Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 6

Tableau récapitulatif :

Vulnérabilités critiques du 11/02/24 au 19/02/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Microsoft SmartScreen CVE-2024-21351 7.6 Contournement de la politique de sécurité 13/02/2024 Exploitée CERTFR-2024-AVI-0128 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
Microsoft Windows CVE-2024-21412 8.1 Contournement de la politique de sécurité 13/02/2024 Exploitée CERTFR-2024-AVI-0128 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
Microsoft Outlook CVE-2024-21413 9.8 Exécution de code arbitraire à distance 15/02/2024 Pas d'information CERTFR-2024-AVI-0127 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
Microsoft Exchange Server CVE-2024-21410 9.8 Élévation de privilèges 13/02/2024 Exploitée CERTFR-2024-AVI-0131 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
Liferay Liferay DXP, Liferay Portal CVE-2024-25145 9.6 XSS 15/02/2024 Pas d'information CERTFR-2024-AVI-0141 https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2024-25145
SAP SAP ABA (Application Basis) CVE-2024-22131 9.1 Exécution de code arbitraire à distance 13/02/2024 Pas d'information CERTFR-2024-AVI-0125 https://me.sap.com/notes/3420923
Adobe Adobe Commerce, Magento Open Source CVE-2024-20719 9.1 XSS, undefined 13/02/2024 Pas d'information CERTFR-2024-AVI-0123 https://helpx.adobe.com/security/products/magento/apsb24-03.html
Adobe Adobe Commerce, Magento Open Source CVE-2024-20720 9.1 Exécution de code arbitraire à distance 13/02/2024 Pas d'information CERTFR-2024-AVI-0123 https://helpx.adobe.com/security/products/magento/apsb24-03.html

CVE-2024-21351, CVE-2024-21412, CVE-2024-21410 : Multiples vulnérabilités dans les produits Microsoft

Le 13 février 2024, lors de sa mise à jour mensuelle, l'éditeur a publié 73 bulletins de sécurité. Parmi ces bulletins, trois vulnérabilités sont activement exploitées d'après la CISA [1]:
  • la vulnérabilité CVE-2024-21351 permettant un contournement de la politique de sécurité sur Windows SmartScreen ;
  • la vulnérabilité critique CVE-2024-21410 permettant une élévation de privilèges sur Exchange Server ;
  • la vulnérabilité CVE-2024-21412 permettant une élévation de privilèges sur Windows.

Liens :

Rappel des alertes CERT-FR

CVE-2024-21413 : Vulnérabilité dans Outlook

Le 13 février 2024, lors de sa mise à jour mensuelle, Microsoft a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-21413 concernant le produit Outlook. Cette vulnérabilité permet à un attaquant non authentifié de divulguer le condensat NTLM (new technology LAN manager) local et potentiellement une exécution de code arbitraire à distance. Ce condensat peut ensuite servir à l’attaquant pour tenter d’élever ses privilèges (ex.: attaque par relai NTLM).

Liens :

Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways

Le 14 février 2024, Ivanti a publié un correctif pour la vulnérabilité CVE-2024-22024 concernant les produits Ivanti Connect Secure, Ivanti Policy Secure et ZTA gateways.

Liens

CVE-2024-21762 : Vulnérabilité dans Fortinet FortiOS

Le 15 février 2024, Fortinet a mis a jours la liste des produits affecté par la vulnérabilité critique CVE-2024-21762. Plusieurs versions du serveur mandataire FortiProxy sont concernés.

Liens

Autres vulnérabilités

CVE-2020-3259 : vulnérabilité dans les produits Cisco

Le 15 février 2024, la CISA déclare avoir connaissance de l’exploitation active de la vulnérabilité CVE-2020-3259 par des attaquants [2]. Cette vulnérabilité permet à un attaquant de provoquer une atteinte à la confidentialité sur Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD). Le CERT-FR recommande donc d’appliquer le correctif de sécurité dans les plus brefs délais.

Liens :

CVE-2024-23479, CVE-2024-23476, CVE-2023-40057 : Multiples vulnérabilités dans SolarWinds Access Rights Manager

Le 6 février 2024, SolarWinds a publié les avis de sécurité concernant les vulnérabilités critique CVE-2024-2379, CVE-2024-2376 et CVE-2023-40057 affectant le Access Rights Manager (ARM). Ces vulnérabilités permettent à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.

Liens :

CVE-2024-24691 : Vulnérabilité dans les produits Zoom

Le 13 février 2024, Zoom a publié l’avis de sécurité concernant la vulnérabilité critique CVE-2024-24691 affectant les produits fonctionnant sous windows suivant : Desktop Client, VDI Client, Rooms Client et Meeting SDK. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une élévation de privilèges à distance.

Lien :

 

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 11 mars 2024 au 17 mars 2024, le CERT-FR a émis les publications suivantes :


Dans la période du 11 mars 2024 au 17 mars 2024, le CERT-FR a mis à jour les publications suivantes :