Objet: Bulletin d’actualité CERTFR-2023-ACT-047

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 43

Tableau récapitulatif :

Vulnérabilités critiques du 23/10/23 au 29/10/23

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Liferay	DXP, Portal	CVE-2023-42627	9.6	Injection de code indirecte à distance (XSS)	13/10/2023	Pas d’information	CERTFR-2023-AVI-0892	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42627
Liferay	DXP, Portal	CVE-2023-44311	9.6	Injection de code indirecte à distance (XSS)	17/10/2023	Pas d’information	CERTFR-2023-AVI-0892	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44311
Liferay	DXP, Portal	CVE-2023-42628	9.0	Injection de code indirecte à distance (XSS)	13/10/2023	Pas d’information	CERTFR-2023-AVI-0892	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42628
Liferay	DXP, Portal	CVE-2023-42497	9.6	Injection de code indirecte à distance (XSS)	17/10/2023	Pas d’information	CERTFR-2023-AVI-0880	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42497
Liferay	DXP, Portal	CVE-2023-44310	9.0	Injection de code indirecte à distance (XSS)	17/10/2023	Pas d’information	CERTFR-2023-AVI-0892	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44310
Liferay	DXP, Portal	CVE-2023-44309	9.0	Injection de code indirecte à distance (XSS)	17/10/2023	Pas d’information	CERTFR-2023-AVI-0892	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-44309
Liferay	DXP, Portal	CVE-2023-42629	9.0	Injection de code indirecte à distance (XSS)	17/10/2023	Pas d’information	CERTFR-2023-AVI-0892	https://liferay.dev/portal/security/known-vulnerabilities/-/asset_publisher/jekt/content/cve-2023-42629
F5	BIG-IP	CVE-2023-46747	9.8	Exécution de code arbitraire à distance	26/10/2023	Preuve de concept publique	CERTFR-2023-AVI-0897	https://my.f5.com/manage/s/article/K000137353
VMware	vCenter, VCF	CVE-2023-34048	9.8	Exécution de code arbitraire à distance	25/10/2023	Pas d’information	CERTFR-2023-AVI-0885	https://www.vmware.com/security/advisories/VMSA-2023-0023.html

 

Alertes CERT-FR

CVE-2023-20198, CVE-2023-20273 : Multiples vulnérabilités affectant Cisco IOS XE

Le 16 et le 22 octobre 2023, Cisco a publié et mis à jour son avis de sécurité concernant les vulnérabilités CVE-2023-20198 et CVE-2023-20273 affectant l’interface Web de gestion d’IOS XE (webui). Ces deux vulnérabilités sont activement exploitées.
L’éditeur a mis à jour son avis afin d’indiquer la mise à disposition de correctifs de sécurité dans les versions 17.9.4a, 17.6.6a et 16.12.10a d’IOS XE.

Liens :

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-011/

CVE-2023-4966 : Vulnérabilité affectant Citrix NetScaler ADC et NetScaler Gateway

Le 10 octobre 2023, Citrix a publié un avis de sécurité concernant la vulnérabilité CVE-2023-4966 affectant les produits NetScaler ADC et NetScaler Gateway. L’éditeur lui a donné un score CVSSv3 de 9.4 et a indiqué qu’elle permet une atteinte à la confidentialité des données. L’exploitation active de cette vulnérabilité a été confirmée par l’éditeur le 17 octobre 2023.
Le 24 octobre 2023, des chercheurs ont publié des détails techniques sur la vulnérabilité. Des codes d’exploitation sont désormais disponibles sur Internet.

Liens :

• https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967
• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-012/

Autres vulnérabilités

CVE-2023-46604 : Vulnérabilité affectant Apache ActiveMQ

Le 27 octobre 2023, Apache Software Foundation a publié un avis de sécurité afin d’annoncer la correction d’une vulnérabilité permettant, in fine, d’exécuter du code arbitraire sur le serveur (broker) en manipulant des types de classes sérialisées dans le protocole OpenWire.

Apache a attribué un score CVSSv3 de 10 pour cette vulnérabilité CVE-2023-46604.

Liens :

• https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt

CVE-2023-22074 : Vulnérabilité affectant Oracle Database Server

Le 18 octobre 2023, Oracle a corrigé une vulnérabilité permettant à un attaquant authentifié et avec de haut privilège de compromettre le composant Oracle Database Sharding. Par ce biais, un attaquant peut réaliser un déni de service partiel du composant.

Des codes d’exploitation sont disponibles sur Internet pour cette vulnérabilité.

Liens :

• https://www.oracle.com/security-alerts/cpuoct2023verbose.html#DB
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0860/

CVE-2023-32707 : Vulnérabilité affectant Splunk

Le 1 juin 2023, l’éditeur a corrigé une vulnérabilité dans Splunk permettant à un attaquant authentifié de réaliser une élévation de privilèges afin de disposer de droits administrateur.

Des codes d’exploitation sont désormais disponibles sur Internet.

Liens :

• https://advisory.splunk.com/advisories/SVD-2023-0602
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0428/

 

---

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 23 au 29 octobre 2023, le CERT-FR a émis les publications suivantes :

• CERTFR-2023-ALE-012 : [MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway
• CERTFR-2023-AVI-0875 : Vulnérabilité dans Qnap QUSBCam2
• CERTFR-2023-AVI-0876 : Multiples vulnérabilités dans Squid
• CERTFR-2023-AVI-0877 : Vulnérabilité dans Microsoft Edge
• CERTFR-2023-AVI-0878 : Multiples vulnérabilités dans Cisco IOS XE
• CERTFR-2023-AVI-0879 : Multiples vulnérabilités dans SolarWinds Access Rights Manager
• CERTFR-2023-AVI-0880 : Vulnérabilité dans les produits Liferay
• CERTFR-2023-AVI-0881 : Multiples vulnérabilités dans les produits Mozilla
• CERTFR-2023-AVI-0882 : Vulnérabilité dans OpenSSL
• CERTFR-2023-AVI-0883 : Multiples vulnérabilités dans Google Chrome
• CERTFR-2023-AVI-0884 : Multiples vulnérabilités dans Aruba ClearPass Policy Manager
• CERTFR-2023-AVI-0885 : Multiples vulnérabilités dans VMware vCenter
• CERTFR-2023-AVI-0886 : Multiples vulnérabilités dans Tenable Identity Exposure
• CERTFR-2023-AVI-0887 : Multiples vulnérabilités dans les produits SonicWall
• CERTFR-2023-AVI-0888 : Multiples vulnérabilités dans ClamAV
• CERTFR-2023-AVI-0889 : Multiples vulnérabilités dans les produits Tenable
• CERTFR-2023-AVI-0890 : Multiples vulnérabilités dans les produits Apple
• CERTFR-2023-AVI-0891 : Multiples vulnérabilités dans les produits Ivanti
• CERTFR-2023-AVI-0892 : Multiples vulnérabilités dans les produits Liferay
• CERTFR-2023-AVI-0893 : Vulnérabilité dans Roundcube Webmail
• CERTFR-2023-AVI-0894 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2023-AVI-0895 : Multiples vulnérabilités dans le noyau Linux de Ubuntu
• CERTFR-2023-AVI-0896 : Multiples vulnérabilités dans VMware Tools
• CERTFR-2023-AVI-0897 : Vulnérabilité dans F5 BIG-IP

Durant la même période, les publications suivantes ont été mises à jour :

• CERTFR-2023-AVI-0827 : Multiples vulnérabilités dans Microsoft Windows
• CERTFR-2023-AVI-0871 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
• CERTFR-2023-AVI-0872 : Multiples vulnérabilités dans le noyau Linux de RedHat
• CERTFR-2023-AVI-0873 : Multiples vulnérabilités dans le noyau Linux de SUSE