Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 41
Tableau récapitulatif :
CVE-2016-0746 et CVE-2017-20005 : Multiples vulnérabilités Juniper Networks Junos OS
Le 9 septembre 2024, Juniper Networks a publié des correctifs de sécurité corrigeant des vulnérabilités critiques affectant NGINX, utilisé par plusieurs versions de Junos OS.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0866/
- https://supportportal.juniper.net/s/article/2024-10-Security-Bulletin-Junos-OS-Multiple-vulnerabilities-in-OSS-component-nginx-resolved?language=en_US
Rappel des alertes CERT-FR
CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177 : Multiples vulnérabilités dans OpenPrinting CUPS
Le 28 septembre 2024, Elastic Security Labs a publié des règles de détection au format propriétaire de l'éditeur, qui sont confirmées par les analyses du CERT-FR pour la détection des attaques connues.
Lien :
Autres vulnérabilités
CVE-2024-8190 et CVE-2024-8963 : Multiples vulnérabilités dans Ivanti Cloud Services Appliance (CSA)
Le 10 septembre 2024, Ivanti a publié un avis de sécurité concernant la vulnérabilité CVE-2024-8190 qui permet à un attaquant authentifié, en tant qu'administrateur, d'exécuter du code arbitraire à distance sur un équipement CSA.
Le 13 septembre 2024, l'éditeur a ajouté que cette vulnérabilité était activement exploitée dans le cadre d'attaques ciblées.
Quelques jours plus tard, une preuve de concept était publiquement disponible.
Le 19 septembre 2024, Ivanti a publié un nouvel avis de sécurité affectant CSA. La vulnérabilité CVE-2024-8963 permet à un attaquant non authentifié de contourner l'authentification et d'obtenir les droits administrateur.
L'éditeur a précisé que les vulnérabilités CVE-2024-8190 et CVE-2024-8963 étaient activement exploitées.
Le CERT-FR a connaissance de détails révélés, à propos de la vulnérabilité CVE-2024-8963, qui vont favoriser l'exploitation de la chaîne de vulnérabilités.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0784/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0796/
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-042/
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Cloud-Service-Appliance-CSA-CVE-2024-8190
- https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-CSA-4-6-Cloud-Services-Appliance-CVE-2024-8963
CVE-2024-23113 : Vulnérabilité dans les produits Fortinet
Le 8 février 2024 a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-23113, affectant plusieurs produits Fortinet et qui permet une exécution de code arbitraire à distance.
La CISA l'a ajoutée à son catalogue de vulnérabilités réputées activement exploitées.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0108/
- https://www.fortiguard.com/psirt/FG-IR-24-029
CVE-2024-5910 : Vulnérabilité dans Palo Alto Networks Expedition
Une preuve de concept est publiquement disponible pour la vulnérabilité critique CVE-2024-5910 affectant Expedition de Palo Alto Networks.
Elle permet à un attaquant de réinitialiser le mot de passe administrateur à sa valeur par défaut, qui est publiquement disponible.
L'exploitation de la vulnérabilité CVE-2024-5910 est triviale.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0567/
- https://security.paloaltonetworks.com/CVE-2024-5910
CVE-2024-40711 : Vulnérabilité dans Veeam
Le CERT-FR a connaissance d'exploitations actives de la vulnérabilité critique CVE-2024-40711.
Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance.
Liens :
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.