S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 août 2023
N° CERTFR-2023-ACT-034
Affaire suivie par: CERT-FR
le 11 août 2023

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2023-ACT-034

Gestion du document

Référence CERTFR-2023-ACT-034
Titre Bulletin d’actualité CERTFR-2023-ACT-034
Date de la première version 11 août 2023
Date de la dernière version 11 août 2023
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 31

Tableau récapitulatif :

Vulnérabilités critiques du 31/07/23 au 06/08/23

 

 

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Ivanti Endpoint Manager Mobile CVE-2023-35081 7.2 Exécution de code arbitraire à distance 28/07/2023 Exploitée CERTFR-2023-AVI-0604 https://forums.ivanti.com/s/article/CVE-2023-35081-Arbitrary-File-Write
Ivanti MobileIron Core CVE-2023-35082 10 Contournement de la politique de sécurité, Atteinte à l’intégrité des données, Atteinte à la confidentialité des données 02/08/2023 Pas d’information CERTFR-2023-AVI-0615 https://forums.ivanti.com/s/article/CVE-2023-35082-Remote-Unauthenticated-API-Access-Vulnerability-in-MobileIron-Core-11-2-and-older
Mozilla Firefox, Firefox ESR, Thunderbird CVE-2023-4056 9.8 Exécution de code arbitraire à distance 01/08/2023 Pas d’information CERTFR-2023-AVI-0611, CERTFR-2023-AVI-0613 https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/, https://www.mozilla.org/en-US/security/advisories/mfsa2023-30/,https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/, https://www.mozilla.org/en-US/security/advisories/mfsa2023-32/, https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/
Mozilla Firefox, Firefox ESR, Thunderbird CVE-2023-4057 9.8 Exécution de code arbitraire à distance 01/08/2023 Pas d’information CERTFR-2023-AVI-0611, CERTFR-2023-AVI-0613 https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/, https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/, https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/
Mozilla Firefox CVE-2023-4058 9.8 Exécution de code arbitraire à distance 01/08/2023 Pas d’information CERTFR-2023-AVI-0611, CERTFR-2023-AVI-0613 https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/

CVE-2023-35078, CVE-2023-35081 et CVE-2023-35082 : Multiples vulnérabilités dans les produits Ivanti

Le 24 juillet 2023, Ivanti a corrigé une vulnérabilité affectant le produit Endpoint Manager Mobile, anciennement MobileIron Core. Cette vulnérabilité permet à un attaquant d’obtenir un accès non authentifié à des chemins d’API spécifiques afin de récupérer des informations personnellement identifiables (PII) d’utilisateurs. Un attaquant peut également, par le biais de cette vulnérabilité, modifier la configuration du produit EPMM et créer un compte administrateur.

Le 28 juillet 2023, Ivanti a publié un nouvel avis concernant Endpoint Manager Mobile, anciennement MobileIron Core. La vulnérabilité CVE-2023-35081 permet à un attaquant ayant les droits administrateur d’effectuer une écriture arbitraire de fichier sur le serveur, conduisant in fine à une exécution de code arbitraire à distance.

Selon Ivanti, ces vulnérabilités sont activement exploitées dans le cadre d’attaques ciblées.

Le 01 août 2023, la CISA conjointement avec l’agence de sécurité des systèmes d’information norvégienne (NCSC-NO) ont publié un avis [1] concernant les vulnérabilités CVE-2023-35078, exploitée depuis au moins avril 2023, et CVE-2023-35081. Cet avis décrit les modes opératoires observés des attaquants et fournit des moyens de détecter des intrusions.

Le 02 août 2023, Ivanti a publié un nouvel avis concernant la vulnérabilité CVE-2023-35082 affectant MobileIron Core. Celle-ci ressemble à la vulnérabilité CVE-2023-35078, mais n’affecte que les anciennes versions de MobileIron Core, car elle a été corrigée de manière fortuite à partir de la version 11.3.

[Mise à jour du 11 août 2023]

Le 07 août 2023, Ivanti a publié un nouvel avis de sécurité [2] pour indiquer que la vulnérabilité CVE-2023-35082 affecte toutes les versions de Endpoint Manager Mobile, et non uniquement les versions antérieures à 11.3, comme initialement indiqué. Dans l’attente de la publication de la version 11.11, Ivanti fournit un script RPM corrigeant la vulnérabilité CVE-2023-35082 pour les versions 11.8.1.2, 11.9.1.2 et 11.10.0.3. Si l’équipement est dans une version antérieure, il est conseillé de le mettre à jour vers l’une de ces trois versions, puis d’exécuter le script. Cette procédure est décrite dans l’avis.

L’éditeur annonce que :

  • La vulnérabilité CVE-2023-35082 est exploitable uniquement sur HTTP mais pas HTTPS ;
  • Une preuve de concept est disponible publiquement ;
  • La vulnérabilité CVE-2023-35082 est activement exploitée.

Liens :

Autres vulnérabilités

CVE-2023-3519 : Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway

La vulnérabilité CVE-2023-3519 permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur Netscaler ADC et Gateway. Celle-ci est activement exploitée et a fait l’objet d’une alerte du CERT-FR.

Le CERT-FR a connaissance d’un code d’exploitation disponible publiquement. Tous les équipements vulnérables exposés sur Internet doivent donc être considérés comme compromis.

Liens :

CVE-2023-39143 : Vulnérabilité dans Papercut

Papercut est un logiciel de gestion d’impression. La vulnérabilité CVE-2023-39143 affecte les versions antérieures à 22.1.3 et permet à un attaquant non authentifié de lire, supprimer ou téléverser des fichiers arbitraires si le serveur est exécuté sur Windows. Si l’intégration d’appareils externes est activée (pour le paiement, par exemple), ce qui est le cas par défaut, la vulnérabilité permet alors à l’attaquant d’exécuter du code arbitraire à distance et ainsi prendre la main sur le serveur.

Liens :

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 31 juillet au 06 août 2023, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 07 août 2023
    Version initiale
    le 11 août 2023
    Republication du bulletin avec des informations complémentaires sur la vulnérabilité CVE-2023-35082.