Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 10

Tableau récapitulatif :

Vulnérabilités critiques du 06/03/23 au 12/03/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Google Android CVE-2023-20954 Pas d’information Exécution de code arbitraire à distance 06/03/2023 Pas d’information CERTFR-2023-AVI-0209 https://source.android.com/docs/security/bulletin/2023-03-01?hl=fr
Google Android CVE-2023-20951 Pas d’information Exécution de code arbitraire à distance 06/03/2023 Pas d’information CERTFR-2023-AVI-0209 https://source.android.com/docs/security/bulletin/2023-03-01?hl=fr
Fortinet FortiAnalyzer, FortiAuthenticator, FortiDeceptor, FortiMail, FortiManager, FortiPortal, FortiSwitch, FortiNAC, FortiOS, FortiProxy, FortiOS-6K7K, FortiRecorder, FortiSOAR, FortiWeb CVE-2023-25610 9.3 Exécution de code arbitraire à distance 07/03/2023 Exploitée CERTFR-2023-AVI-0199 https://www.fortiguard.com/psirt/FG-IR-22-488
https://www.fortiguard.com/psirt/FG-IR-22-447
https://www.fortiguard.com/psirt/FG-IR-20-078
https://www.fortiguard.com/psirt/FG-IR-18-232
https://www.fortiguard.com/psirt/FG-IR-22-281
https://www.fortiguard.com/psirt/FG-IR-22-309
https://www.fortiguard.com/psirt/FG-IR-22-477
https://www.fortiguard.com/psirt/FG-IR-22-369
https://www.fortiguard.com/psirt/FG-IR-23-001
https://www.fortiguard.com/psirt/FG-IR-22-401
https://www.fortiguard.com/psirt/FG-IR-22-364
https://www.fortiguard.com/psirt/FG-IR-22-388
https://www.fortiguard.com/psirt/FG-IR-23-050
https://www.fortiguard.com/psirt/FG-IR-22-254
https://www.fortiguard.com/psirt/FG-IR-21-218
Moxa MXsecurity ZDI-CAN-19895 7.2 Exécution de code arbitraire à distance 08/03/2023 Pas d’information CERTFR-2023-AVI-0204 https://www.moxa.com/en/support/product-support/security-advisory/mxsecurity-command-injection-and-hardcoded-credential-vulnerabilities
Moxa MXsecurity ZDI-CAN-19896 9.8 Contournement de la politique de sécurité 08/03/2023 Pas d’information CERTFR-2023-AVI-0204 https://www.moxa.com/en/support/product-support/security-advisory/mxsecurity-command-injection-and-hardcoded-credential-vulnerabilities
SPIP  SPIP CVE-2023-27372 9.8 Exécution de code arbitraire à distance 27/02/2023 Exploitée CERTFR-2023-AVI-0213 https://blog.spip.net/Mise-a-jour-critique-de-securite-sortie-de-SPIP-4-2-1-SPIP-4-1-8-SPIP-4-0-10-et.html?lang=fr

 

CVE-2023-27898,  CVE-2023-27905: Multiples vulnérabilités dans Jenkins

Une chaîne de vulnérabilités, baptisée CorePlague, a été découverte dans les serveurs Jenkins et le centre de mises à jour (CVE-2023-27898, CVE-2023-27905). L’exploitation de ces vulnérabilités permet à un attaquant non authentifié d’exécuter du code arbitraire à distance sur un serveur Jenkins, pouvant entraîner une compromission complète du serveur.

En outre, ces vulnérabilités peuvent être exploitées et ce, même si le serveur Jenkins n’est pas directement accessible par les attaquants et impactent également les serveurs Jenkins auto-hébergés.

Le CERT-FR a connaissance de codes d’exploitation publiquement disponibles.

Liens:

 

CVE-2023-27372: Vulnérabilité dans SPIP

La vulnérabilité critique CVE-2023-27372 affectant SPIP permet une exécution de code arbitraire à distance, son score CVSSv3 est 9,8.

SPIP a publié un correctif de sécurité le 27 février 2023. Le lendemain, un nouveau correctif a été publié pour corriger un problème induit par la mise à jour de sécurité.

Le CERT-FR a connaissance d’au moins un code d’exploitation public ainsi que de nombreux sites Web utilisant SPIP qui n’ont pas appliqué la mise à jour.

Liens:

 

CVE-2023-33235 (ZDI-CAN-19895),  CVE-2023-33236(ZDI-CAN-19896) : Multiples vulnérabilités dans Moxa MXsecurity

Une vulnérabilité référencée CVE-2023-33235 (ZDI-CAN-19895) a été découverte dans le programme SSH CLI. Elle peut être exploitée par des attaquants ayant obtenu des privilèges d’autorisation. L’attaque consiste en l’échappement du terminal restreint offrant la possibilité d’y exécuter du code arbitraire à distance.

Une vulnérabilité référencée CVE-2023-33236(ZDI-CAN-19896) a été découverte. Celle-ci tire parti de la création de jetons JWT arbitraires permettant in fine le contournement de l’authentification pour les API basées sur le web. Ceci est dû à l’utilisation d’informations d’identification codées en dur.

Liens:


La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Rappel des avis émis

Dans la période du 06 au 12 mars 2023, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :