Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 11
Tableau récapitulatif :
Vulnérabilités critiques du 13/03/23 au 19/03/23
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
Microsoft | Microsoft Outlook, Microsoft Office, Microsoft 365 Apps pour Entreprise | CVE-2023-23397 | 9.8 | Élévation de privilèges | 14/03/2023 | Exploitée | CERTFR-2023-AVI-0234 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397 |
Microsoft | Windows 11, Windows Server | CVE-2023-23392 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0232 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23392 |
Microsoft | Windows 10, Windows 11, Windows Server | CVE-2023-21708 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0232 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21708 |
Microsoft | Windows 10, Windows 11, Windows Server | CVE-2023-23415 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0232 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23415 |
Adobe | ColdFusion 2018, ColdFusion 2021 | CVE-2023-26359 | 9.8 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0227 | https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html |
Adobe | ColdFusion 2018, ColdFusion 2021 | CVE-2023-26360 | 8.6 | Exécution de code arbitraire à distance | 14/03/2023 | Exploitée | CERTFR-2023-AVI-0227 | https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html |
Aruba | ClearPass Policy Manager | CVE-2023-25589 | 9.8 | Contournement de la politique de sécurité | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0226 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-003.txt |
Siemens | SCALANCE | CVE-2022-32207 | 9.8 | Contournement de la politique de sécurité | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0220 | https://cert-portal.siemens.com/productcert/html/ssa-419740.html |
Siemens | Mendix SAML | CVE-2023-25957 | 9.1 | Contournement de la politique de sécurité | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0220 | https://cert-portal.siemens.com/productcert/html/ssa-851884.html |
Siemens | SCALANCE | CVE-2022-0547 | 9.8 | Contournement de la politique de sécurité | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0220 | https://cert-portal.siemens.com/productcert/html/ssa-419740.html |
IBM | Sterling B2B Integrator | CVE-2021-23450 | 9.8 | Exécution de code arbitraire à distance | 08/03/2023 | Pas d’information | CERTFR-2023-AVI-0238 | https://www.ibm.com/support/pages/node/6963652 |
IBM | Cognos Analytics | CVE-2021-3711 | 9.8 | Élévation de privilèges | 10/03/2023 | Pas d’information | CERTFR-2023-AVI-0214 | https://www.ibm.com/support/pages/node/6828527 |
SAP | Business Objects | CVE-2023-25617 | 9.0 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
SAP | NetWeaver Application Server pour ABAP et ABAP Platform | CVE-2023-27269 | 9.6 | Atteinte à l’intégrité et à la confidentialité des données | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
SAP | Business Objects Business Intelligence Platform | CVE-2023-25616 | 9.9 | Exécution de code arbitraire à distance | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
SAP | NetWeaver AS pour ABAP et ABAP Platform | CVE-2023-27500 | 9.6 | Atteinte à l’intégrité et à la confidentialité des données | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
SAP | NetWeaver AS for Java | CVE-2023-23857 | 9.9 | Contournement de la politique de sécurité | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0228 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
Schneider Electric | Schneider Electric PowerLogic HDPM6000 | CVE-2023-28004 | 9.8 | Exécution de code arbitraire à distance et déni de service à distance | 14/03/2023 | Pas d’information | CERTFR-2023-AVI-0218 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-073-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-073-02.pdf |
Tenable | Nessus, tenable.io et tenable.sc | CVE-2022-4313 | 9.1 | Exécution de code arbitraire à distance | 13/03/2023 | Pas d’information | CERTFR-2023-AVI-0216 | https://www.tenable.com/security/tns-2023-14 |
CVE-2023-21708 : Multiples vulnérabilités dans les produits Microsoft concernant RPC
Le 14 mars 2023, Microsoft a publié des mises à jour de sécurité lors de son exercice mensuel afin de corriger plusieurs vulnérabilités impactant le protocole RPC et permettant une exécution de code arbitraire à distance.
Pour rappel, la bonne pratique est de bloquer les ports : TCP 135, UDP 135, TCP 139 et TCP 445 sur le pare-feu de périmètre d’entreprise afin de réduire la probabilité d’attaques potentielles exploitant cette vulnérabilité.
Liens :
- Avis CERTFR-2023-AVI-0231 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0231/ - Avis CERTFR-2023-AVI-0234 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0234/ - Bulletin de sécurité Microsoft CVE-2023-21708 du 14 mars 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21708 - Bulletin de sécurité Microsoft CVE-2023-23405 du 14 mars 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23405 - Bulletin de sécurité Microsoft CVE-2023-24869 du 14 mars 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24869 - Bulletin de sécurité Microsoft CVE-2023-24908 du 14 mars 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24908 - Recommandations sur le nomadisme numérique
https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
Alertes CERT-FR
CVE-2023-23397 : Vulnérabilité dans Microsoft Outlook
En date du 14 mars 2023, lors de sa mise à jour mensuelle, Microsoft a indiqué l’existence d’une vulnérabilité, CVE-2023-23397, affectant diverses versions du produit Outlook pour Windows. Cette vulnérabilité permet à un attaquant de récupérer le condensat Net-NTLMv2 (new technology LAN manager). Ce condensat peut ensuite servir à l’attaquant pour tenter d’élever ses privilèges (ex.: attaque par relai NTLM).
Microsoft indique que cette vulnérabilité est activement exploitée dans le cadre d’attaques ciblées. Par ailleurs, le CERT-FR a connaissance d’une première preuve de concept publique (non qualifiée).
Liens :
- Avis CERTFR-2023-AVI-0231 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0231/ - Avis CERTFR-2023-AVI-0234 du 15 mars 2023
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0234/ - Alerte CERTFR-2023-ALE-002 du 15 mars 2023
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-002/ - Bulletin de sécurité Microsoft CVE-2023-23397 du 14 mars 2023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
Autres vulnérabilités
CVE-2022-42475 : Vulnérabilité dans Fortinet FortiOS SSL-VPN
Une preuve de concept est publiquement disponible pour la vulnérabilité, CVE-2022-42475. Celle-ci a fait l’objet d’une alerte CERT-FR et un correctif est disponible depuis le 12 décembre 2022.
Liens :
- Alerte CERTFR-2022-ALE-012 du 13 décembre 2022
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-012/ - Avis CERTFR-2022-AVI-1090 du 13 décembre 2022
https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-1090 - Bulletin de sécurité Fortinet FG-IR-22-398 du 12 décembre 2022
https://www.fortiguard.com/psirt/FG-IR-22-398
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 13 au 19 mars 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-ALE-001 : Vulnérabilité dans Fortinet FortiOS
- CERTFR-2023-ALE-002 : [MàJ] Vulnérabilité dans Microsoft Outlook
- CERTFR-2023-AVI-0214 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2023-AVI-0215 : Vulnérabilité dans TrendMicro TXOne StellarOne
- CERTFR-2023-AVI-0216 : Vulnérabilité dans les produits Tenable
- CERTFR-2023-AVI-0217 : Multiples vulnérabilités dans TrendMicro Worry-Free Business Security
- CERTFR-2023-AVI-0218 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2023-AVI-0219 : Multiples vulnérabilités dans IBM Sterling B2B Integrator
- CERTFR-2023-AVI-0220 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2023-AVI-0221 : [SCADA] Multiples vulnérabilités dans MOXA NPort 6000
- CERTFR-2023-AVI-0222 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-0223 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2023-AVI-0224 : Multiples vulnérabilités dans les routeurs Cisco Small Business
- CERTFR-2023-AVI-0225 : Vulnérabilité dans TrendMicro Endpoint Encryption
- CERTFR-2023-AVI-0226 : Multiples vulnérabilités dans Aruba ClearPass Policy Manager
- CERTFR-2023-AVI-0227 : Multiples vulnérabilités dans les produits Adobe
- CERTFR-2023-AVI-0228 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2023-AVI-0229 : Multiples vulnérabilités dans les produits ownCloud
- CERTFR-2023-AVI-0230 : Vulnérabilité dans Microsoft Edge
- CERTFR-2023-AVI-0231 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2023-AVI-0232 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2023-AVI-0233 : Multiples vulnérabilités dans Microsoft Azure
- CERTFR-2023-AVI-0234 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2023-AVI-0235 : Multiples vulnérabilités dans OpenSSH
- CERTFR-2023-AVI-0236 : Multiples vulnérabilités dans Mozilla Thunderbird
- CERTFR-2023-AVI-0237 : Multiples vulnérabilités dans Drupal core
- CERTFR-2023-AVI-0238 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2023-AVI-0239 : Multiples vulnérabilités dans Tenable Sensor Proxy
- CERTFR-2023-AVI-0240 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2023-AVI-0241 : Multiples vulnérabilités dans les produits Synology
- CERTFR-2023-AVI-0242 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2023-AVI-0243 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2023-AVI-0244 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2022-ALE-007 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2022-ALE-008 : [MaJ] Multiples vulnérabilités dans Microsoft Exchange
- CERTFR-2022-ALE-009 : [MaJ] Vulnérabilité dans Zimbra Collaboration
- CERTFR-2022-ALE-010 : Multiples vulnérabilités dans GLPI
- CERTFR-2022-ALE-013 : [MàJ] Vulnérabilité dans Citrix ADC et Gateway
- CERTFR-2023-ALE-015 : [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi
- CERTFR-2023-AVI-0213 : Vulnérabilité dans SPIP