Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 19

Tableau récapitulatif :

Vulnérabilités critiques du 07/05/23 au 14/05/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
TrendMicro Mobile Security (Enterprise) CVE-2023-32521 9.1 Atteinte à l'intégrité des données 12/05/2023 Pas d'information CERTFR-2023-AVI-0384 https://success.trendmicro.com/dcx/s/solution/000293106?language=en_US
Schneider EcoStruxure TM Power et SCADA Operation CVE-2021-3711 9.8 Exécution de code arbitraire à distance, Déni de service à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0363 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-129-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-129-04.pdf
Schneider Altivar 32/320 et Lexium 32 Ethernet TCP/IP communication module (VW3A3616) CVE-2020-35685 9.1 Contournement de la politique de sécurité 05/08/2021 (Màj 09/05/2023) Pas d'information CERTFR-2023-AVI-0363 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-217-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-217-01_NicheStack_Security_Notification.pdf
Schneider EcoStruxure Power et SCADA Operation CVE-2023-1256 9.8 Atteinte à la confidentialité des données et déni de service à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0363 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-129-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-129-02.pdf
Gitlab GitLab CE/EE CVE-2023-2478 9.8 Exécution de code arbitraire à distance 05/05/2023 Pas d'information CERTFR-2023-AVI-0361 https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/
Tenable Nessus Network Monitor (OpenSSL) CVE-2022-25315 9.8 Exécution de code arbitraire à distance 09/05/2023 Preuve de concept publique CERTFR-2023-AVI-0368 https://www.tenable.com/security/tns-2023-19
Tenable Nessus Network Monitor (OpenSSL) CVE-2022-25236 9.8 Non spécifié par l'éditeur 09/05/2023 Pas d'information CERTFR-2023-AVI-0368 https://www.tenable.com/security/tns-2023-19
Tenable Nessus Network Monitor (OpenSSL) CVE-2022-25235 9.8 Non spécifié par l'éditeur 09/05/2023 Pas d'information CERTFR-2023-AVI-0368 https://www.tenable.com/security/tns-2023-19
Tenable Nessus Network Monitor (OpenSSL) CVE-2022-23852 9.8 Non spécifié par l'éditeur 09/05/2023 Pas d'information CERTFR-2023-AVI-0368 https://www.tenable.com/security/tns-2023-19
Tenable Nessus Network Monitor (OpenSSL) CVE-2022-22824 9.8 Non spécifié par l'éditeur 09/05/2023 Pas d'information CERTFR-2023-AVI-0368 https://www.tenable.com/security/tns-2023-19
Tenable Nessus Network Monitor (OpenSSL) CVE-2022-22823 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0368 https://www.tenable.com/security/tns-2023-19
Tenable Nessus Network Monitor (OpenSSL) CVE-2022-22822 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0368 https://www.tenable.com/security/tns-2023-19
Microsoft Win32k CVE-2023-29336 7.8 Élévation de privilèges 09/05/2023 Exploitée CERTFR-2023-AVI-0373 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336
Microsoft Secure Boot CVE-2023-24932 6.7 Contournement de la politique de sécurité 09/05/2023 Exploitée CERTFR-2023-AVI-0373 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
Microsoft NFS CVE-2023-24941 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0373 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24941
Microsoft PGM CVE-2023-24943 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0373 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24943
Aruba ArubaOS, InstantOS CVE-2023-22780 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Aruba ArubaOS, InstantOS CVE-2023-22781 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Aruba ArubaOS, InstantOS CVE-2023-22782 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Aruba ArubaOS, InstantOS CVE-2023-22783 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Aruba ArubaOS, InstantOS CVE-2023-22784 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Aruba ArubaOS, InstantOS CVE-2023-22785 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Aruba ArubaOS, InstantOS CVE-2023-22786 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt
Aruba ArubasOS, InstantOS CVE-2023-22779 9.8 Exécution de code arbitraire à distance 09/05/2023 Pas d'information CERTFR-2023-AVI-0367 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt

Autres vulnérabilités

CVE-2023-27351, CVE-2023-27350 : Multiples vulnérabilités dans les produits PaperCut

Le 20 avril dans un billet de blog, PaperCut mentionne l'existence de deux vulnérabilités de type zéro-jour (0-day). Ces vulnérabilités affectent le produit PaperCut MF/NG, elles permettent à un attaquant non authentifié d'exécuter du code arbitraire à distance (CVE-2023-27350) ainsi que de récupérer des données critiques (CVE-2023-27351).

Les versions impactées sont les suivantes :

  • PaperCut MF/NG versions antérieures à 20.1.7
  • PaperCut MF/NG versions 21.x.x antérieures à 21.2.11
  • PaperCut MF/NG versions 22.0.x antérieures à 22.0.9
L'éditeur mentionne de potentielles activités suspectes liées à ces vulnérabilités datant du 13 avril 2023. Le CERT-FR recommande fortement d'appliquer les mises à jour proposées par l'éditeur afin de se protéger de ces deux vulnérabilités.

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 08 mai 2023 au 14 mai 2023, le CERT-FR a émis les publications suivantes :


Dans la période du 08 mai 2023 au 14 mai 2023, le CERT-FR a mis à jour les publications suivantes :