Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 4
Tableau récapitulatif :
Vulnérabilités critiques du 21/01/24 au 28/01/24
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Cisco | Unified Communications | CVE-2024-20253 | 9.9 | Exécution de code arbitraire à distance | 24/01/2024 | Pas d’information | CERTFR-2024-AVI-0068 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm |
| Apple | Webkit | CVE-2024-23222 | 8.8 | Exécution de code arbitraire à distance | 23/01/2024 | Exploitée | CERTFR-2024-AVI-0062 | https://support.apple.com/en-us/HT214056 |
| Gitlab | Gitlab CE/EE | CVE-2024-0402 | 9.9 | Exécution de code arbitraire à distance | 26/01/2024 | Pas d’information | CERTFR-2024-AVI-0069 | https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/ |
Vulnérabilités dans IBM Spectrum Protect Plus
Le 22 janvier 2024, IBM a publié un bulletin de sécurité concernant IBM Spectrum Protect Plus. Celui-ci contient notamment des informations sur trois vulnérabilités critiques du composant Golang (CVE-2023-29402, CVE-2023-29404 et CVE-2023-29405) qui peuvent permettre une exécution de code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0074/
- https://www.ibm.com/support/pages/node/7096482
Autres vulnérabilités
Vulnérabilité GoAnywhere MFT
CVE-2024-0204: Vulnérabilité dans GoAnywhere MFT
Le 22 janvier 2024, l’éditeur Fortra a publié un bulletin de sécurité présentant la vulnérabilité CVE-2024-0204. Il s’agit d’un contournement de la politique de sécurité permettant la création d’un compte administrateur sur la plateforme GoAnywhere MFT. Le CERT-FR a connaissance de codes d’exploitation publics.
Liens :
CVE-2024-23897 : Vulnérabilité dans Jenkins
Le 24 janvier 2024, l’éditeur Jenkins a publié un bulletin de sécurité pour indiquer la disponibilité d’une mise à jour corrigeant la vulnérabilité CVE-2024-23897. Cette vulnérabilité permet à des utilisateurs non authentifiés de lire des fichiers arbitraires du système. L’exploitation de cette vulnérabilité peut conduire à l’exécution de code arbitraire à distance. Les déploiements de Jenkins avec des versions antérieures à 2.442 ou version LTS 2.426.3 avec le mode d’authentification « legacy », la fonctionnalité d’enregistrement de compte ou la configuration « Allow anonymous read access » sont vulnérables. Le CERT-FR a connaissance de plusieurs codes d’exploitation publics.
Le bulletin de sécurité présente également d’autres vulnérabilités de gravité moins importante.
Liens :
Multiples vulnérabilités dans les produits Zyxel
Le CERT-FR a connaissance de codes d’exploitations publics permettant à un attaquant non authentifié d’exécuter du code arbitraire à distance dans les produits Zyxel VPN. Les équipements VPN50, VPN100, VPN300, VPN500, et VPN1000 avec des versions de micrologiciel comprises entre 5.21 et 5.36 sont vulnérables.
Liens :
- https://www.zyxel.com/us/en-us/support/download?model=vpn50
- https://www.zyxel.com/us/en-us/support/download?model=vpn100
- https://www.zyxel.com/us/en-us/support/download?model=vpn300
- https://www.zyxel.com/us/en-us/support/download?model=vpn1000
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 22 au 28 janvier 2024, le CERT-FR a émis les publications suivantes :
- CERTFR-2024-AVI-0058 : Vulnérabilité dans Postfix
- CERTFR-2024-AVI-0059 : Vulnérabilité dans Spring Framework
- CERTFR-2024-AVI-0060 : Vulnérabilité dans Xen
- CERTFR-2024-AVI-0061 : Multiples vulnérabilités dans les produits Splunk
- CERTFR-2024-AVI-0062 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2024-AVI-0063 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2024-AVI-0064 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2024-AVI-0065 : Vulnérabilité dans Citrix Hypervisor
- CERTFR-2024-AVI-0066 : Vulnérabilité dans Squid
- CERTFR-2024-AVI-0067 : Multiples vulnérabilités dans les produits NetApp
- CERTFR-2024-AVI-0068 : Vulnérabilité dans Cisco Unified Communications
- CERTFR-2024-AVI-0069 : Multiples vulnérabilités dans Gitlab
- CERTFR-2024-AVI-0070 : Vulnérabilité dans Synology DiskStation Manager
- CERTFR-2024-AVI-0071 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2024-AVI-0072 : Multiples vulnérabilités dans les produits Juniper
- CERTFR-2024-AVI-0073 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2024-AVI-0074 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2024-AVI-0075 : Multiples vulnérabilités dans le noyau Linux de RedHat
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2023-AVI-1019 : Vulnérabilité dans les produits Cisco
