Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 30
Tableau récapitulatif :
Vulnérabilités critiques du 24/07/23 au 30/07/23
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Symantec | Symantec Advanced Authentication | CVE-2023-34364 | 9.8 | Exécution de code arbitraire à distance | 26/07/2023 | Pas d'information | CERTFR-2023-AVI-0589 | https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/22370 |
Aruba | ArubaOS, InstantOS | CVE-2023-35980 | 9.8 | Exécution de code arbitraire à distance | 25/07/2023 | Pas d'information | CERTFR-2023-AVI-0590 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-35981 | 9.8 | Exécution de code arbitraire à distance | 25/07/2023 | Pas d'information | CERTFR-2023-AVI-0590 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-35982 | 9.8 | Exécution de code arbitraire à distance | 25/07/2023 | Pas d'information | CERTFR-2023-AVI-0590 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt |
Node.js | module vm2 | CVE-2023-37903 | 9.8 | Exécution de code arbitraire à distance | 21/07/2023 | Preuve de concept publique | N/A | https://github.com/patriksimek/vm2/security/advisories/GHSA-g644-9gfx-q4q4 |
AMD | CPU AMD Zen2 | CVE-2023-20593 (Zenbleed) | Aucune information | Atteinte à la confidentialité des données | 24/07/2023 | Exploitée | CERTFR-2023-AVI-0583 | https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html |
Apple | iOS, iPadOS, macOS | CVE-2023-38606 | Aucune information | Atteinte à l'intégrité des données | 24/07/2023 | Exploitée | CERTFR-2023-AVI-0581 | https://support.apple.com/en-us/HT213845 https://support.apple.com/en-us/HT213841 https://support.apple.com/en-us/HT213842 https://support.apple.com/en-us/HT213843 https://support.apple.com/en-us/HT213844 |
Apple | iOS, iPadOS, macOS | CVE-2023-37450 | Aucune information | Exécution de code arbitraire | 24/07/2023 | Exploitée | CERTFR-2023-AVI-0581 | https://support.apple.com/en-us/HT213842 https://support.apple.com/en-us/HT213841 https://support.apple.com/en-us/HT213843 |
Apple | iOS | CVE-2023-32409 | Aucune information | Contournement de la politique de sécurité | 24/07/2023 | Exploitée | CERTFR-2023-AVI-0581 | https://support.apple.com/en-us/HT213842 |
Ivanti | Ivanti Endpoint Manager Mobile | CVE-2023-35078 | 10 | Contournement de la politique de sécurité | 24/07/2023 | Exploitée | CERTFR-2023-ALE-009 | https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability |
IBM | Cognos Analytics | CVE-2023-29017 | 9.8 | Exécution de code arbitraire à distance | 27/07/2023 | Pas d'information | CERTFR-2023-AVI-0597 | https://www.ibm.com/support/pages/node/7013893 |
IBM | Cognos Analytics | CVE-2022-25893 | 9.8 | Exécution de code arbitraire à distance | 27/07/2023 | Pas d'information | CERTFR-2023-AVI-0597 | https://www.ibm.com/support/pages/node/7013893 |
IBM | Cognos Analytics | CVE-2023-30547 | 9.8 | Exécution de code arbitraire à distance | 27/07/2023 | Pas d'information | CERTFR-2023-AVI-0597 | https://www.ibm.com/support/pages/node/7013893 |
IBM | Cognos Analytics | CVE-2022-36067 | 10 | Exécution de code arbitraire à distance | 27/07/2023 | Pas d'information | CERTFR-2023-AVI-0597 | https://www.ibm.com/support/pages/node/7013893 |
IBM | Cognos Analytics | CVE-2023-29199 | 9.8 | Exécution de code arbitraire à distance | 27/07/2023 | Pas d'information | CERTFR-2023-AVI-0597 | https://www.ibm.com/support/pages/node/7013893 |
CVE-2023-37903 : Vulnérabilité dans le module vm2 de Node.JS
Les développeurs du module NodeJS vm2 ont publié une vulnérabilité critique, CVE-2023-37903, permettant à un attaquant de s'échapper du bac à sable (sandbox) et d'exécuter du code arbitraire sur le serveur. Une seconde vulnérabilité, CVE-2023-37466 [1], avec les mêmes impacts, avait déjà été publiée par l'éditeur début juillet 2023.Ce module étant considéré par les développeurs comme obsolète, il est recommandé de migrer vers la nouvelle version du module nommé isolated-vm [2].
Un code d'exploitation pour la vulnérabilité, CVE-2023-37903, sera publié le 5 septembre 2023.
Liens :
- https://github.com/patriksimek/vm2/security/advisories/GHSA-g644-9gfx-q4q4
- [1] https://github.com/patriksimek/vm2/security/advisories/GHSA-cchq-frgv-rjh5
- [2] https://www.npmjs.com/package/isolated-vm
Autres vulnérabilités
Multiples vulnérabilités dans AMI MegaRAC SPX
Le 18 juillet 2023, l'éditeur a déclaré sept vulnérabilités affectant le produit MegaRAC SPX 12 et 13.Les cinq premières vulnérabilités ont été découvertes par Nozomi Labs et publiées le 5 juillet. Combinées ensemble, ces vulnérabilités permettent, in fine, à un attaquant de déployer une porte dérobée persistante sur l'interface Web du contrôleur de gestion de la carte de base (BMC). Pour plus d'informations sur ces vulnérabilités, veuillez vous référer au billet de blog de Nozomi Labs [1].
Les deux dernières vulnérabilités ont été découvertes par Eclypsium Research et Vlad Babkin. Elles permettent à un attaquant non authentifié de réaliser une exécution de code à distance. Pour plus d'informations sur ces vulnérabilités, veuillez vous référer au billet de blog de Eclypsium Research [2].
Le CERT-FR recommande de manière générale, et pour l’ensemble des systèmes de gestion hors bande, de :
- désactiver les interfaces d’accès au BMC si celui-ci n’est pas utilisé dans le cadre de la supervision et de l’administration à distance* ;
- appliquer les correctifs publiés par les fabricants ;
- s’assurer que tous les accès réseaux aux sous-systèmes BMC (IPMI, Redfish, SSH, etc.) sont uniquement permis depuis sur un réseau de gestion dédié ;
- activer les fonctionnalités de pare-feu proposées par IPMI ou Redfish afin de restreindre l’accès aux interfaces aux seuls postes d’administration ;
- mettre en place un système de journalisation distante :
- authentification
- autorisation (utilisateurs / services)
- état du système (mise sous tension / hors tension, redémarrage)
- changements système (mise à jour du micrologiciel, chargement du micrologiciel après une compromission du système hôte)
- désactiver ou changer les identifiants des comptes installés par défaut au niveau du BMC ;
- respecter le principe du moindre privilège pour les actions de supervision ou de gestion au travers du BMC (rôles root, administrator, operator, user et callback).
Liens :
- https://9443417.fs1.hubspotusercontent-na1.net/hubfs/9443417/Security%20Advisories/AMI-SA-2023006.pdf
- [1] https://eclypsium.com/research/bmcc-lights-out-forever/
- [2] https://www.nozominetworks.com/blog/vulnerabilities-in-bmc-firmware-affect-ot-iot-device-security-part-2/
CVE-2023-24932 : [MàJ] Vulnérabilité dans Microsoft Secure Boot
Le 9 mai 2023, l'éditeur a publié un avis de sécurité concernant une vulnérabilité permettant à un attaquant ayant les privilèges administrateurs, ou un accès physique à la machine, de réaliser un contournement de la fonction de sécurité Secure Boot à l'aide du bootkit BlackLotus UEFI. Cette vulnérabilité, CVE-2023-24932, est en réalité la mise à jour des listes des binaires à révoquer. Par le biais de cette vulnérabilité, un attaquant peut d'exécuter du code autosigné au niveau de l'interface UEFI (Unified Extensible Firmware Interface) alors que le démarrage sécurisé est activé. Cette vulnérabilité pourrait être utilisée par des acteurs malveillants pour avoir un accès persistent à la machine et pour désactiver de nombreux mécanismes de sécurité (BitLocker, Hypervisor-protected Code Integrity (HVCI), Windows Defender) afin de rendre plus difficile sa détection.UEFI n'étant pas directement lié à Windows, les systèmes d'exploitation Linux sont également concernés par cette vulnérabilité.
Le 9 mai 2023, l'éditeur à proposé une première solution en mettant à disposition une mise à jour des deux fichiers de révocation à appliquer manuellement : une politique d'intégrité du code (Code Integrity Boot Policy) et une liste d'interdiction de démarrage sécurisé (Secure Boot UEFI Forbidden List, au format DBX).
Néanmoins, cette mise à jour étant risquée et manuelle, le 11 juillet 2023, Microsoft a publié une deuxième mise à jour permettant un déploiement plus facile et automatisé des fichiers de révocation (politique de démarrage d'intégrité du code et liste d'interdiction de démarrage sécurisé). Des nouveaux événements ont également été ajoutés dans le journal des événements Windows afin d'identifier si le déploiement des fichiers de révocation a réussi ou non.
Une troisième mise à jour sera publiée en début d'année 2024 afin d'appliquer automatiquement les correctifs lors de la mise à jour de tous les systèmes Windows affectés.
Le CERT-FR recommande de suivre la procédure proposée par l'éditeur [1], afin de déployer les mises à jour des fichiers de révocation.
Liens :
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
- [1] https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
Alertes CERT-FR
CVE-2023-35078 : Vulnérabilité dans Ivanti Endpoint Manager Mobile
Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant le produit Endpoint Manager Mobile, anciennement MobileIron Core. Cette vulnérabilité permet à un attaquant d'obtenir un accès non authentifié à des chemins d'API spécifiques afin de récupérer des informations personnellement identifiables (PII) d'utilisateurs. Un attaquant peut également, par le biais de cette vulnérabilité, modifier la configuration du produit EPMM et créer un compte administrateur.Le CERT-FR a connaissance d'exploitation de cette vulnérabilité. Il est donc fortement recommandé d'appliquer le correctif de sécurité dans les plus brefs délais.
Liens :
- /alerte/CERTFR-2023-ALE-009/
- https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
CVE-2023-37580 : Vulnérabilité dans Zimbra Collaboration Suite
Le 13 juillet 2023, Zimbra a publié un avis de sécurité alertant de l'existence d'une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.x.Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l'intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.
Le 26 juillet 2023, l'éditeur a publié un correctif de sécurité [1] pour cette vulnérabilité immatriculée CVE-2023-37580. Il est donc fortement recommandé de migrer toutes les versions 8.x du produit Zimbra Collaboration Suite vers sa version 8.8.15 et de déployer ensuite le correctif P41.
Liens :
- /alerte/CERTFR-2023-ALE-007/
- https://blog.zimbra.com/2023/07/security-update-for-zimbra-collaboration-suite-version-8-8-15/
- [1] https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P41
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.