Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 28
Tableau récapitulatif :
Vulnérabilités critiques du 10/07/23 au 16/07/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Siemens | SIMATIC MV500 | CVE-2022-37434 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-561322.html |
| Siemens | SIMATIC MV500 | CVE-2022-30767 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-561322.html |
| Siemens | SIMATIC CN 4100 | CVE-2023-29130 | 9.9 | Contournement de la politique de sécurité | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-313488.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2022-2068 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2022-32207 | 9.8 | Contournement de la politique de sécurité | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2022-1292 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2023-36750 | 9.1 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2023-36751 | 9.1 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2023-36752 | 9.1 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2023-36753 | 9.1 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2023-36754 | 9.1 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Siemens | Gamme RUGGEDCOM ROX MX, Gamme RUGGEDCOM ROX RX | CVE-2023-36755 | 9.1 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0526 | https://cert-portal.siemens.com/productcert/html/ssa-146325.html |
| Adobe | ColdFusion | CVE-2023-29298 | 7.5 | Contournement de la politique de sécurité | 11/07/2023 | Exploitée | CERTFR-2023-AVI-0528 | https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html |
| Adobe | ColdFusion | CVE-2023-29300 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Exploitée | CERTFR-2023-AVI-0528 | https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html |
| Citrix | Secure Access client pour Ubuntu | CVE-2023-24492 | 9.6 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0529 | https://support.citrix.com/article/CTX564169/citrix-secure-access-client-for-ubuntu-security-bulletin-for-cve202324492 |
| Fortinet | FortiOS, FortiProxy | CVE-2023-33308 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0530 | https://www.fortiguard.com/psirt/FG-IR-23-183 |
| SAP | SAP ECC et SAP S/4HANA (IS-OIL) | CVE-2023-36922 | 9.1 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0531 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| Apple | macOS Ventura,iPadOS, iOS, Safari | CVE-2023-37450 | Exécution de code arbitraire à distance | 10/07/2023 | Exploitée | CERTFR-2023-AVI-0538 | https://support.apple.com/en-us/HT213825 | |
| Juniper | Networks Contrail Cloud | CVE-2022-30123 | 10 | Exécution de code arbitraire à distance | 12/07/2023 | Pas d’information | CERTFR-2023-AVI-0537 | https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Contrail-Cloud-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Cloud-release-16-3-0?language=en_US |
| Juniper | Junos OS | CVE-2022-31627 | 9.8 | Exécution de code arbitraire à distance | 12/07/2023 | Pas d’information | CERTFR-2023-AVI-0537 | https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US |
| Juniper | Junos OS | CVE-2021-21708 | 9.8 | Exécution de code arbitraire à distance | 12/07/2023 | Pas d’information | CERTFR-2023-AVI-0537 | https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-Junos-OS-J-Web-Multiple-Vulnerabilities-in-PHP-software?language=en_US |
| Microsoft | Windows, Windows Server | CVE-2023-35365 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0533 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35365 |
| Microsoft | Windows, Windows Server | CVE-2023-32057 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0533 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32057 |
| Microsoft | Windows, Windows Server | CVE-2023-35366 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0533 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35366 |
| Microsoft | Windows, Windows Server | CVE-2023-32049 | 8.8 | Contournement de la politique de sécurité | 11/07/2023 | Exploitée | CERTFR-2023-AVI-0533 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32049 |
| Microsoft | Windows,Windows Server | CVE-2023-36874 | 7.8 | Élévation de privilèges | 11/07/2023 | Exploitée | CERTFR-2023-AVI-0533 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874 |
| Microsoft | Windows, Windows Server | CVE-2023-35367 | 9.8 | Exécution de code arbitraire à distance | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0533 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35367 |
| Microsoft | Windows, Windows Server | CVE-2023-32046 | 7.8 | Élévation de privilèges | 11/07/2023 | Exploitée | CERTFR-2023-AVI-0533 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32046 |
| Microsoft | Word, Office LTSC, 365 Apps | CVE-2023-33150 | 9.6 | Contournement de la politique de sécurité | 11/07/2023 | Pas d’information | CERTFR-2023-AVI-0536 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33150 |
| Microsoft | 365 Apps, Office LTSC, Outlook, Office | CVE-2023-35311 | 8.8 | Contournement de la politique de sécurité | 11/07/2023 | Exploitée | CERTFR-2023-AVI-0536 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311 |
| Microsoft | Windows, Windows Server, Word, Office LTSC, Office | CVE-2023-36884 | 8.3 | Exécution de code arbitraire à distance | 11/07/2023 | Exploitée | CERTFR-ALE-006/ | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884 |
| Cisco | SD-WAN vManage | CVE-2023-20214 | 9.1 | Atteinte à l’intégrité des données, Atteinte à la confidentialité des données | 12/07/2023 | Pas d’information | CERTFR-2023-AVI-0548 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-unauthapi-sphCLYPA |
Alertes CERT-FR
CVE-2023-20214 : Vulnérabilité dans Zimbra Collaboration Suite
Le 13 juillet 2023, l’éditeur a déclaré une vulnérabilité dans Zimbra Collaboration Suite permettant une injection de code indirecte à distance (XSS). Cette vulnérabilité est activement exploitée. Le CERT-FR recommande d’appliquer la procédure manuelle documentée par l’éditeur pour corriger la vulnérabilité.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-ALE-007/
- https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/
CVE-2023-36884 : Vulnérabilité dans Microsoft Windows et produits Office
Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023, Microsoft a indiqué l’existence d’une vulnérabilité référencée CVE-2023-36884 [1] au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de 8.3 lui a été attribué.
L’éditeur confirme qu’elle est activement exploitée de façon ciblée [2].
La vulnérabilité CVE-2023-36884 permet à un attaquant d’exécuter du code arbitraire à distance dans le contexte utilisateur à l’aide d’un document Microsoft Office spécialement conçu, préalablement transmis à l’aide de technique d’ingénierie sociale.
Le CERT-FR recommande fortement de mettre en œuvre les moyens d’atténuation proposés par l’éditeur en attendant la publication d’un correctif.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-006/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 03 au 09 juillet 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-ALE-005 : Synthèse sur l’exploitation d’une vulnérabilité dans MOVEit Transfer
- CERTFR-2023-AVI-0508 : [SCADA] Vulnérabilité dans les produits Moxa
- CERTFR-2023-AVI-0509 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2023-AVI-0510 : Vulnérabilité dans les produits Axis
- CERTFR-2023-AVI-0511 : Vulnérabilité dans les produits GitLab Enterprise Edition
- CERTFR-2023-AVI-0512 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-0513 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2023-AVI-0514 : Multiples vulnérabilités dans les produits Tenable
- CERTFR-2023-AVI-0515 : Multiples vulnérabilités dans le noyau Linux de Debian
- CERTFR-2023-AVI-0516 : Multiples vulnérabilités dans Google Android
- CERTFR-2023-AVI-0517 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2023-AVI-0518 : Vulnérabilité dans les produits VMware
- CERTFR-2023-AVI-0519 : Multiples vulnérabilités dans Progress Software MOVEit Transfer
