Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 19

Tableau récapitulatif :

Vulnérabilités critiques du 15/05/23 au 21/05/23

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur
Apple Apple Safari, Apple iOS, Apple iPadOS, MacOS Ventura CVE-2023-32409 8.4 Exécution de code arbitraire 18/05/2023 Exploitée CERTFR-2023-AVI-0390 https://support.apple.com/en-us/HT213762, https://support.apple.com/en-us/HT213757, https://support.apple.com/en-us/HT213758
Apple Apple Safari, Apple iOS, Apple iPadOS, MacOS Ventura CVE-2023-32373 8.4 Exécution de code arbitraire 18/05/2023 Exploitée CERTFR-2023-AVI-0390 https://support.apple.com/en-us/HT213765, https://support.apple.com/en-us/HT213762, https://support.apple.com/en-us/HT213757, https://support.apple.com/en-us/HT213758
Mitel MiVoice Connect CVE-2023-31457 9.6 Exécution de code arbitraire à distance 17/05/2023 Pas d'information CERTFR-2023-AVI-0400 https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0004
Mitel MiVoice Connect CVE-2023-31458 8.8 Contournement de la politique de sécurité (mot de passe par défaut) 17/05/2023 Pas d'information CERTFR-2023-AVI-0400 https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0005
Mitel MiVoice Connect CVE-2023-32748 9.6 Exécution de code arbitraire à distance 17/05/2023 Pas d'information CERTFR-2023-AVI-0400 https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0004
Mitel Connect Mobility Router CVE-2023-31459 8.8 Contournement de la politique de sécurité (mot de passe par défaut) 17/05/2023 Pas d'information CERTFR-2023-AVI-0400 https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-23-0006
Cisco Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches CVE-2023-20159 9.8 Exécution de code arbitraire à distance 17/05/2023 Pas d'information CERTFR-2023-AVI-0401 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities
Cisco Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches CVE-2023-20160 9.8 Exécution de code arbitraire à distance 17/05/2023 Pas d'information CERTFR-2023-AVI-0401 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities
Cisco Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches CVE-2023-20161 9.8 Exécution de code arbitraire à distance 17/05/2023 Pas d'information CERTFR-2023-AVI-0401 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities
Cisco Microgiciel des gammes 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches CVE-2023-20189 9.8 Exécution de code arbitraire à distance 17/05/2023 Pas d'information CERTFR-2023-AVI-0401 20230517 Cisco Small Business Series Switches Buffer Overflow Vulnerabilities
TrendMicro Apex One, Apex One as a Service CVE-2023-32557 9.8 Exécution de code arbitraire à distance 16/05/2023 Pas d'information CERTFR-2023-AVI-0387 https://success.trendmicro.com/dcx/s/solution/000293108?language=en_US
IBM cxf, IBM WebSphere Application Server Liberty CVE-2022-46364 9.8 Exécution de code arbitraire à distance 08/02/2023 Pas d'information CERTFR-2023-AVI-0110 https://www.ibm.com/support/pages/node/6953767
Trend Micro Mobile Security (Enterprise) CVE-2023-32521 9.1 Atteinte à l'intégrité des données 12/05/2023 Pas d'information CERTFR-2023-AVI-0384 https://success.trendmicro.com/dcx/s/solution/000293106?language=en_US

CVE-2023-20160, CVE-2023-20161, CVE-2023-20189, CVE-2023-20159 : Multiples vulnérabilités dans les produits Cisco

Le 19 mai 2023, l'éditeur a déclaré la correction de quatre vulnérabilités critiques permettant une exécution de code arbitraire via l'interface web d'administration de ses commutateurs réseau. Les produits concernés sont les gammes de commutateurs 250 Smart Switches, 350 Managed Smart Switches, 350X Stackable Managed Smart Switches, 550X Stackable Managed Smart Switches, Business 250 Smart Switches, Business 350 Smart Switches, Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches.

L'éditeur indique que les gammes Small Business 200 Smart Switches, Small Business 300 Managed Switches, Small Business 500 Stackable Managed Switches ne disposeront pas de correctifs.

Enfin, l'éditeur déclare avoir connaissance de l'existence de codes d'exploitation. Le CERT-FR recommande fortement d'appliquer les correctifs et de remplacer les équipements obsolètes par des équipements maintenus par leur éditeur.

Le score CVSSv3 de ces quatre vulnérabilités est 9,8.

Liens :

CVE-2023-32784 : Vulnérabilité dans KeePass

KeePass est un gestionnaire de mots de passe permettant de stocker l’ensemble de ses mots de passe dans un fichier chiffré qui sera accessible via une clé maîtresse.

Le 1er mai 2023, un utilisateur rapporte sur le fil de discussion du site Sourceforge un problème de sécurité sur KeePass permettant d'extraire la clé maîtresse depuis la mémoire vive, le fichier de pagination, le fichier d'hibernation ou tout autre format d'export de la mémoire, et ce même lorsque le coffre-fort est verrouillé. La vulnérabilité provient d'une mauvaise gestion de la mémoire par .NET qui laisse des traces des saisies clavier de la clé maîtresse.

Une preuve de concept est actuellement disponible en .NET, Python et Rust. Elle permet de récupérer les traces laissées par les saisies au clavier et de proposer des listes de mots de passe possibles. Un accès non privilégié à la machine est nécessaire.

Toutes les versions de KeePass 2.x sont affectées sur les systèmes d'exploitation Windows 10 et 11 via l'utilisation de .NET et Linux, MacOS via Mono. L'option Enter master key on secure desktop ne prémunit pas de l'attaque. Cependant la version 1 de KeePass n'est pas impactée par la vulnérabilité.

Un correctif a été mis à disposition le 7 mai 2023, néanmoins la publication d'une nouvelle version, KeePass 2.54, ne sera mise en ligne qu'à partir de juin 2023 pour des problématiques de livraison de fonctionnalités déjà en cours du côté de l'éditeur.

Liens :


La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Rappel des publications émises

Dans la période du 15 mai 2023 au 21 mai 2023, le CERT-FR a émis les publications suivantes :