Objet: Bulletin d'actualité CERTFR-2024-ACT-044

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 40

Tableau récapitulatif :

Vulnérabilités critiques du 30/09/24 au 06/10/24

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Mozilla	Firefox	CVE-2024-9401	9.8	Exécution de code arbitraire à distance	01/10/2024	Pas d'information	CERTFR-2024-AVI-0829	https://www.mozilla.org/en-US/security/advisories/mfsa2024-46/
Mozilla	Firefox	CVE-2024-9402	9.8	Exécution de code arbitraire à distance	01/10/2024	Pas d'information	CERTFR-2024-AVI-0829	https://www.mozilla.org/en-US/security/advisories/mfsa2024-46/
Mozilla	Firefox	CVE-2024-9392	9.8	Contournement de la politique de sécurité	01/10/2024	Pas d'information	CERTFR-2024-AVI-0829	https://www.mozilla.org/en-US/security/advisories/mfsa2024-46/
Cisco	Nexus Dashboard Fabric Controller	CVE-2024-20432	9.9	Exécution de code arbitraire à distance	03/10/2024	Pas d'information	CERTFR-2024-AVI-0833	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-cmdinj-UvYZrKfr

Rappel des alertes CERT-FR

Vulnérabilités affectant OpenPrinting CUPS

De multiples vulnérabilités ont été découvertes dans OpenPrinting CUPS et dans le composant cups-browsed. Au total, quatre vulnérabilités ont été identifiées. Elles permettent :

• de récupérer des informations sur le système d'information de la victime;
• d'ajouter automatiquement sur le système une nouvelle imprimante, voire de remplacer une imprimante existante;
• d'exécuter du code arbitraire à distance, lorsque l'utilisateur lance une tâche d'impression sur l'imprimante ajoutée précédemment.

En l'état des connaissances actuelles, si le service cups-browsed est inaccessible, l'attaquant ne peut pas ajouter une imprimante malveillante à l'insu de l'utilisateur, ce qui bloque la chaîne d'exploitation.

Plusieurs éditeurs ont publié des correctifs pour différentes distributions Linux

Liens :

• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-012/
• https://www.suse.com/support/kb/doc/?id=000021571
• https://security-tracker.debian.org/tracker/DLA-3905-1
• https://security-tracker.debian.org/tracker/DSA-5778-1
• https://access.redhat.com/security/vulnerabilities/RHSB-2024-002
• https://ubuntu.com/security/notices/USN-7042-1
• https://ubuntu.com/security/notices/USN-7043-1

Autres vulnérabilités

CVE-2024-30052: Vulnérabilité dans Microsoft Visual Studio

Le 11 juin 2024, Microsoft a publié un avis de sécurité concernant la vulnérabilité CVE-2024-30052 affectant Visual Studio. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire. Le CERT-FR a connaissance de code d'exploitation.

Liens :

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30052
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0489
• https://www.cve.org/CVERecord?id=CVE-2024-30052

CVE-2024-45409: Vulnérabilité dans Ruby-SAML affectant Gitlab

Le 17 septembre 2024, un avis de sécurité a été publié concernant la vulnérabilité CVE-2024-45409 affectant les bibliothèques omniauth-saml et ruby-saml, utilisées par toutes les versions de Gitlab. Le CERT-FR a connaissance de code d'exploitation.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0791/
• https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-041/
• https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-042/
• https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/
• https://www.cve.org/CVERecord?id=CVE-2024-45409

CVE-2024-45519: Vulnérabilité dans les produits Zimbra

Le 5 septembre 2024, Synacore a indiqué avoir corrigé de multiples vulnérabilités dans Zimbra dont la vulnérabilité CVE-2024-45519, permettant l'exécution de code arbitraire à distance. Le CERT-FR a connaissance de codes d'exploitation publics. L'exploitation de cette vulnérabilité repose sur le service postjournal qui n'est pas activé par défaut. Les commandes suivantes peuvent permettre de désactiver le service :

zmlocalconfig -e postjournal_enabled=false
zmcontrol restart

La vulnérabilité est activement exploitée.

Les versions 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 et 10.1.1 corrigent cette vulnérabilité.

Liens :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0742/
• https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P46
• https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P41
• https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.9
• https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.1
• https://www.cve.org/CVERecord?id=CVE-2024-45519

CVE-2024-47806, CVE-2024-47807 : Multiples vulnérabilités dans Jenkins

Le 10 octobre 2024, Jenkins a publié un bulletin de sécurité concernant les vulnérabilités CVE-2024-47806 et CVE-2024-47807 affectant Jenkins. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité.

Liens :

• https://www.jenkins.io/security/advisory/2024-10-02/
• https://www.cve.org/CVERecord?id=CVE-2024-47806
• https://www.cve.org/CVERecord?id=CVE-2024-47807