Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 19
Tableau récapitulatif :
Vulnérabilités critiques du 15/05/23 au 21/05/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Apple | Apple Safari, Apple iOS, Apple iPadOS, MacOS Ventura | CVE-2023-32409 | 8.4 | Exécution de code arbitraire | 18/05/2023 | Exploitée | CERTFR-2023-AVI-0390 |
https://support.apple.com/en-us/HT213762, https://support.apple.com/en-us/HT213757, https://support.apple.com/en-us/HT213758 |
| Apple | Apple Safari, Apple iOS, Apple iPadOS, MacOS Ventura | CVE-2023-32373 | 8.4 | Exécution de code arbitraire | 18/05/2023 | Exploitée | CERTFR-2023-AVI-0390 |
https://support.apple.com/en-us/HT213765, https://support.apple.com/en-us/HT213762, https://support.apple.com/en-us/HT213757, https://support.apple.com/en-us/HT213758 |
| Mitel | MiVoice Connect | CVE-2023-31457 | 9.6 | Exécution de code arbitraire à distance | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0400 | https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0004 |
| Mitel | MiVoice Connect | CVE-2023-31458 | 8.8 | Contournement de la politique de sécurité (mot de passe par défaut) | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0400 | https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0005 |
| Mitel | MiVoice Connect | CVE-2023-32748 | 9.6 | Exécution de code arbitraire à distance | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0400 | https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0004 |
| Mitel | Connect Mobility Router | CVE-2023-31459 | 8.8 | Contournement de la politique de sécurité (mot de passe par défaut) | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0400 | https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0006 |
| Cisco | Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches | CVE-2023-20159 | 9.8 | Exécution de code arbitraire à distance | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0401 | 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities |
| Cisco | Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches | CVE-2023-20160 | 9.8 | Exécution de code arbitraire à distance | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0401 | 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities |
| Cisco | Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches | CVE-2023-20161 | 9.8 | Exécution de code arbitraire à distance | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0401 | 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities |
| Cisco | Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches | CVE-2023-20189 | 9.8 | Exécution de code arbitraire à distance | 17/05/2023 | Pas d’information | CERTFR-2023-AVI-0401 | 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities |
| TrendMicro | Apex One, Apex One as a Service | CVE-2023-32557 | 9.8 | Exécution de code arbitraire à distance | 16/05/2023 | Pas d’information | CERTFR-2023-AVI-0387 | https://success.trendmicro.com/dcx/s/solution/000293108?language=en_US |
| IBM | cxf, IBM WebSphere Application Server Liberty | CVE-2022-46364 | 9.8 | Exécution de code arbitraire à distance | 08/02/2023 | Pas d’information | CERTFR-2023-AVI-0110 | https://www.ibm.com/support/pages/node/6953767 |
| Trend Micro | Mobile Security (Enterprise) | CVE-2023-32521 | 9.1 | Atteinte à l’intégrité des données | 12/05/2023 | Pas d’information | CERTFR-2023-AVI-0384 | https://success.trendmicro.com/dcx/s/solution/000293106?language=en_US |
CVE-2023-20160, CVE-2023-20161, CVE-2023-20189, CVE-2023-20159 : Multiples vulnérabilités dans les produits Cisco
Le 19 mai 2023, l’éditeur a déclaré la correction de quatre vulnérabilités critiques permettant une exécution de code arbitraire via l’interface web d’administration de ses commutateurs réseau. Les produits concernés sont les gammes de commutateurs 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches.
L’éditeur indique que les gammes Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches ne disposeront pas de correctifs.
Enfin, l’éditeur déclare avoir connaissance de l’existence de codes d’exploitation. Le CERT-FR recommande fortement d’appliquer les correctifs et de remplacer les équipements obsolètes par des équipements maintenus par leur éditeur.
Le score CVSSv3 de ces quatre vulnérabilités est 9,8.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0401/
- 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities
CVE-2023-32784 : Vulnérabilité dans KeePass
KeePass est un gestionnaire de mots de passe permettant de stocker l’ensemble de ses mots de passe dans un fichier chiffré qui sera accessible via une clé maîtresse.
Le 1er mai 2023, un utilisateur rapporte sur le fil de discussion du site Sourceforge un problème de sécurité sur KeePass permettant d’extraire la clé maîtresse depuis la mémoire vive, le fichier de pagination, le fichier d’hibernation ou tout autre format d’export de la mémoire, et ce même lorsque le coffre-fort est verrouillé.
La vulnérabilité provient d’une mauvaise gestion de la mémoire par .NET qui laisse des traces des saisies clavier de la clé maîtresse.
Une preuve de concept est actuellement disponible en .NET, Python et Rust. Elle permet de récupérer les traces laissées par les saisies au clavier et de proposer des listes de mots de passe possibles. Un accès non privilégié à la machine est nécessaire.
Toutes les versions de KeePass 2.x sont affectées sur les systèmes d’exploitation Windows 10 et 11 via l’utilisation de .NET et Linux, MacOS via Mono. L’option Enter master key on secure desktop ne prémunit pas de l’attaque. Cependant la version 1 de KeePass n’est pas impactée par la vulnérabilité.
Un correctif a été mis à disposition le 7 mai 2023, néanmoins la publication d’une nouvelle version, KeePass 2.54, ne sera mise en ligne qu’à partir de juin 2023 pour des problématiques de livraison de fonctionnalités déjà en cours du côté de l’éditeur.
Liens :
- https://nvd.nist.gov/vuln/detail/CVE-2023-32784
- https://sourceforge.net/p/keepass/discussion/329220/thread/f3438e6283/
- https://keepass.info/
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 15 au 21 mai 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-0384 : Multiples vulnérabilités dans TrendMicro Mobile Security (entreprise)
- CERTFR-2023-AVI-0385 : Multiples vulnérabilités dans les produits VMware Tanzu
- CERTFR-2023-AVI-0386 : Multiples vulnérabilités dans WordPress
- CERTFR-2023-AVI-0387 : Multiples vulnérabilités dans TrendMicro Apex One et Apex Central
- CERTFR-2023-AVI-0388 : Multiples vulnérabilités dans les produits Google Chrome
- CERTFR-2023-AVI-0389 : Vulnérabilité dans les produits Xen
- CERTFR-2023-AVI-0390 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2023-AVI-0391 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2023-AVI-0392 : Multiples vulnérabilités dans le noyau Linux de DebianLTS
- CERTFR-2023-AVI-0393 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2023-AVI-0394 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-0395 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2023-AVI-0396 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-0397 : Vulnérabilité dans IBM Sterling Connect
- CERTFR-2023-AVI-0398 : Multiples vulnérabilités dans le cadriciel VMware Spring
- CERTFR-2023-AVI-0399 : Multiples vulnérabilités dans les produits NetApp HCI
- CERTFR-2023-AVI-0400 : Multiples vulnérabilités dans les produits Mitel
- CERTFR-2023-AVI-0401 : Multiples vulnérabilités dans les produits Cisco
