Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 47
Tableau récapitulatif :
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Apple | iOS | CVE-2024-44308 | Exécution de code arbitraire à distance | 19/11/2024 | Exploitée | CERTFR-2024-AVI-1004 | https://support.apple.com/en-us/121752 | |
Apple | iOS | CVE-2024-44309 | XSS | 19/11/2024 | Exploitée | CERTFR-2024-AVI-1004 | https://support.apple.com/en-us/121752 | |
Palo Alto Networks | PAN-OS | CVE-2024-0012 | 9.3 | Contournement de la politique de sécurité | 19/11/2024 | Exploitée | CERTFR-2024-AVI-0990 | https://security.paloaltonetworks.com/CVE-2024-0012 |
Palo Alto Networks | PAN-OS | CVE-2024-9474 | 6.9 | Élévation de privilèges | 19/11/2024 | Exploitée | CERTFR-2024-AVI-1001 | https://security.paloaltonetworks.com/CVE-2024-9474 |
Rappel des alertes CERT-FR
Multiples vulnérabilités sur l'interface d'administration des équipements Palo Alto Networks
Le 8 novembre 2024, Palo Alto Networks a publié un avis de sécurité relatif à une vulnérabilité critique dans certains pare-feux Palo Alto Networks. Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur l'interface d'administration des équipements.
L'éditeur indique dans une mise à jour du 14 novembre 2024 avoir connaissance de l'exploitation de cette vulnérabilité sur des pare-feux exposant leur interface d'administration sur Internet.
Le 18 novembre 2024, l'éditeur a publié un avis de sécurité concernant la vulnérabilité CVE-2024-9474. Celle-ci permet d'élever ses privilèges et peut être utilisée à la suite de la vulnérabilité publiée le 8 novembre 2024, ayant désormais l'identifiant CVE-2024-0012, afin d'obtenir les droits les plus élevés sur l'équipement.
Une preuve de concept permettant l'exploitation de ces deux vulnérabilités est disponible publiquement.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-015/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0990
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1001
- https://security.paloaltonetworks.com/CVE-2024-0012
- https://security.paloaltonetworks.com/CVE-2024-9474
- https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/
- https://www.cve.org/CVERecord?id=CVE-2024-0012
- https://www.cve.org/CVERecord?id=CVE-2024-9474
Multiples vulnérabilités dans Fortinet FortiManager
Une vulnérabilité a été découverte dans Fortinet FortiManager. Elle permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Fortinet indique que la vulnérabilité CVE-2024-47575 est activement exploitée. L'éditeur précise qu'en exploitant cette vulnérabilité, un attaquant est en mesure d'exfiltrer des données contenant des adresses IP, des secrets et des configurations des équipements gérés par le FortiManager.
Le 14 novembre 2024, le CERT-FR a pris connaissance d'une preuve de concept publique permettant l'exploitation d'une vulnérabilité de type jour-zéro affectant l'ensemble des équipements FortiManager et FortiAnalyzer avec la fonctionnalité FortiManager.
Cette vulnérabilité permet à un attaquant contrôlant un équipement FortiGate enregistré de prendre le contrôle de l'équipement FortiManager associé, même sur les versions les plus à jour. Un attaquant peut donc, depuis un équipement FortiGate compromis, se latéraliser vers un équipement FortiManager puis vers d'autres équipements FortiGate même si ces derniers ne sont pas exposés sur Internet et qu'ils bénéficient des derniers correctifs de sécurité.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-014/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0917
- https://www.fortiguard.com/psirt/FG-IR-24-423
- https://cloud.google.com/blog/topics/threat-intelligence/fortimanager-zero-day-exploitation-cve-2024-47575?hl=en
- https://www.cve.org/CVERecord?id=CVE-2024-47575
Autres vulnérabilités
CVE-2024-38812, CVE-2024-38813 : Multiples vulnérabilités dans Broadcom vCenter Server
Le 18 septembre 2024, Broadcom a publié un bulletin de sécurité concernant les vulnérabilités CVE-2024-38812 et CVE-2024-38813 affectant vCenter Server. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges. Elles sont activement exploitées selon la CISA.
Liens :
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0792
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.cve.org/CVERecord?id=CVE-2024-38812
- https://www.cve.org/CVERecord?id=CVE-2024-38813