S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 juillet 2023
N° CERTFR-2023-ACT-033
Affaire suivie par: CERT-FR
le 31 juillet 2023

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2023-ACT-033

Gestion du document

Référence CERTFR-2023-ACT-033
Titre Bulletin d’actualité CERTFR-2023-ACT-033
Date de la première version 31 juillet 2023
Date de la dernière version 31 juillet 2023
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 30

Tableau récapitulatif :

Vulnérabilités critiques du 24/07/23 au 30/07/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Symantec Symantec Advanced Authentication CVE-2023-34364 9.8 Exécution de code arbitraire à distance 26/07/2023 Pas d’information CERTFR-2023-AVI-0589 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/22370
Aruba ArubaOS, InstantOS CVE-2023-35980 9.8 Exécution de code arbitraire à distance 25/07/2023 Pas d’information CERTFR-2023-AVI-0590 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt
Aruba ArubaOS, InstantOS CVE-2023-35981 9.8 Exécution de code arbitraire à distance 25/07/2023 Pas d’information CERTFR-2023-AVI-0590 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt
Aruba ArubaOS, InstantOS CVE-2023-35982 9.8 Exécution de code arbitraire à distance 25/07/2023 Pas d’information CERTFR-2023-AVI-0590 https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-009.txt
Node.js module vm2 CVE-2023-37903 9.8 Exécution de code arbitraire à distance 21/07/2023 Preuve de concept publique N/A https://github.com/patriksimek/vm2/security/advisories/GHSA-g644-9gfx-q4q4
AMD CPU AMD Zen2 CVE-2023-20593 (Zenbleed) Aucune information Atteinte à la confidentialité des données 24/07/2023 Exploitée CERTFR-2023-AVI-0583 https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html
Apple iOS, iPadOS, macOS CVE-2023-38606 Aucune information Atteinte à l’intégrité des données 24/07/2023 Exploitée CERTFR-2023-AVI-0581 https://support.apple.com/en-us/HT213845
https://support.apple.com/en-us/HT213841
https://support.apple.com/en-us/HT213842
https://support.apple.com/en-us/HT213843
https://support.apple.com/en-us/HT213844
Apple iOS, iPadOS, macOS CVE-2023-37450 Aucune information Exécution de code arbitraire 24/07/2023 Exploitée CERTFR-2023-AVI-0581 https://support.apple.com/en-us/HT213842
https://support.apple.com/en-us/HT213841
https://support.apple.com/en-us/HT213843
Apple iOS CVE-2023-32409 Aucune information Contournement de la politique de sécurité 24/07/2023 Exploitée CERTFR-2023-AVI-0581 https://support.apple.com/en-us/HT213842
Ivanti Ivanti Endpoint Manager Mobile CVE-2023-35078 10 Contournement de la politique de sécurité 24/07/2023 Exploitée CERTFR-2023-ALE-009 https://forums.ivanti.com/s/article/CVE-2023-35078-Remote-unauthenticated-API-access-vulnerability
IBM Cognos Analytics CVE-2023-29017 9.8 Exécution de code arbitraire à distance 27/07/2023 Pas d’information CERTFR-2023-AVI-0597 https://www.ibm.com/support/pages/node/7013893
IBM Cognos Analytics CVE-2022-25893 9.8 Exécution de code arbitraire à distance 27/07/2023 Pas d’information CERTFR-2023-AVI-0597 https://www.ibm.com/support/pages/node/7013893
IBM Cognos Analytics CVE-2023-30547 9.8 Exécution de code arbitraire à distance 27/07/2023 Pas d’information CERTFR-2023-AVI-0597 https://www.ibm.com/support/pages/node/7013893
IBM Cognos Analytics CVE-2022-36067 10 Exécution de code arbitraire à distance 27/07/2023 Pas d’information CERTFR-2023-AVI-0597 https://www.ibm.com/support/pages/node/7013893
IBM Cognos Analytics CVE-2023-29199 9.8 Exécution de code arbitraire à distance 27/07/2023 Pas d’information CERTFR-2023-AVI-0597 https://www.ibm.com/support/pages/node/7013893

CVE-2023-37903 : Vulnérabilité dans le module vm2 de Node.JS

Les développeurs du module NodeJS vm2 ont publié une vulnérabilité critique, CVE-2023-37903, permettant à un attaquant de s’échapper du bac à sable (sandbox) et d’exécuter du code arbitraire sur le serveur. Une seconde vulnérabilité, CVE-2023-37466 [1], avec les mêmes impacts, avait déjà été publiée par l’éditeur début juillet 2023.

Ce module étant considéré par les développeurs comme obsolète, il est recommandé de migrer vers la nouvelle version du module nommé isolated-vm [2].

Un code d’exploitation pour la vulnérabilité, CVE-2023-37903, sera publié le 5 septembre 2023.

Liens :

Autres vulnérabilités

Multiples vulnérabilités dans AMI MegaRAC SPX

Le 18 juillet 2023, l’éditeur a déclaré sept vulnérabilités affectant le produit MegaRAC SPX 12 et 13.

Les cinq premières vulnérabilités ont été découvertes par Nozomi Labs et publiées le 5 juillet. Combinées ensemble, ces vulnérabilités permettent, in fine, à un attaquant de déployer une porte dérobée persistante sur l’interface Web du contrôleur de gestion de la carte de base (BMC). Pour plus d’informations sur ces vulnérabilités, veuillez vous référer au billet de blog de Nozomi Labs [1].

Les deux dernières vulnérabilités ont été découvertes par Eclypsium Research et Vlad Babkin. Elles permettent à un attaquant non authentifié de réaliser une exécution de code à distance. Pour plus d’informations sur ces vulnérabilités, veuillez vous référer au billet de blog de Eclypsium Research [2].

Le CERT-FR recommande de manière générale, et pour l’ensemble des systèmes de gestion hors bande, de :

  • désactiver les interfaces d’accès au BMC si celui-ci n’est pas utilisé dans le cadre de la supervision et de l’administration à distance* ;
  • appliquer les correctifs publiés par les fabricants ;
  • s’assurer que tous les accès réseaux aux sous-systèmes BMC (IPMI, Redfish, SSH, etc.) sont uniquement permis depuis sur un réseau de gestion dédié ;
  • activer les fonctionnalités de pare-feu proposées par IPMI ou Redfish afin de restreindre l’accès aux interfaces aux seuls postes d’administration ;
  • mettre en place un système de journalisation distante :
    • authentification
    • autorisation (utilisateurs / services)
    • état du système (mise sous tension / hors tension, redémarrage)
    • changements système (mise à jour du micrologiciel, chargement du micrologiciel après une compromission du système hôte)
  • désactiver ou changer les identifiants des comptes installés par défaut au niveau du BMC ;
  • respecter le principe du moindre privilège pour les actions de supervision ou de gestion au travers du BMC (rôles root, administrator, operator, user et callback).

* Il convient de noter que cela ne désactive pas le fonctionnement du contrôleur BMC mais réduit son exposition depuis le réseau.

Liens :

CVE-2023-24932 : [MàJ] Vulnérabilité dans Microsoft Secure Boot

Le 9 mai 2023, l’éditeur a publié un avis de sécurité concernant une vulnérabilité permettant à un attaquant ayant les privilèges administrateurs, ou un accès physique à la machine, de réaliser un contournement de la fonction de sécurité Secure Boot à l’aide du bootkit BlackLotus UEFI. Cette vulnérabilité, CVE-2023-24932, est en réalité la mise à jour des listes des binaires à révoquer. Par le biais de cette vulnérabilité, un attaquant peut d’exécuter du code autosigné au niveau de l’interface UEFI (Unified Extensible Firmware Interface) alors que le démarrage sécurisé est activé. Cette vulnérabilité pourrait être utilisée par des acteurs malveillants pour avoir un accès persistent à la machine et pour désactiver de nombreux mécanismes de sécurité (BitLocker, Hypervisor-protected Code Integrity (HVCI), Windows Defender) afin de rendre plus difficile sa détection.

UEFI n’étant pas directement lié à Windows, les systèmes d’exploitation Linux sont également concernés par cette vulnérabilité.

Le 9 mai 2023, l’éditeur à proposé une première solution en mettant à disposition une mise à jour des deux fichiers de révocation à appliquer manuellement : une politique d’intégrité du code (Code Integrity Boot Policy) et une liste d’interdiction de démarrage sécurisé (Secure Boot UEFI Forbidden List, au format DBX).

Néanmoins, cette mise à jour étant risquée et manuelle, le 11 juillet 2023, Microsoft a publié une deuxième mise à jour permettant un déploiement plus facile et automatisé des fichiers de révocation (politique de démarrage d’intégrité du code et liste d’interdiction de démarrage sécurisé). Des nouveaux événements ont également été ajoutés dans le journal des événements Windows afin d’identifier si le déploiement des fichiers de révocation a réussi ou non.

Une troisième mise à jour sera publiée en début d’année 2024 afin d’appliquer automatiquement les correctifs lors de la mise à jour de tous les systèmes Windows affectés.

Le CERT-FR recommande de suivre la procédure proposée par l’éditeur [1], afin de déployer les mises à jour des fichiers de révocation.

Liens :

Alertes CERT-FR

CVE-2023-35078 : Vulnérabilité dans Ivanti Endpoint Manager Mobile

Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant le produit Endpoint Manager Mobile, anciennement MobileIron Core. Cette vulnérabilité permet à un attaquant d’obtenir un accès non authentifié à des chemins d’API spécifiques afin de récupérer des informations personnellement identifiables (PII) d’utilisateurs. Un attaquant peut également, par le biais de cette vulnérabilité, modifier la configuration du produit EPMM et créer un compte administrateur.

Le CERT-FR a connaissance d’exploitation de cette vulnérabilité. Il est donc fortement recommandé d’appliquer le correctif de sécurité dans les plus brefs délais.

Liens :

CVE-2023-37580 : Vulnérabilité dans Zimbra Collaboration Suite

Le 13 juillet 2023, Zimbra a publié un avis de sécurité alertant de l’existence d’une vulnérabilité affectant sa solution Collaboration Suite dans la version 8.x.

Cette vulnérabilité permet à un attaquant de réaliser une injection de code indirecte (XSS) pour porter atteinte à l’intégrité des données et la confidentialité des données. Aucun identifiant CVE ne lui a été attribué au moment de la publication de la présente alerte.

Le 26 juillet 2023, l’éditeur a publié un correctif de sécurité [1] pour cette vulnérabilité immatriculée CVE-2023-37580. Il est donc fortement recommandé de migrer toutes les versions 8.x du produit Zimbra Collaboration Suite vers sa version 8.8.15 et de déployer ensuite le correctif P41.

Liens :

 

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 24 au 30 juillet 2023, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 31 juillet 2023
    Version initiale