S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 février 2024
N° CERTFR-2024-ACT-010
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2024-ACT-010

Gestion du document

Référence CERTFR-2024-ACT-010
Titre Bulletin d’actualité CERTFR-2024-ACT-010
Date de la première version26 février 2024
Date de la dernière version26 février 2024
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 8

Tableau récapitulatif :

Vulnérabilités critiques du 19/02/24 au 25/02/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
PostgreSQL JDBC CVE-2024-1597 10 Exécution de code arbitraire à distance 21/02/2024 Pas d'information CERTFR-2024-AVI-0157 https://www.postgresql.org/about/news/postgresql-jdbc-4272-4261-4255-4244-4239-42228-and-42228jre7-security-update-for-cve-2024-1597-2812/
VMware Enhanced Authentication Plug-in (EAP) CVE-2024-22245 9.6 CSRF 20/02/2024 Pas d'information CERTFR-2024-AVI-0153 https://www.vmware.com/security/advisories/VMSA-2024-0003.html

CVE-2024-0057, CVE-2023-26489, CVE-2023-35941 : Multiples vulnérabilités dans les produits Tenable

Le 21 février, Tenable a publié deux avis de sécurité concernant les mises à jour de composants tiers dans le produit Tenable Identity Exposure. Ces mises à jour permettent de corriger de multiples vulnérabilités dont trois sont jugées critiques. La vulnérabilité CVE-2024-0057 (score CVSSv3 9.8) affecte le composant .NET, la vulnérabilité CVE-2023-26489 (score CVSSv3 9.9) affecte le composant wasmtime et la vulnérabilité CVE-2023-35941 (score CVSSv3 9.8) affecte le composant Envoy. Les vulnérabilités corrigées peuvent notamment entraîner l'exécution de code arbitraire à distance ou un déni de service à distance.

Liens :

CVE-2024-22245 : Vulnérabilité dans VMware Enhanced Authentication Plug-in (EAP)

Le 21 févr. 2024, l'éditeur a déclaré avoir connaissance de multiples vulnérabilités dans VMware Enhanced Authentication Plug-in. La vulnérabilité CVE-2024-22245 est jugée critique.

L'éditeur indique que ce composant n'est plus maintenu et qu'il ne bénéficiera pas de correctif de sécurité. L'éditeur indique que le composant doit être désinstallé.

Liens :

CVE-2023-47100 : Vulnérabilité dans IBM AIX

Le 21 févr. 2024, l'éditeur a publié un bulletin de sécurité concernant IBM AIX. Celui-ci contient notamment des informations sur une vulnérabilité critique du composant Perl (CVE-2023-47100) qui peuvent permettre à un attaquant une écriture arbitraire dans des zones mémoires non allouées.

Liens :

Rappel des alertes CERT-FR

CVE-2024-21413 : Vulnérabilité dans Outlook

La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les mesures de sécurité de la suite Office, dont la solution de messagerie Outlook. Plus précisément, son exploitation permet de contourner certaines mesures de sécurité de la suite Office qui empêchent l'accès à une ressource externe sans validation de l'utilisateur.

Ainsi, en utilisant un lien malveillant dans un courriel, un attaquant est en mesure :

  • d'obtenir le condensat NTLM de l'utilisateur, par exemple via le protocole SMB ;
  • si la cible du lien est un document Office, de provoquer l'ouverture du document sans que le mode protégé de Microsoft Office ne soit activé, permettant in fine une exécution de code arbitraire à distance.
Afin de prévenir l'exploitation à distance de cette vulnérabilité, le CERT-FR recommande :
  • D'appliquer la mise à jour fournie par Microsoft dans les meilleurs délais. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
  • D'interdire les flux SMB en sortie du système d'information (TCP/445). Cette règle s'impose également aux postes nomades, dont les flux doivent être sécurisés.
  • De détecter des liens malveillants dans les courriels reçus, par exemple en utilisant une expression régulière.

Liens :

Autres vulnérabilités

CVE-2024-1708 et CVE-2024-1709 : Multiples vulnérabilités dans ConnectWise ScreenConnect

Le 19 février l'éditeur a publié un bulletin de sécurité indiquant l'existence de deux vulnérabilités dans le produit ScreenConnect. La vulnérabilité CVE-2024-1709 est jugée critique et est activement exploitée d'après la CISA [1]. De plus, le CERT-FR a connaissance de codes d'exploitation publics.

Liens :

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 19 février 2024 au 25 février 2024, le CERT-FR a émis les publications suivantes :


Dans la période du 19 février 2024 au 25 février 2024, le CERT-FR a mis à jour les publications suivantes :

Gestion détaillée du document

    le 26 février 2024
    Version initiale