Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 15
Tableau récapitulatif :
Vulnérabilités critiques du 10/04/23 au 16/04/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| LemonLDAP-NG | LemonLDAP-NG | CVE-2023-28862 | 9.8 | Contournement de la politique de sécurité | 28/03/2023 | Pas d’information | CERTFR-2023-AVI-0300 | https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/releases/v2.16.1 |
| Apple | macOS Ventura, iOS, iPadOS, macOS Monterey, macOS Big Sur | CVE-2023-28206 | Élévation de privilèges | 07/04/2023 | Exploitée | CERTFR-2023-AVI-0296 | https://support.apple.com/en-us/HT213725 | |
| Apple | Safari, macOS Ventura, iOS, iPadOS | CVE-2023-28205 | Exécution de code arbitraire à distance | 07/04/2023 | Exploitée | CERTFR-2023-AVI-0296 | https://support.apple.com/en-us/HT213723 | |
| IBM | Spectrum Scale, Spectrum Scale | CVE-2022-45047 | 9.8 | Exécution de code arbitraire à distance | 14/04/2023 | Pas d’information | CERTFR-2023-AVI-0314 | https://www.ibm.com/support/pages/node/6983769 |
| SAP | SAP Diagnostics Agent (OSCommand Bridge and EventLogServiceCollector) | CVE-2023-27267 | 10 | Exécution de code arbitraire à distance | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0301 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | BusinessObjects Business Intelligence Platform (Promotion Management) | CVE-2023-28765 | 9.8 | Atteinte à la confidentialité des données | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0301 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| Microsoft | Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2012, Windows Server 2019, Windows Server 2008 R2, Windows Server 2008, Windows Server 2016, Windows Server 2022 | CVE-2023-28250 | 9.8 | Exécution de code arbitraire à distance | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0306 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28250 |
| Microsoft | Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2012, Windows Server 2019, Windows Server 2008 R2, Windows Server 2008, Windows Server 2016 | CVE-2023-21554 | 9.8 | Exécution de code arbitraire à distance | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0306 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554 |
| Microsoft | Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2012, Windows Server 2019, Windows Server 2008 R2, Windows Server 2008, Windows Server 2016 | CVE-2023-28252 | 7.8 | Élévation de privilèges | 11/04/2023 | Exploitée | CERTFR-2023-AVI-0306 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252 |
| Siemens | CP-8031 MASTER MODULE (6MF2803-1AA00), CP-8050 MASTER MODULE (6MF2805-0AA00) | CVE-2023-28489 | 9.8 | Exécution de code arbitraire à distance | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0298 | https://cert-portal.siemens.com/productcert/html/ssa-472454.html |
| Fortinet | FortiPresence | CVE-2022-41331 | 9.3 | Contournement de la politique de sécurité | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0304 | https://www.fortiguard.com/psirt/FG-IR-22-355 |
| Schneider Electric | APC Easy UPS Online Monitoring, Schneider Electric Easy UPS Online | CVE-2023-29412 | 9.8 | Exécution de code arbitraire à distance | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0297 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf |
| Schneider Electric | APC Easy UPS Online Monitoring, Schneider Electric Easy UPS Online | CVE-2023-29411 | 9.8 | Exécution de code arbitraire à distance | 11/04/2023 | Pas d’information | CERTFR-2023-AVI-0297 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-04.pdf |
CVE-2020-35198, CVE-2022-32207 et CVE-2022-40674 : Multiples vulnérabilités dans les produits dans les produits Siemens
En complément des vulnérabilités affectant les produits Siemens évoquées dans le tableau, trois autres vulnérabilités critiques ont été mentionnées dans les bulletins de sécurité Siemens.
Celles-ci affectent des composants tiers embarqués dans certains produits Simens pour lesquels le constructeur vient d’intégrer les correctifs. Il s’agit de la vulnérabilité CVE-2020-35198 affectant Wind River VxWorks qui est présent dans de nombreuses références SCALANCE et SIPLUS. Les vulnérabilités CVE-2022-32207 et CVE-2022-40674 affectent curl et la bibliothèque libexpat embarquées dans SCALANCE XCM332 (6GK5332-0GA01-2AC2) versions antérieures à V2.2.
Ces trois vulnérabilités critiques permettent à un attaquant d’exécuter du code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0298/
- https://cert-portal.siemens.com/productcert/html/ssa-813746.html
- https://cert-portal.siemens.com/productcert/html/ssa-558014.html
CVE-2022-42889, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-23852, CVE-2022-25235, CVE-2022-25236 et CVE-2022-25315: Multiples vulnérabilités dans les produits Juniper
Le correctif pour la vulnérabilité CVE-2022-42889, affectant Apache Commons Text, est disponible pour Juniper Secure Analytics à partir de la version STRM 7.5.0UP4.
Les autres vulnérabilités affectent différents composants de la libexpat utilisée par de nombreuses versions de Junos OS (se référer au bulletin de sécurité de l’éditeur pour la liste complète).
Ces vulnérabilités critiques permettent à un attaquant d’exécuter du code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0310/
- https://supportportal.juniper.net/s/article/2023-04-Security-Bulletin-JSA-Series-Apache-Commons-Text-prior-to-1-10-0-allows-RCE-when-applied-to-untrusted-input-due-to-insecure-interpolation-defaults-CVE-2022-42889?language=en_US
- https://supportportal.juniper.net/s/article/2023-04-Security-Bulletin-Junos-OS-Multiple-vulnerabilities-in-expat-resolved?language=en_US
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 10 au 16 avril 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-0295 : Vulnérabilité dans IBM WebSphere
- CERTFR-2023-AVI-0296 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2023-AVI-0297 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2023-AVI-0298 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2023-AVI-0299 : Multiples vulnérabilités StormShield Network Security
- CERTFR-2023-AVI-0300 : Vulnérabilité dans LemonLDAP-NG
- CERTFR-2023-AVI-0301 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2023-AVI-0302 : Multiples vulnérabilités dans Adobe Acrobat
- CERTFR-2023-AVI-0303 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2023-AVI-0304 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2023-AVI-0305 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2023-AVI-0306 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2023-AVI-0307 : Vulnérabilité dans Microsoft .Net
- CERTFR-2023-AVI-0308 : Multiples vulnérabilités dans Microsoft Azure
- CERTFR-2023-AVI-0309 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2023-AVI-0310 : Multiples vulnérabilités dans les produits Juniper
- CERTFR-2023-AVI-0311 : Multiples vulnérabilités dans les produits Palo Alto Networks
- CERTFR-2023-AVI-0312 : Vulnérabilité dans Wireshark
- CERTFR-2023-AVI-0313 : Multiples vulnérabilités dans IBM AIX
- CERTFR-2023-AVI-0314 : Multiples vulnérabilités dans IBM Spectrum Scale
- CERTFR-2023-AVI-0315 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-0316 : Vulnérabilité dans le noyau Linux de Red Hat
- CERTFR-2023-AVI-0317 : Multiples vulnérabilités dans le noyau Linux de SUSE
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2023-ALE-003 : [MàJ] Compromission de l’application 3CX Desktop App
