Objet: Bulletin d'actualité CERTFR-2023-ACT-031

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 28

Tableau récapitulatif :

Vulnérabilités critiques du 10/07/23 au 16/07/23

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Siemens	SIMATIC MV500	CVE-2022-37434	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-561322.html
Siemens	SIMATIC MV500	CVE-2022-30767	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-561322.html
Siemens	SIMATIC CN 4100	CVE-2023-29130	9.9	Contournement de la politique de sécurité	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-313488.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2022-2068	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2022-32207	9.8	Contournement de la politique de sécurité	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2022-1292	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2023-36750	9.1	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2023-36751	9.1	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2023-36752	9.1	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2023-36753	9.1	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2023-36754	9.1	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens	Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX	CVE-2023-36755	9.1	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0526	https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Adobe	ColdFusion	CVE-2023-29298	7.5	Contournement de la politique de sécurité	11/07/2023	Exploitée	CERTFR-2023-AVI-0528	https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
Adobe	ColdFusion	CVE-2023-29300	9.8	Exécution de code arbitraire à distance	11/07/2023	Exploitée	CERTFR-2023-AVI-0528	https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
Citrix	Secure Access client pour Ubuntu	CVE-2023-24492	9.6	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0529	https://support.citrix.com/article/CTX564169/citrix-secure-access-client-for-ubuntu-security-bulletin-for-cve202324492
Fortinet	FortiOS, FortiProxy	CVE-2023-33308	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0530	https://www.fortiguard.com/psirt/FG-IR-23-183
SAP	SAP ECC et SAP S/4HANA (IS-OIL)	CVE-2023-36922	9.1	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0531	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Apple	macOS Ventura,iPadOS, iOS, Safari	CVE-2023-37450		Exécution de code arbitraire à distance	10/07/2023	Exploitée	CERTFR-2023-AVI-0538	https://support.apple.com/en-us/HT213825 https://support.apple.com/en-us/HT213823
Juniper	Networks Contrail Cloud	CVE-2022-30123	10	Exécution de code arbitraire à distance	12/07/2023	Pas d'information	CERTFR-2023-AVI-0537	https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Contrail-Cloud-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Cloud-release-16-3-0?language=en_US
Juniper	Junos OS	CVE-2022-31627	9.8	Exécution de code arbitraire à distance	12/07/2023	Pas d'information	CERTFR-2023-AVI-0537	https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US
Juniper	Junos OS	CVE-2021-21708	9.8	Exécution de code arbitraire à distance	12/07/2023	Pas d'information	CERTFR-2023-AVI-0537	https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US
Microsoft	Windows, Windows Server	CVE-2023-35365	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0533	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35365
Microsoft	Windows, Windows Server	CVE-2023-32057	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0533	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32057
Microsoft	Windows, Windows Server	CVE-2023-35366	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0533	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35366
Microsoft	Windows, Windows Server	CVE-2023-32049	8.8	Contournement de la politique de sécurité	11/07/2023	Exploitée	CERTFR-2023-AVI-0533	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32049
Microsoft	Windows,Windows Server	CVE-2023-36874	7.8	Élévation de privilèges	11/07/2023	Exploitée	CERTFR-2023-AVI-0533	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874
Microsoft	Windows, Windows Server	CVE-2023-35367	9.8	Exécution de code arbitraire à distance	11/07/2023	Pas d'information	CERTFR-2023-AVI-0533	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35367
Microsoft	Windows, Windows Server	CVE-2023-32046	7.8	Élévation de privilèges	11/07/2023	Exploitée	CERTFR-2023-AVI-0533	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32046
Microsoft	Word, Office LTSC, 365 Apps	CVE-2023-33150	9.6	Contournement de la politique de sécurité	11/07/2023	Pas d'information	CERTFR-2023-AVI-0536	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33150
Microsoft	365 Apps, Office LTSC, Outlook, Office	CVE-2023-35311	8.8	Contournement de la politique de sécurité	11/07/2023	Exploitée	CERTFR-2023-AVI-0536	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311
Microsoft	Windows, Windows Server, Word, Office LTSC, Office	CVE-2023-36884	8.3	Exécution de code arbitraire à distance	11/07/2023	Exploitée	CERTFR-ALE-006/	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
Cisco	SD-WAN vManage	CVE-2023-20214	9.1	Atteinte à l'intégrité des données, Atteinte à la confidentialité des données	12/07/2023	Pas d'information	CERTFR-2023-AVI-0548	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-unauthapi-sphCLYPA

Alertes CERT-FR

CVE-2023-20214 : Vulnérabilité dans Zimbra Collaboration Suite

Le 13 juillet 2023, l'éditeur a déclaré une vulnérabilité dans Zimbra Collaboration Suite permettant une injection de code indirecte à distance (XSS). Cette vulnérabilité est activement exploitée. Le CERT-FR recommande d'appliquer la procédure manuelle documentée par l'éditeur pour corriger la vulnérabilité.

Liens :

• /avis/CERTFR-2023-ALE-007/
• https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/

 

CVE-2023-36884 : Vulnérabilité dans Microsoft Windows et produits Office

Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023, Microsoft a indiqué l'existence d'une vulnérabilité référencée CVE-2023-36884 [1] au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de 8.3 lui a été attribué.

L'éditeur confirme qu'elle est activement exploitée de façon ciblée [2].

La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du code arbitraire à distance dans le contexte utilisateur à l'aide d'un document Microsoft Office spécialement conçu, préalablement transmis à l'aide de technique d'ingénierie sociale.

Le CERT-FR recommande fortement de mettre en œuvre les moyens d'atténuation proposés par l'éditeur en attendant la publication d'un correctif.

Liens :

• /alerte/CERTFR-2023-ALE-006/
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884

---

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.