Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 26
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Progress | MoveIt Gateway | CVE-2024-5805 | 9.1 | Contournement de la politique de sécurité | 26/06/2024 | Pas d'information | CERTFR-2024-AVI-0520 | https://community.progress.com/s/article/MOVEit-Gateway-Critical-Security-Alert-Bulletin-June-2024-CVE-2024-5805 |
| Progress | MOVEit Transfer | CVE-2024-5806 | 9.1 | Contournement de la politique de sécurité | 25/06/2024 | Code d'exploitation public | CERTFR-2024-AVI-0520 | https://community.progress.com/s/article/MOVEit-Transfer-Product-Security-Alert-Bulletin-June-2024-CVE-2024-5806 |
| Gitlab | Gitlab | CVE-2024-5655 | 9.6 | Contournement de la politique de sécurité | 27/06/2024 | Pas d'information | CERTFR-2024-AVI-0521 | https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/ |
| Juniper Networks | Session Smart Router, Session Smart Conductor, WAN Assurance Router | CVE-2024-2973 | 10 | Contournement de la politique de sécurité, Exécution de code arbitraire à distance | 27/06/2024 | Pas d'information | CERTFR-2024-AVI-0525 | https://supportportal.juniper.net/s/article/2024-06-Out-Of-Cycle-Security-Bulletin-Session-Smart-Router-SSR-On-redundant-router-deployments-API-authentication-can-be-bypassed-CVE-2024-2973 |
Autres vulnérabilités
Microsoft publie des identifiants de vulnérabilité pour ses services d'informatique nuagique
Dans un article de blogue publié le 27 juin 2024, Microsoft a annoncé son intention de publier des identifiants CVE pour les vulnérabilités affectant ses services d'informatique nuagique. Les bulletins de sécurité associés préciseront que la correction de la vulnérabilité ne demande pas d'action de la part de l'utilisateur.Un premier exemple de ce type de vulnérabilité a également été publié, avec l'identifiant CVE-2024-35260. Cette vulnérabilité concerne le service Microsoft Dataverse et permet l'exécution de code arbitraire à distance.
Ce type de vulnérabilité n'a pas vocation à faire l'objet d'avis de sécurité de la part du CERT-FR pour le moment.
Liens :
- https://msrc.microsoft.com/blog/2024/06/toward-greater-transparency-unveiling-cloud-service-cves/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-35260
CVE-2024-29973 : Vulnérabilité dans les produits Zyxel
Le 4 juin 2024, Zyxel a publié un bulletin de sécurité indiquant la présence de cinq vulnérabilités dans les produits NAS326 et NAS542. Le CERT-FR a connaissance de tentatives d'exploitations de la vulnérabilité CVE-2024-29973. Des versions correctives sont disponibles.Liens :
- https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
- https://www.cve.org/CVERecord?id=CVE-2024-29973
Exploitations de différentes vulnérabilités
Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitations de la vulnérabilité CVE-2024-22729 affectant les routeurs Netis MW5360. La vulnérabilité permet l'exécution de commandes arbitraires à distance.De plus, la CISA a indiqué avoir connaissance de l'exploitation des vulnérabilités suivantes :
- CVE-2022-2586 : élévation de privilèges dans le module nf_tables du noyau Linux
- CVE-2020-13965: injection de code indirecte à distance (XSS) dans Roundcube versions antérieures à 1.3.12 et 1.4.5
Liens :
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.cve.org/CVERecord?id=CVE-2022-2586
- https://www.cve.org/CVERecord?id=CVE-2020-13965
- https://www.cve.org/CVERecord?id=CVE-2024-22729
CVE-2024-34102 : Vulnérabilité critique dans Magento
Le 11 juin 2024, Adobe a publié un bulletin de sécurité concernant la vulnérabilité CVE-2024-34102 qui permet l'exécution de code arbitraire à distance sur les instances Magento vulnérables.Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitations de cette vulnérabilité.
Liens :
- https://helpx.adobe.com/fr/security/products/magento/apsb24-40.html
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0483/
Multiples vulnérabilités dans les produits D-Link
Le CERT-FR a connaissance de tentatives d'exploitations de la vulnérabilité CVE-2024-0769 sur des équipements D-Link DIR-859. Cette vulnérabilité permet une atteinte à la confidentialité des données. De plus, le CERT-FR a connaissance des codes d'exploitation publics relatifs aux vulnérabilités CVE-2024-33110, CVE-2024-33111, CVE-2024-33112 et CVE-2024-33113. Ces vulnérabilités permettent un contournement d'authentification, une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS). Elles affectent les équipements D-LINK DIR-845L.Liens :
- https://www.cve.org/CVERecord?id=CVE-2024-0769
- https://www.cve.org/CVERecord?id=CVE-2024-33110
- https://www.cve.org/CVERecord?id=CVE-2024-33111
- https://www.cve.org/CVERecord?id=CVE-2024-33112
- https://www.cve.org/CVERecord?id=CVE-2024-33113
Compromission de plusieurs greffons Wordpress
Le 24 juin 2024, l'équipe de sécurité de Wordpress a annoncé avoir désactivé le greffon "Social Warfare" qui avait été compromis et qui ajoutait des utilisateurs privilégiés sur les instances ciblées. Les chercheurs de la société Wordfence ont de plus indiqué que quatre autres greffons ont été compromis de la même façon (Blaze Widget, Wrapper Link Element, Contact Form 7 Multi-Step Addon et Simply Show Hooks).Wordpress a également publié une mise à jour corrigeant plusieurs vulnérabilités le même jour.
Liens :
- https://wordpress.org/support/topic/a-security-message-from-the-plugin-review-team/
- https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/
- https://wordpress.org/news/2024/06/wordpress-6-5-5/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0516/
CVE-2024-4196 et CVE-2024-4197 : Vulnérabilités dans Avaya IP Office
Le 11 juin 2024, Avaya a publié un bulletin de sécurité annonçant deux vulnérabilités critiques affectant Avaya IP Office. Les vulnérabilités CVE-2024-4196 et CVE-2024-4197 permettent l'exécution de code arbitraire à distance sur les systèmes de téléphonie Avaya IP Office en versions antérieures à 11.1.3.1.Lien :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
