne pas avoir trop d'impact sur les systèmes d'information. L'objectif de ces mises à jour étant, à terme, est d'inclure dans le ticket kerberos une signature pour le PAC afin de vérifier son intégrité lors de la phase d'authentification. L'introduction de cette signature permet donc d'empêcher l'exploitation de la vulnérabilité CVE-2022-37967. Ainsi le 11 avril 2023, l'éditeur déploiera la troisième étape de cette correction en supprimant la possibilité de désactiver la signature du PAC via de la sous clé de registre KrbtgtFullPacSignature [1].

Liens :

CVE-2023-29017 : Vulnérabilité dans VM2

VM2 est une bibliothèque en javascript qui sert à créer un environnement virtuel sécurisé pour exécuter du code inconnu de manière sécurisée sur un serveur Node.js. La vulnérabilité CVE-2023-29017 permet à un attaquant de s'échapper de cette protection pour exécuter du code arbitraire sur la machine hôte. Un correctif est disponible depuis le 6 avril 2023. Toutes les versions antérieures à 3.9.15 sont affectées. Une preuve de concept est publiquement disponible.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 03 avril 2023 au 09 avril 2023, le CERT-FR a émis les publications suivantes :