Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 23
Tableau récapitulatif :
Vulnérabilités critiques du 05/06/23 au 11/06/23
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
IBM | QRadar WinCollect Agent | CVE-2023-27535 | 9.1 | Contournement de la politique de sécurité | 08/06/2023 | Pas d'information | CERTFR-2023-AVI-0446 | https://www.ibm.com/support/pages/node/7002501 |
IBM | QRadar WinCollect Agent | CVE-2023-27536 | 9.1 | Contournement de la politique de sécurité | 08/06/2023 | Pas d'information | CERTFR-2023-AVI-0446 | https://www.ibm.com/support/pages/node/7002501 |
Cisco | Expressway Series et TelePresence VCS | CVE-2023-20105 | 9.6 | Élévation de privilèges | 08/06/2023 | Pas d'information | CERTFR-2023-AVI-0443 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-priv-esc-Ls2B9t7b |
VMware | Aria Operations Networks | CVE-2023-20888 | 9.1 | Exécution de code arbitraire à distance | 08/06/2023 | Pas d'information | CERTFR-2023-AVI-0441 | https://www.vmware.com/security/advisories/VMSA-2023-0012.html |
VMware | Aria Operations for Networks | CVE-2023-20887 | 9.8 | Exécution de code arbitraire à distance | 08/06/2023 | Pas d'information | CERTFR-2023-AVI-0441 | https://www.vmware.com/security/advisories/VMSA-2023-0012.html |
Vulnérabilité dans SPIP
Le 07 juin 2023, l'éditeur a déclaré la correction de bogues divers et d'une vulnérabilité affectant le produit SPIP au sein de l'écran de sécurité pour les versions antérieures à 4.2.3 et 4.1.10. Le produit (pour les versions antérieures à 1.5.3) a par ailleurs déjà fait l'objet d'une mention dans le bulletin d'actualité de la semaine passée, pour une vulnérabilité qui permettait à un attaquant d'exécuter du code arbitraire à distance sur la machine sous-jacente.Liens :
- /avis/CERTFR-2023-AVI-0442/
- /actualite/CERTFR-2023-ACT-024/
- https://blog.spip.net/Mise-a-jour-de-maintenance-et-securite-sortie-de-SPIP-4-2-3-SPIP-4-1-10.html?lang=fr
CVE-2023-20006 : Vulnérabilité dans Cisco Adaptive Security Appliance Software et Firepower Threat Defense Software for Firepower 2100
Le 07 juin 2023, l'éditeur Cisco a déclaré une vulnérabilité référencée CVE-2023-20006 permettant de provoquer un déni de service à distance en ne nécessitant aucune authentification. La vulnérabilité dont le score CVSSv3 s'élève à 8.6 cible les appliances Firepower série 2100 affectant deux produits : Adaptive Security Appliance Software et Firepower Threat Defense Software. La cause de la vulnérabilité réside dans une implémentation matérielle inadéquate des composantes cryptographiques. L'éditeur n'a pas connaissance de preuve de concept publique ou d'exploitation active de la vulnérabilité.L'éditeur fournit un outil (Cisco Software Checker) précisant les versions de l'appliance impactée par la vulnérabilité.
Liens :
- /avis/CERTFR-2023-AVI-0443/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ssl-dos-uu7mV5p6
CVE-2023-2868 : Vulnérabilité dans Barracuda Email Security Gateway Appliance (ESG)
Le 19 mai 2023, l'éditeur Barracuda a déclaré une vulnérabilité référencée CVE-2023-2868 au sein de son appliance Email Security Gateway (ESG). La vulnérabilité dont le score CVSSv3 s'élève à 9.8 et qui permet une injection de commande à distance sans authentification fait actuellement l'objet de campagnes d'exploitation.
Quelques éléments d'appréciation de la situation sont donnés par l'éditeur :
- La vulnérabilité réside dans un module de filtration de pièces jointes des courriels entrants. Une pièce jointe (fichier .tar) spécialement conçue permet à un attaquant de provoquer une exécution de code arbitraire à distance ;
- La première preuve d'exploitation de la vulnérabilité CVE-2023-2868 semble remonter à octobre 2022 ;
- Des logiciels malveillants ont été identifiés sur un sous-ensemble d'appareils offrant des accès persistants par le biais d'une porte dérobée ;
- Des preuves d'exfiltration de données ont été identifiées sur un sous-ensemble d'appareils concernés.
En date du 06 juin 2023, l'éditeur préconise le remplacement complet des appareils ESG concernés et ce indépendamment des correctifs qui ont pu être apportés.
Liens :
CVE-2023-34362, CVE-2023-35036 : Multiples vulnérabilités dans MOVEit
Le 31 mai 2023, l'éditeur Progress Software a déclaré une vulnérabilité référencée CVE-2023-34362 au sein de la solution MOVEit Secure Managed File Transfer. MOVEit est vulnérable à une injection SQL permettant à un attaquant non authentifié d'accéder, d'extraire ou de modifier la base de données du produit.L'éditeur indique que selon le moteur de base de données utilisé (MySQL, Microsoft SQL Server ou Azure SQL), un attaquant peut être en mesure de déduire des informations sur la structure et le contenu de la base de données en plus d'exécuter des instructions SQL qui modifient ou suppriment des éléments de la base de données. Selon les informations disponibles, l'exploitation de la vulnérabilité a permis l'exfiltration de données par le biais de déploiement de shell web.
Deux correctifs de sécurité ont depuis été apportés. Le dernier, en date du 09 juin 2023, semble corriger une seconde vulnérabilité de type injection SQL, référencée par son numéro d'identification CVE : CVE-2023-35036.
Par ailleurs, il est aussi indispensable de procéder à une vérification du produit afin de s'assurer qu'ils n'a pas été compromis. Pour cela, plusieurs rapports en source ouverte proposent des marqueurs de compromission à vérifier [1] [2]. En cas de suspicion de compromission, il est recommandé de continuer les investigations (cf. bons réflexes en cas d'intrusion sur votre système d'information [3]).
Le CERT-FR a connaissance d'incidents impliquant l'exploitation de ces vulnérabilités.
Liens :
- [1] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
- [2] https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/
- [3] Les bons réflexes en cas d’intrusion sur un système d’information /les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.