Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 24
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Microsoft | Windows, Windows Server | CVE-2024-30080 | 9.8 | Exécution de code arbitraire à distance | 11/06/2024 | Pas d'information | CERTFR-2024-AVI-0486 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080 |
| Adobe | Commerce, Magento Open Source , Commerce Webhooks Plugin | CVE-2024-34102 | 9.8 | Exécution de code arbitraire à distance | 11/06/2024 | Pas d'information | CERTFR-2024-AVI-0483 | https://helpx.adobe.com/security/products/magento/apsb24-40.html |
| Siemens | PowerSys | CVE-2024-36266 | 9.3 | Contournement de la politique de sécurité | 11/06/2024 | Pas d'information | CERTFR-2024-AVI-0478 | https://cert-portal.siemens.com/productcert/html/ssa-024584.html |
| Schneider Electric | Sage 1410, Sage 1430, Sage 1450, Sage 2400, Sage 3030, Sage 4400 | CVE-2024-37036 | 9.8 | Contournement de la politique de sécurité | 11/06/2024 | Pas d'information | CERTFR-2024-AVI-0476 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2024-163-05&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2024-163-05.pdf |
| Veeam | Recovery Orchestrator | CVE-2024-29855 | 9.0 | Contournement de la politique de sécurité | 10/06/2024 | Exploitée | CERTFR-2024-AVI-0474 | https://www.veeam.com/kb4585 |
| Pixel | CVE-2024-32896 | Élévation de privilèges | 11/06/2024 | Exploitée | CERTFR-2024-AVI-0492 | https://source.android.com/docs/security/bulletin/pixel/2024-06-01 |
CVE-2024-1874 : Vulnérabilité dans Tenable Security Center
Le 10 juin 2024, Tenable a publié un correctif pour la vulnérabilité critique CVE-2024-1874 qui affecte des versions de PHP utilisées dans Security Center. Son score CVSSv3 est de 9,4 et elle permet une exécution de code arbitraire à distance.Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0475/
- https://www.tenable.com/security/tns-2024-10
CVE-2023-3128 : Vulnérabilité dans le noyau Linux de Red Hat
Le 13 juin 2024, Red Hat a publié un correctif pour la vulnérabilité CVE-2023-3128 qui affecte Grafana. Celle-ci permet à un attaquant non authentifié de prendre le contrôle d'un compte si Azure AD OAuth est configuré avec une application multilocataire. Son score CVSSv3 est de 9,8. Toutefois, Red Hat indique que l'accès Azure Active Directory n'est pas activé par défaut dans la configuration de Grafana sur Red Hat Enterprise Linux 8 et 9.Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0497/
- https://access.redhat.com/errata/RHSA-2024:3925
Autres vulnérabilités
CVE-2024-28995 : Vulnérabilité dans SolarWinds Serv-U
Le 5 juin 2024, Solarwinds a publié un correctif pour la vulnérabilité CVE-2024-28995 affectant Serv-U. Elle permet une traversée de chemin, un attaquant non authentifié peut ainsi lire des fichiers arbitraires sur la machine. Cette vulnérabilité est triviale à exploiter, de plus, une preuve de concept est publiquement disponible.Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0467/
- https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28995
CVE-2024-29824 : Vulnérabilité dans Ivanti Endpoint Manager (EPM)
Une preuve de concept est disponible pour la vulnérabilité CVE-2024-29824 affectant EPM. Cette vulnérabilité permet à un attaquant d'effectuer une injection SQL. Son score CVSSv3 est de 9,6 et un correctif est disponible depuis le 21 mai 2024.Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0434/
- https://forums.ivanti.com/s/article/KB-Security-Advisory-EPM-May-2024
CVE-2024-26229 : Vulnérabilité dans Microsoft Windows
Une preuve de concept est disponible publiquement pour la vulnérabilité CVE-2024-26229 qui permet une élévation de privilèges dans Windows.Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0289/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26229
CVE-2024-29849: Vulnérabilité dans Veeam Backup Enterprise Manager
La vulnérabilité CVE-2024-29849 permet un contournement d'authentification dans Backup Enterprise Manager. Une preuve de concept est publiquement disponible.Liens :
CVE-2024-4577 : Vulnérabilité dans PHP
La vulnérabilité CVE-2024-4577 affecte PHP avec certaines localisations. Cette vulnérabilité était déjà activement exploitée. Désormais une preuve de concept est publiquement disponible.Liens :
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-025/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0468/
- https://www.php.net/ChangeLog-8.php#8.1.29
- https://www.php.net/ChangeLog-8.php#8.2.20
- https://www.php.net/ChangeLog-8.php#8.3.8
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
