Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 42
Tableau récapitulatif :
Vulnérabilités critiques du 16/10/23 au 22/10/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| AXIS | AXIS OS | CVE-2023-21413 | 9.1 | Exécution de code arbitraire à distance | 16/10/2023 | Pas d’information | CERTFR-2023-AVI-0849 | https://www.axis.com/dam/public/ad/ff/83/cve-2023-21413pdf-en-US-412755.pdf |
| VMware | VMware Aria Operations for Logs | CVE-2023-34051 | 8.1 | Exécution de code arbitraire à distance | 19/10/2023 | Informations publiques | CERTFR-2023-AVI-0870 | https://www.vmware.com/security/advisories/VMSA-2023-0021.html |
| SonicWall | Pare-feux | CVE-2023-39277 | 7.7 | Déni de service à distance | 17/10/2023 | Informations publiques | CERTFR-2023-AVI-0852 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012 |
| SonicWall | Pare-feux | CVE-2023-39278 | 7.7 | Déni de service à distance | 17/10/2023 | Informations publiques | CERTFR-2023-AVI-0852 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012 |
| SonicWall | Pare-feux | CVE-2023-39279 | 7.7 | Déni de service à distance | 17/10/2023 | Informations publiques | CERTFR-2023-AVI-0852 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012 |
| SonicWall | Pare-feux | CVE-2023-39280 | 7.7 | Déni de service à distance | 17/10/2023 | Informations publiques | CERTFR-2023-AVI-0852 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012 |
| SonicWall | Pare-feux | CVE-2023-41711 | 7.7 | Déni de service à distance | 17/10/2023 | Informations publiques | CERTFR-2023-AVI-0852 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012 |
| SonicWall | Pare-feux | CVE-2023-41712 | 7.7 | Déni de service à distance | 17/10/2023 | Informations publiques | CERTFR-2023-AVI-0852 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012 |
| SonicWall | Pare-feux | CVE-2023-41713 | 4.3 | Contournement de la politique de sécurité | 17/10/2023 | Informations publiques | CERTFR-2023-AVI-0852 | https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0012 |
| Oracle | WebLogic Server | CVE-2022-29599 | 9.8 | Exécution de code arbitraire à distance | 17/10/2023 | Pas d’information | CERTFR-2023-AVI-0861 | https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW |
| Oracle | WebLogic Server | CVE-2023-22069 | 9.8 | Exécution de code arbitraire à distance | 17/10/2023 | Pas d’information | CERTFR-2023-AVI-0861 | https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW |
| Oracle | WebLogic Server | CVE-2023-22072 | 9.8 | Exécution de code arbitraire à distance | 17/10/2023 | Pas d’information | CERTFR-2023-AVI-0861 | https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW |
| Oracle | WebLogic Server | CVE-2023-22089 | 9.8 | Exécution de code arbitraire à distance | 17/10/2023 | Pas d’information | CERTFR-2023-AVI-0861 | https://www.oracle.com/security-alerts/cpuoct2023verbose.html#FMW |
| Oracle | WebLogic Server, PeopleSoft Enterprise HCM Global Payroll Switzerland | CVE-2022-42920 | 9.8 | Exécution de code arbitraire à distance | 17/10/2023 | Pas d’information | CERTFR-2023-AVI-0864 | https://www.oracle.com/security-alerts/cpuoct2023verbose.html#PS |
| Cisco | IOS XE Web UI | CVE-2023-20198 | 10 | Exécution de code arbitraire à distance | 16/10/2023 | Exploitée | CERTFR-2023-AVI-0878 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z |
| Cisco | IOS XE Web UI | CVE-2023-20273 | 7.2 | Élévation de privilèges | 16/10/2023 | Exploitée | CERTFR-2023-AVI-0878 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z |
CVE-2023-34034 : Vulnérabilité dans Oracle MySQL
La vulnérabilité CVE-2023-34034 affecte Spring Security, l’un des composants d’Oracle MySQL. Elle permet à un attaquant de prendre le contrôle de MySQL Enterprise Monitor. Son score CVSSv3 est 9,8.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0863/
- https://www.oracle.com/security-alerts/cpuoct2023.html
- https://www.oracle.com/security-alerts/cpuoct2023verbose.html#MSQL
Alertes CERT-FR
CVE-2023-20198 et CVE-2023-20273 : Multiples vulnérabilités dans Cisco IOS XE
Les vulnérabilités CVE-2023-20198 et CVE-2023-20273 sont activement exploitées. Elles permettent à un attaquant non authentifié de prendre le contrôle des équipements vulnérables par le biais de l’interface de gestion Web. Le CERT-FR rappelle que l’exposition d’une interface d’administration sur Internet est contraire aux bonnes pratiques.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-011/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0878/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
CVE-2023-34051 : Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway
La vulnérabilité CVE-2023-34051 permet à un attaquant de prendre le contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Elle est activement exploitée.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-012/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0823/
- https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
Autres vulnérabilités
CVE-2023-4069 : Vulnérabilité dans Google Chrome
Le chercheur qui a découvert la vulnérabilité CVE-2023-4069 affectant Chrome (et Edge) a publié ses travaux.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0631/
- https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop.html
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 16 au 22 octobre 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-ALE-011 : [MàJ] Multiples vulnérabilités dans Cisco IOS XE
- CERTFR-2023-AVI-0846 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2023-AVI-0847 : Vulnérabilité dans Grafana
- CERTFR-2023-AVI-0848 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-0849 : Multiples vulnérabilités dans AXIS OS
- CERTFR-2023-AVI-0850 : Multiples vulnérabilités dans les produits Nextcloud
- CERTFR-2023-AVI-0851 : Vulnérabilité dans Stormshield Management Center
- CERTFR-2023-AVI-0852 : Multiples vulnérabilités dans SonicWall SonicOS
- CERTFR-2023-AVI-0853 : Vulnérabilité dans Roundcube Webmail
- CERTFR-2023-AVI-0854 : Multiples vulnérabilités dans Moodle
- CERTFR-2023-AVI-0855 : Vulnérabilité dans Aruba Networking AirWave Management Platform
- CERTFR-2023-AVI-0856 : Vulnérabilité dans Google Chrome
- CERTFR-2023-AVI-0857 : Vulnérabilité dans Sophos Firewall
- CERTFR-2023-AVI-0858 : Vulnérabilité dans Elastic Endpoint
- CERTFR-2023-AVI-0859 : Multiples vulnérabilités dans Moodle
- CERTFR-2023-AVI-0860 : Multiples vulnérabilités dans Oracle Database Server
- CERTFR-2023-AVI-0861 : Multiples vulnérabilités dans Oracle WebLogic
- CERTFR-2023-AVI-0862 : Multiples vulnérabilités dans Oracle Java SE
- CERTFR-2023-AVI-0863 : Multiples vulnérabilités dans Oracle MySQL
- CERTFR-2023-AVI-0864 : Multiples vulnérabilités dans Oracle PeopleSoft
- CERTFR-2023-AVI-0865 : Multiples vulnérabilités dans Oracle Systems
- CERTFR-2023-AVI-0866 : Multiples vulnérabilités dans Oracle Virtualization
- CERTFR-2023-AVI-0867 : Vulnérabilité dans Spring AMQP
- CERTFR-2023-AVI-0868 : Multiples vulnérabilités dans Apache HTTP Server
- CERTFR-2023-AVI-0869 : Multiples vulnérabilités dans Zimbra Collaboration
- CERTFR-2023-AVI-0870 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2023-AVI-0871 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-0872 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2023-AVI-0873 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2023-AVI-0874 : Multiples vulnérabilités dans le noyau Linux de DebianLTS
