Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 6
Tableau récapitulatif :
Vulnérabilités critiques du 11/02/24 au 19/02/24
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Microsoft | SmartScreen | CVE-2024-21351 | 7.6 | Contournement de la politique de sécurité | 13/02/2024 | Exploitée | CERTFR-2024-AVI-0128 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351 |
| Microsoft | Windows | CVE-2024-21412 | 8.1 | Contournement de la politique de sécurité | 13/02/2024 | Exploitée | CERTFR-2024-AVI-0128 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412 |
| Microsoft | Outlook | CVE-2024-21413 | 9.8 | Exécution de code arbitraire à distance | 15/02/2024 | Pas d'information | CERTFR-2024-AVI-0127 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413 |
| Microsoft | Exchange Server | CVE-2024-21410 | 9.8 | Élévation de privilèges | 13/02/2024 | Exploitée | CERTFR-2024-AVI-0131 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410 |
| Liferay | Liferay DXP, Liferay Portal | CVE-2024-25145 | 9.6 | XSS | 15/02/2024 | Pas d'information | CERTFR-2024-AVI-0141 | https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25145 |
| SAP | SAP ABA (Application Basis) | CVE-2024-22131 | 9.1 | Exécution de code arbitraire à distance | 13/02/2024 | Pas d'information | CERTFR-2024-AVI-0125 | https://me.sap.com/notes/3420923 |
| Adobe | Adobe Commerce, Magento Open Source | CVE-2024-20719 | 9.1 | XSS, undefined | 13/02/2024 | Pas d'information | CERTFR-2024-AVI-0123 | https://helpx.adobe.com/security/products/magento/apsb24-03.html |
| Adobe | Adobe Commerce, Magento Open Source | CVE-2024-20720 | 9.1 | Exécution de code arbitraire à distance | 13/02/2024 | Pas d'information | CERTFR-2024-AVI-0123 | https://helpx.adobe.com/security/products/magento/apsb24-03.html |
CVE-2024-21351, CVE-2024-21412, CVE-2024-21410 : Multiples vulnérabilités dans les produits Microsoft
Le 13 février 2024, lors de sa mise à jour mensuelle, l'éditeur a publié 73 bulletins de sécurité. Parmi ces bulletins, trois vulnérabilités sont activement exploitées d'après la CISA [1]:- la vulnérabilité CVE-2024-21351 permettant un contournement de la politique de sécurité sur Windows SmartScreen ;
- la vulnérabilité critique CVE-2024-21410 permettant une élévation de privilèges sur Exchange Server ;
- la vulnérabilité CVE-2024-21412 permettant une élévation de privilèges sur Windows.
Liens :
- Avis CERTFR-2024-AVI-0128
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
- [1] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Rappel des alertes CERT-FR
CVE-2024-21413 : Vulnérabilité dans Outlook
Le 13 février 2024, lors de sa mise à jour mensuelle, Microsoft a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-21413 concernant le produit Outlook. Cette vulnérabilité permet à un attaquant non authentifié de divulguer le condensat NTLM (new technology LAN manager) local et potentiellement une exécution de code arbitraire à distance. Ce condensat peut ensuite servir à l’attaquant pour tenter d’élever ses privilèges (ex.: attaque par relai NTLM).Liens :
- Alerte CERTFR-2024-ALE-005
- Avis CERTFR-2024-AVI-0127
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways
Le 14 février 2024, Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 concernant les produits Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways.Liens
- Alerte CERTFR-2024-ALE-001
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
CVE-2024-21762 : Vulnérabilité dans Fortinet FortiOS
Le 15 février 2024, Fortinet a mis a jours la liste des produits affecté par la vulnérabilité critique CVE-2024-21762. Plusieurs versions du serveur mandataire FortiProxy sont concernés.Liens
Autres vulnérabilités
CVE-2020-3259 : vulnérabilité dans les produits Cisco
Le 15 février 2024, la CISA déclare avoir connaissance de l’exploitation active de la vulnérabilité CVE-2020-3259 par des attaquants [2]. Cette vulnérabilité permet à un attaquant de provoquer une atteinte à la confidentialité sur Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD). Le CERT-FR recommande donc d’appliquer le correctif de sécurité dans les plus brefs délais.
Liens :
- Alerte CERTFR-2020-ALE-018
- Avis CERTFR-2020-AVI-274
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-info-disclose-9eJtycMB
- [2] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
CVE-2024-23479, CVE-2024-23476, CVE-2023-40057 : Multiples vulnérabilités dans SolarWinds Access Rights Manager
Le 6 février 2024, SolarWinds a publié les avis de sécurité concernant les vulnérabilités critique CVE-2024-2379, CVE-2024-2376 et CVE-2023-40057 affectant le Access Rights Manager (ARM). Ces vulnérabilités permettent à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.Liens :
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-23479
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-23476
- https://www.solarwinds.com/trust-center/security-advisories/cve-2023-40057
CVE-2024-24691 : Vulnérabilité dans les produits Zoom
Le 13 février 2024, Zoom a publié l’avis de sécurité concernant la vulnérabilité critique CVE-2024-24691 affectant les produits fonctionnant sous windows suivant : Desktop Client, VDI Client, Rooms Client et Meeting SDK. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une élévation de privilèges à distance.Lien :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
