S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 22 janvier 2024
N° CERTFR-2024-ACT-005
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTFR-2024-ACT-005

Gestion du document

Référence CERTFR-2024-ACT-005
Titre Bulletin d'actualité CERTFR-2024-ACT-005
Date de la première version22 janvier 2024
Date de la dernière version22 janvier 2024
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 3

Tableau récapitulatif :

Vulnérabilités critiques du 14/01/24 au 21/01/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Citrix NetScaler CVE-2023-6549 8.2 Déni de service à distance 16/01/2024 Exploitée CERTFR-2024-AVI-0039 https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549
Citrix NetScaler CVE-2023-6548 5.5 Exécution de code arbitraire à distance 16/01/2024 Exploitée CERTFR-2024-AVI-0039 https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549
Google Chrome CVE-2024-0519 Aucune information Non spécifié par l'éditeur 16/01/2024 Exploitée CERTFR-2024-AVI-0041 https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html
Atlassian Confluence CVE-2023-22527 10 Exécution de code arbitraire à distance 16/01/2024 Exploitée CERTFR-2024-AVI-0040 https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html
VMware VMware Aria Automation CVE-2023-34063 9.9 Contournement de la politique de sécurité 16/01/2024 Pas d'information CERTFR-2024-AVI-0037 https://www.vmware.com/security/advisories/VMSA-2024-0001.html

CVE-2023-22527 : Exécution de code arbitraire à distance dans Atlassian Confluence

Le 16 janvier 2024, Atlassian a publié un avis de sécurité concernant la vulnérabilité CVE-2023-22527 affectant son produit Confluence. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire à distance sans être authentifié. Elle affecte les versions 8.x antérieures à 8.5.4 d'Atlassian Confluence. Ces versions sont obsolètes et donc ne bénéficieront pas de rétroportage des correctifs de sécurité.

Le CERT-FR a connaissance de tentatives d’exploitation et de code d'exploitation public et recommande donc de mettre à jour Confluence vers une version supportée par l'éditeur.

Liens :

Multiples vulnérabilités dans les implémentations d’UEFI

De multiples vulnérabilités ont été découvertes dans la pile réseau du projet EDK II de la fondation Tianocore, largement utilisée par les constructeurs d’ordinateurs comme socle de développement pour leur micrologiciel UEFI. Au total, 9 vulnérabilités ont été découvertes, permettant l’exécution de code arbitraire à distance et l’injection de trafic dans des sessions TCP.

Le code d’EDK II est utilisé ou intégré de façon diverse par les différents éditeurs de code UEFI (souvent dénommé BIOS par abus de langage), qui fournissent à leur tour leur solution aux différents fabricants d’ordinateurs.

Une description plus détaillée est disponible dans le bulletin d'actualité associé.

Liens :

CVE-2023-50164 : Nouveaux produits affectés

Le 17 janvier 2024 Juniper a annoncé que le produit Juniper Secure Analytics sans les derniers correctifs de sécurité est affecté par la vulnérabilité CVE-2023-50164. Le même jour IBM a indiqué que le produit IBM Qradar SIEM est également sujet à cette vulnérabilité.

La vulnérabilité CVE-2023-50164 est relative au composant Apache Struts 2. Elle permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à distance.

Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitations sur Apache Struts 2. En revanche aucune information spécifique aux produits IBM et Juniper n'est disponible.

Liens :

Rappel des alertes CERT-FR

CVE-2024-21887, CVE-2023-46805 : Multiples vulnérabilités dans les produits Ivanti

Le 10 janvier 2024, Ivanti a publié un avis de sécurité concernant ses produits Connect Secure et Policy Secure Gateways car ils sont affectés par deux vulnérabilités critiques.

La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l'authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d'exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.

Ces vulnérabilités sont activement exploitées. Le CERT-FR a connaissance de nombreux équipements compromis. Tout équipement dont le contournement provisoire n'aurait pas déjà été appliqué doit être considéré comme compromis.

Les informations complémentaires, notamment concernant les mesures de remédiations, sont disponibles dans le bulletin d'alerte du CERT-FR.

Liens :

Autres vulnérabilités

CVE-2023-34048 : Exploitation d'une vulnérabilité dans VMware vCenter

Le 17 janvier 2024, l'éditeur VMware a mis à jour son bulletin de sécurité VMSA-2023-0023 du 25 octobre 2023 pour indiquer avoir connaissance d'exploitation de la vulnérabilité CVE-2023-34048. L'exploitation de cette vulnérabilité permet l'exécution de code arbitraire à distance.

Liens :

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 15 janvier 2024 au 21 janvier 2024, le CERT-FR a émis les publications suivantes :


Dans la période du 15 janvier 2024 au 21 janvier 2024, le CERT-FR a mis à jour les publications suivantes :

  • CERTFR-2024-ALE-001 : [MàJ] Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways

Gestion détaillée du document

    le 22 janvier 2024
    Version initiale