Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 41
Tableau récapitulatif :
Vulnérabilités critiques du 09/10/23 au 15/10/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| F5 | BIG-IP (tous modules) | CVE-2023-41373 | 9.9 | Exécution de code arbitraire à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0837 | https://my.f5.com/manage/s/article/K000135689 |
| Protocole HTTP/2 | CVE-2023-44487 | 5.3 | Déni de service à distance | 10/10/2023 | Exploitée | https://www.cve.org/CVERecord?id=CVE-2023-44487 | ||
| Microsoft | Common Data Model SDK | CVE-2023-36566 | 6.5 | Déni de service à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0830 | CVE-2023-36566 |
| Microsoft | WordPad | CVE-2023-36563 | 6.5 | Atteinte à la confidentialité des données | 10/10/2023 | Exploitée | CERTFR-2023-AVI-0827 | CVE-2023-36563 |
| Microsoft | Message Queuing |
CVE-2023-35349 CVE-2023-36697 |
9.8 6.8 |
Exécution de code arbitraire à distance | 10/10/2023 | Pas d’information | CERTFR-2023-AVI-827 |
CVE-2023-35349 CVE-2023-36697 |
| Microsoft | Skype Entreprise | CVE-2023-41763 | 5.3 | Élévation de privilèges | 10/10/2023 | Exploitée | CERTFR-2023-AVI-0830 | CVE-2023-41763 |
| Microsoft | Protocole Layer 2 Tunneling | CVE-2023-41765 CVE-2023-41767 CVE-2023-41768 CVE-2023-41769 CVE-2023-41770 CVE-2023-41771 CVE-2023-41773 CVE-2023-41774 CVE-2023-38166 | 9.8 | Exécution de code arbitraire à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0830 | CVE-2023-41765 CVE-2023-41767 CVE-2023-41768 CVE-2023-41769 CVE-2023-41770 CVE-2023-41771 CVE-2023-41773 CVE-2023-41774 CVE-2023-38166 |
| Citrix | NetScaler ADC NetScaler Gateway | CVE-2023-4966 | 9.4 | Atteinte à la confidentialité des données | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0823 | https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967 |
| Siemens | CP-8031 MASTER MODULE, CP-8050 MASTER MODULE | CVE-2023-36380 | 9.8 | Exécution de code arbitraire à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0819 | https://cert-portal.siemens.com/productcert/html/ssa-134651.html |
| Siemens | Simcenter Amesim | CVE-2023-43625 | 9.8 | Exécution de code arbitraire à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0819 | https://cert-portal.siemens.com/productcert/html/ssa-386812.html |
| Siemens | SCALANCE W1750D | CVE-2023-22779 CVE-2023-22779 CVE-2023-22780 CVE-2023-22781 CVE-2023-22782 CVE-2023-22783 CVE-2023-22784 CVE-2023-22785 CVE-2023-22786 | 9.8 | Exécution de code arbitraire à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0819 | https://cert-portal.siemens.com/productcert/html/ssa-843070.html |
| Schneider | EcoStruxure Power Monitoring Expert (PME), EcoStruxure Power Operation/SCADA (EPO) with Advanced Reports | CVE-2023-5391 | 9.8 | Exécution de code arbitraire à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0818 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-02.pdf |
| Schneider | SpaceLogic C-Bus Toolkit | CVE-2023-5399 CVE-2023-5402 | 9.8 | Exécution de code arbitraire à distance Atteinte à l'intégrité des données | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0818 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-283-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-283-01.pdf |
| IBM | Db2 Rest | CVE-2023-29402 | 9.8 | Exécution de code arbitraire à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0839 | https://www.ibm.com/support/pages/node/7049434 |
| IBM | IBM QRadar SIEM | CVE-2022-25147 | 9.8 | Exécution de code arbitraire à distance Deni de service à distance | 10/10/2023 | Pas d'information | CERTFR-2023-AVI-0839 | https://www.ibm.com/support/pages/node/7049133 |
| IBM | IBM QRadar SIEM | CVE-2016-1000027 | 9.8 | Exécution de code arbitraire à distance | 10/10/2023 | Code d'exploitation publique | CERTFR-2023-AVI-0839 | https://www.ibm.com/support/pages/node/7049133 |
Autres vulnérabilités
CVE-2023-22515 : Exploitation d'une vulnérabilité critique dans Confluence
Le 4 octobre 2023, l'éditeur a publié un avis de sécurité concernant la vulnérabilité identifiée CVE-2023-22515 ayant un score CVSSv3.0 de 10. Cette vulnérabilité affecte les produits Confluence Data Center et Confluence Server versions 8.0.0 à 8.5.1. Les versions antérieures à 8.0.0 ne sont pas concernées par la vulnérabilité.Un attaquant distant, non authentifié, est en mesure d'obtenir les droits les plus élevés définis dans l'application.
Le 5 octobre 2023, l'éditeur a mis à jour l'avis de sécurité en catégorisant l'impact comme étant un contournement de la politique de sécurité en accord avec les définitions de l'OWASP.
Un correctif de sécurité est disponible ainsi que des mesures de contournement dans le cas où l'application du correctif ne serait pas envisageable. Cette vulnérabilité fait l'objet d'une exploitation sur internet. Plusieurs codes d'exploitation sont disponibles sur Internet. Le CERT-FR encourage fortement de mettre à jour Confluence à la dernière version proposée par l'éditeur.
Liens :
- /avis/CERTFR-2023-AVI-0803/
- https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html
CVE-2023-21608 : Exploitation d'une vulnérabilité critique dans Adobe Acrobat et Adobe Reader
Le 10 janvier 2023, l'éditeur a corrigé de plusieurs vulnérabilités critiques dont la vulnérabilité CVE-2023-21608. Cette vulnérabilité permet à un attaquant local d'exécuter du code arbitraire. Le 10 octobre 2023, la CISA a mentionné avoir connaissance de l'exploitation de cette vulnérabilité [1].Liens :
- /avis/CERTFR-2023-AVI-0016/
- https://helpx.adobe.com/security/products/acrobat/apsb23-01.html
- [1] https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
Multiples vulnérabilités critiques dans IBM Sterling Order Management
Le 6 octobre août 2023, l'éditeur a déclaré avoir corrigé 45 vulnérabilités dont 35 critiques disposant d'un score CVSSv3 de 9.8. Ces vulnérabilités permettent à un attaquant distant d'exécuter du code arbitraire sur le système, d'obtenir des informations sensibles, et de réaliser une attaque par déni de service. Elles affectent le paquet Java FasterXML jackson-databind utilisé dans le produit IBM Sterling Order Management.Liens :
CVE-2022-37967 : Vulnérabilité critique dans le protocole Kerberos de Windows
Le 8 novembre 2022, Microsoft a découvert une vulnérabilité cryptographique affectant le protocole Kerberos. Cette vulnérabilité permet à un attaquant authentifié d’altérer le contenu des signatures de Privilege Attribute Certificate (PAC) et ainsi d’élever ses privilèges auprès du service ciblé. Sa correction se fait en plusieurs mises à jour afin de ne pas avoir trop d’impact sur les systèmes d’information. L’objectif de ces mises à jour étant, à terme, d’inclure dans le ticket kerberos une signature pour le PAC afin de vérifier son intégrité lors de la phase d’authentification. L’introduction de cette signature permet donc d’empêcher l’exploitation de la vulnérabilité CVE-2022-37967.Ainsi le 10 octobre 2023, l’éditeur a déployé la cinquième et dernière étape de cette correction en supprimant la prise en charge de la sous-clé de Registre KrbtgtFullPacSignature ainsi que du mode Audit. Tous les tickets de service qui ne disposent pas de la nouvelle signature PAC seront dorénavant refusés [1].
Liens :
- /avis/CERTFR-2022-AVI-1012/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967
- [1] https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
