Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 41

Tableau récapitulatif :

Vulnérabilités critiques du 09/10/23 au 15/10/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
F5 BIG-IP (tous modules) CVE-2023-41373 9.9 Exécution de code arbitraire à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0837 https://my.f5.com/manage/s/article/K000135689
Protocole HTTP/2 CVE-2023-44487 5.3 Déni de service à distance 10/10/2023 Exploitée https://www.cve.org/CVERecord?id=CVE-2023-44487
Microsoft Common Data Model SDK CVE-2023-36566 6.5 Déni de service à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0830 CVE-2023-36566
Microsoft WordPad CVE-2023-36563 6.5 Atteinte à la confidentialité des données 10/10/2023 Exploitée CERTFR-2023-AVI-0827 CVE-2023-36563
Microsoft Message Queuing CVE-2023-35349
CVE-2023-36697
9.8
6.8
Exécution de code arbitraire à distance 10/10/2023 Pas d’information CERTFR-2023-AVI-827 CVE-2023-35349
CVE-2023-36697
Microsoft Skype Entreprise CVE-2023-41763 5.3 Élévation de privilèges 10/10/2023 Exploitée CERTFR-2023-AVI-0830 CVE-2023-41763
Microsoft Protocole Layer 2 Tunneling CVE-2023-41765 CVE-2023-41767 CVE-2023-41768 CVE-2023-41769 CVE-2023-41770 CVE-2023-41771 CVE-2023-41773 CVE-2023-41774 CVE-2023-38166 9.8 Exécution de code arbitraire à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0830 CVE-2023-41765 CVE-2023-41767 CVE-2023-41768 CVE-2023-41769 CVE-2023-41770 CVE-2023-41771 CVE-2023-41773 CVE-2023-41774 CVE-2023-38166
Citrix NetScaler ADC NetScaler Gateway CVE-2023-4966 9.4 Atteinte à la confidentialité des données 10/10/2023 Pas d'information CERTFR-2023-AVI-0823 https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
Siemens CP-8031 MASTER MODULE, CP-8050 MASTER MODULE CVE-2023-36380 9.8 Exécution de code arbitraire à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0819 https://cert-portal.siemens.com/productcert/html/ssa-134651.html
Siemens Simcenter Amesim CVE-2023-43625 9.8 Exécution de code arbitraire à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0819 https://cert-portal.siemens.com/productcert/html/ssa-386812.html
Siemens SCALANCE W1750D CVE-2023-22779 CVE-2023-22779 CVE-2023-22780 CVE-2023-22781 CVE-2023-22782 CVE-2023-22783 CVE-2023-22784 CVE-2023-22785 CVE-2023-22786 9.8 Exécution de code arbitraire à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0819 https://cert-portal.siemens.com/productcert/html/ssa-843070.html
Schneider EcoStruxure Power Monitoring Expert (PME), EcoStruxure Power Operation/SCADA (EPO) with Advanced Reports CVE-2023-5391 9.8 Exécution de code arbitraire à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0818 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-02.pdf
Schneider SpaceLogic C-Bus Toolkit CVE-2023-5399 CVE-2023-5402 9.8 Exécution de code arbitraire à distance Atteinte à l'intégrité des données 10/10/2023 Pas d'information CERTFR-2023-AVI-0818 https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-01.pdf
IBM Db2 Rest CVE-2023-29402 9.8 Exécution de code arbitraire à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0839 https://www.ibm.com/support/pages/node/7049434
IBM IBM QRadar SIEM CVE-2022-25147 9.8 Exécution de code arbitraire à distance Deni de service à distance 10/10/2023 Pas d'information CERTFR-2023-AVI-0839 https://www.ibm.com/support/pages/node/7049133
IBM IBM QRadar SIEM CVE-2016-1000027 9.8 Exécution de code arbitraire à distance 10/10/2023 Code d'exploitation publique CERTFR-2023-AVI-0839 https://www.ibm.com/support/pages/node/7049133

Autres vulnérabilités

CVE-2023-22515 : Exploitation d'une vulnérabilité critique dans Confluence

Le 4 octobre 2023, l'éditeur a publié un avis de sécurité concernant la vulnérabilité identifiée CVE-2023-22515 ayant un score CVSSv3.0 de 10. Cette vulnérabilité affecte les produits Confluence Data Center et Confluence Server versions 8.0.0 à 8.5.1. Les versions antérieures à 8.0.0 ne sont pas concernées par la vulnérabilité.

Un attaquant distant, non authentifié, est en mesure d'obtenir les droits les plus élevés définis dans l'application.

Le 5 octobre 2023, l'éditeur a mis à jour l'avis de sécurité en catégorisant l'impact comme étant un contournement de la politique de sécurité en accord avec les définitions de l'OWASP.

Un correctif de sécurité est disponible ainsi que des mesures de contournement dans le cas où l'application du correctif ne serait pas envisageable. Cette vulnérabilité fait l'objet d'une exploitation sur internet. Plusieurs codes d'exploitation sont disponibles sur Internet. Le CERT-FR encourage fortement de mettre à jour Confluence à la dernière version proposée par l'éditeur.

Liens :

CVE-2023-21608 : Exploitation d'une vulnérabilité critique dans Adobe Acrobat et Adobe Reader

Le 10 janvier 2023, l'éditeur a corrigé de plusieurs vulnérabilités critiques dont la vulnérabilité CVE-2023-21608. Cette vulnérabilité permet à un attaquant local d'exécuter du code arbitraire. Le 10 octobre 2023, la CISA a mentionné avoir connaissance de l'exploitation de cette vulnérabilité [1].

Liens :

Multiples vulnérabilités critiques dans IBM Sterling Order Management

Le 6 octobre août 2023, l'éditeur a déclaré avoir corrigé 45 vulnérabilités dont 35 critiques disposant d'un score CVSSv3 de 9.8. Ces vulnérabilités permettent à un attaquant distant d'exécuter du code arbitraire sur le système, d'obtenir des informations sensibles, et de réaliser une attaque par déni de service. Elles affectent le paquet Java FasterXML jackson-databind utilisé dans le produit IBM Sterling Order Management.

Liens :

CVE-2022-37967 : Vulnérabilité critique dans le protocole Kerberos de Windows

Le 8 novembre 2022, Microsoft a découvert une vulnérabilité cryptographique affectant le protocole Kerberos. Cette vulnérabilité permet à un attaquant authentifié d’altérer le contenu des signatures de Privilege Attribute Certificate (PAC) et ainsi d’élever ses privilèges auprès du service ciblé. Sa correction se fait en plusieurs mises à jour afin de ne pas avoir trop d’impact sur les systèmes d’information. L’objectif de ces mises à jour étant, à terme, d’inclure dans le ticket kerberos une signature pour le PAC afin de vérifier son intégrité lors de la phase d’authentification. L’introduction de cette signature permet donc d’empêcher l’exploitation de la vulnérabilité CVE-2022-37967.

Ainsi le 10 octobre 2023, l’éditeur a déployé la cinquième et dernière étape de cette correction en supprimant la prise en charge de la sous-clé de Registre KrbtgtFullPacSignature ainsi que du mode Audit. Tous les tickets de service qui ne disposent pas de la nouvelle signature PAC seront dorénavant refusés [1].

Liens :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 09 octobre 2023 au 15 octobre 2023, le CERT-FR a émis les publications suivantes :