Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 19
Tableau récapitulatif :
Vulnérabilités critiques du 07/05/23 au 14/05/23
Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
---|---|---|---|---|---|---|---|---|
TrendMicro | Mobile Security (Enterprise) | CVE-2023-32521 | 9.1 | Atteinte à l’intégrité des données | 12/05/2023 | Pas d’information | CERTFR-2023-AVI-0384 | https://success.trendmicro.com/dcx/s/solution/000293106?language=en_US |
Schneider | EcoStruxure TM Power et SCADA Operation | CVE-2021-3711 | 9.8 | Exécution de code arbitraire à distance, Déni de service à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0363 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-129-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-129-04.pdf |
Schneider | Altivar 32/320 et Lexium 32 Ethernet TCP/IP communication module (VW3A3616) | CVE-2020-35685 | 9.1 | Contournement de la politique de sécurité | 05/08/2021 (Màj 09/05/2023) | Pas d’information | CERTFR-2023-AVI-0363 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2021-217-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2021-217-01_NicheStack_Security_Notification.pdf |
Schneider | EcoStruxure Power et SCADA Operation | CVE-2023-1256 | 9.8 | Atteinte à la confidentialité des données et déni de service à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0363 | https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-129-02&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-129-02.pdf |
Gitlab | GitLab CE/EE | CVE-2023-2478 | 9.8 | Exécution de code arbitraire à distance | 05/05/2023 | Pas d’information | CERTFR-2023-AVI-0361 | https://about.gitlab.com/releases/2023/05/05/critical-security-release-gitlab-15-11-2-released/ |
Tenable | Nessus Network Monitor (OpenSSL) | CVE-2022-25315 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Preuve de concept publique | CERTFR-2023-AVI-0368 | https://www.tenable.com/security/tns-2023-19 |
Tenable | Nessus Network Monitor (OpenSSL) | CVE-2022-25236 | 9.8 | Non spécifié par l’éditeur | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0368 | https://www.tenable.com/security/tns-2023-19 |
Tenable | Nessus Network Monitor (OpenSSL) | CVE-2022-25235 | 9.8 | Non spécifié par l’éditeur | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0368 | https://www.tenable.com/security/tns-2023-19 |
Tenable | Nessus Network Monitor (OpenSSL) | CVE-2022-23852 | 9.8 | Non spécifié par l’éditeur | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0368 | https://www.tenable.com/security/tns-2023-19 |
Tenable | Nessus Network Monitor (OpenSSL) | CVE-2022-22824 | 9.8 | Non spécifié par l’éditeur | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0368 | https://www.tenable.com/security/tns-2023-19 |
Tenable | Nessus Network Monitor (OpenSSL) | CVE-2022-22823 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0368 | https://www.tenable.com/security/tns-2023-19 |
Tenable | Nessus Network Monitor (OpenSSL) | CVE-2022-22822 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0368 | https://www.tenable.com/security/tns-2023-19 |
Microsoft | Win32k | CVE-2023-29336 | 7.8 | Élévation de privilèges | 09/05/2023 | Exploitée | CERTFR-2023-AVI-0373 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336 |
Microsoft | Secure Boot | CVE-2023-24932 | 6.7 | Contournement de la politique de sécurité | 09/05/2023 | Exploitée | CERTFR-2023-AVI-0373 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932 |
Microsoft | NFS | CVE-2023-24941 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0373 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24941 |
Microsoft | PGM | CVE-2023-24943 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0373 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24943 |
Aruba | ArubaOS, InstantOS | CVE-2023-22780 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-22781 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-22782 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-22783 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-22784 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-22785 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Aruba | ArubaOS, InstantOS | CVE-2023-22786 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Aruba | ArubasOS, InstantOS | CVE-2023-22779 | 9.8 | Exécution de code arbitraire à distance | 09/05/2023 | Pas d’information | CERTFR-2023-AVI-0367 | https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-006.txt |
Autres vulnérabilités
CVE-2023-27351, CVE-2023-27350 : Multiples vulnérabilités dans les produits PaperCut
Le 20 avril dans un billet de blog, PaperCut mentionne l’existence de deux vulnérabilités de type zéro-jour (0-day). Ces vulnérabilités affectent le produit PaperCut MF/NG, elles permettent à un attaquant non authentifié d’exécuter du code arbitraire à distance (CVE-2023-27350) ainsi que de récupérer des données critiques (CVE-2023-27351).
Les versions impactées sont les suivantes :
- PaperCut MF/NG versions antérieures à 20.1.7
- PaperCut MF/NG versions 21.x.x antérieures à 21.2.11
- PaperCut MF/NG versions 22.0.x antérieures à 22.0.9
L’éditeur mentionne de potentielles activités suspectes liées à ces vulnérabilités datant du 13 avril 2023. Le CERT-FR recommande fortement d’appliquer les mises à jour proposées par l’éditeur afin de se protéger de ces deux vulnérabilités.
Liens :
- https://www.papercut.com/kb/Main/PO-1216-and-PO-1219
- https://www.papercut.com/kb/Main/PO-1216-and-PO-1219
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 08 au 14 mai 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-0360 : Multiples vulnérabilités dans les produits Synology
- CERTFR-2023-AVI-0361 : Vulnérabilité dans GitLab
- CERTFR-2023-AVI-0362 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2023-AVI-0363 : Multiples vulnérabilités dans les produits Schneider
- CERTFR-2023-AVI-0364 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-0365 : Multiples vulnérabilités dans Mozilla Firefox
- CERTFR-2023-AVI-0366 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2023-AVI-0367 : Multiples vulnérabilités dans ArubaOS et InstantOS
- CERTFR-2023-AVI-0368 : Multiples vulnérabilités dans Nessus Network Monitor
- CERTFR-2023-AVI-0369 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2023-AVI-0370 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2023-AVI-0371 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2023-AVI-0372 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2023-AVI-0373 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2023-AVI-0374 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2023-AVI-0375 : Multiples vulnérabilités dans Thunderbird
- CERTFR-2023-AVI-0376 : Vulnérabilité dans les produits GitLab
- CERTFR-2023-AVI-0377 : Multiples vulnérabilités dans PAN-OS
- CERTFR-2023-AVI-0378 : Multiples vulnérabilités dans PostgreSQL
- CERTFR-2023-AVI-0379 : Multiples vulnérabilités Vmware Aria Operations
- CERTFR-2023-AVI-0380 : Multiples vulnérabilités dans Tenable Nessus
- CERTFR-2023-AVI-0381 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2023-AVI-0382 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2023-AVI-0383 : Multiples vulnérabilités dans le noyau Linux de RedHat
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2023-ALE-002 : [MàJ] Vulnérabilité dans Microsoft Outlook