Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 28

Tableau récapitulatif :

Vulnérabilités critiques du 10/07/23 au 16/07/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Siemens SIMATIC MV500 CVE-2022-37434 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-561322.html
Siemens SIMATIC MV500 CVE-2022-30767 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-561322.html
Siemens SIMATIC CN 4100 CVE-2023-29130 9.9 Contournement de la politique de sécurité 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-313488.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2022-2068 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2022-32207 9.8 Contournement de la politique de sécurité 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2022-1292 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2023-36750 9.1 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2023-36751 9.1 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2023-36752 9.1 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2023-36753 9.1 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2023-36754 9.1 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Siemens Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX CVE-2023-36755 9.1 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0526 https://cert-portal.siemens.com/productcert/html/ssa-146325.html
Adobe ColdFusion CVE-2023-29298 7.5 Contournement de la politique de sécurité 11/07/2023 Exploitée CERTFR-2023-AVI-0528 https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
Adobe ColdFusion CVE-2023-29300 9.8 Exécution de code arbitraire à distance 11/07/2023 Exploitée CERTFR-2023-AVI-0528 https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
Citrix Secure Access client pour Ubuntu CVE-2023-24492 9.6 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0529 https://support.citrix.com/article/CTX564169/citrix-secure-access-client-for-ubuntu-security-bulletin-for-cve202324492
Fortinet FortiOS, FortiProxy CVE-2023-33308 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0530 https://www.fortiguard.com/psirt/FG-IR-23-183
SAP SAP ECC et SAP S/4HANA (IS-OIL) CVE-2023-36922 9.1 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0531 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Apple macOS Ventura,iPadOS, iOS, Safari CVE-2023-37450 Exécution de code arbitraire à distance 10/07/2023 Exploitée CERTFR-2023-AVI-0538 https://support.apple.com/en-us/HT213825

https://support.apple.com/en-us/HT213823

Juniper Networks Contrail Cloud CVE-2022-30123 10 Exécution de code arbitraire à distance 12/07/2023 Pas d'information CERTFR-2023-AVI-0537 https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Contrail-Cloud-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Cloud-release-16-3-0?language=en_US
Juniper Junos OS CVE-2022-31627 9.8 Exécution de code arbitraire à distance 12/07/2023 Pas d'information CERTFR-2023-AVI-0537 https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US
Juniper Junos OS CVE-2021-21708 9.8 Exécution de code arbitraire à distance 12/07/2023 Pas d'information CERTFR-2023-AVI-0537 https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US
Microsoft Windows, Windows Server CVE-2023-35365 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0533 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35365
Microsoft Windows, Windows Server CVE-2023-32057 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0533 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32057
Microsoft Windows, Windows Server CVE-2023-35366 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0533 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35366
Microsoft Windows, Windows Server CVE-2023-32049 8.8 Contournement de la politique de sécurité 11/07/2023 Exploitée CERTFR-2023-AVI-0533 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32049
Microsoft Windows,Windows Server CVE-2023-36874 7.8 Élévation de privilèges 11/07/2023 Exploitée CERTFR-2023-AVI-0533 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874
Microsoft Windows, Windows Server CVE-2023-35367 9.8 Exécution de code arbitraire à distance 11/07/2023 Pas d'information CERTFR-2023-AVI-0533 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35367
Microsoft Windows, Windows Server CVE-2023-32046 7.8 Élévation de privilèges 11/07/2023 Exploitée CERTFR-2023-AVI-0533 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32046
Microsoft Word, Office LTSC, 365 Apps CVE-2023-33150 9.6 Contournement de la politique de sécurité 11/07/2023 Pas d'information CERTFR-2023-AVI-0536 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33150
Microsoft 365 Apps, Office LTSC, Outlook, Office CVE-2023-35311 8.8 Contournement de la politique de sécurité 11/07/2023 Exploitée CERTFR-2023-AVI-0536 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311
Microsoft Windows, Windows Server, Word, Office LTSC, Office CVE-2023-36884 8.3 Exécution de code arbitraire à distance 11/07/2023 Exploitée CERTFR-ALE-006/ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
Cisco SD-WAN vManage CVE-2023-20214 9.1 Atteinte à l'intégrité des données, Atteinte à la confidentialité des données 12/07/2023 Pas d'information CERTFR-2023-AVI-0548 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-unauthapi-sphCLYPA

Alertes CERT-FR

CVE-2023-20214 : Vulnérabilité dans Zimbra Collaboration Suite

Le 13 juillet 2023, l'éditeur a déclaré une vulnérabilité dans Zimbra Collaboration Suite permettant une injection de code indirecte à distance (XSS). Cette vulnérabilité est activement exploitée. Le CERT-FR recommande d'appliquer la procédure manuelle documentée par l'éditeur pour corriger la vulnérabilité.

Liens :

 

CVE-2023-36884 : Vulnérabilité dans Microsoft Windows et produits Office

Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023, Microsoft a indiqué l'existence d'une vulnérabilité référencée CVE-2023-36884 [1] au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de 8.3 lui a été attribué.

L'éditeur confirme qu'elle est activement exploitée de façon ciblée [2].

La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du code arbitraire à distance dans le contexte utilisateur à l'aide d'un document Microsoft Office spécialement conçu, préalablement transmis à l'aide de technique d'ingénierie sociale.

Le CERT-FR recommande fortement de mettre en œuvre les moyens d'atténuation proposés par l'éditeur en attendant la publication d'un correctif.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 03 juillet 2023 au 09 juillet 2023, le CERT-FR a émis les publications suivantes :