Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 52
Tableau récapitulatif :
Vulnérabilités critiques du 25/12/23 au 31/12/23
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Juniper | Secure Analytics (SpringBlade) | CVE-2023-40787 | 9.8 | Exécution de code arbitraire à distance | 28/12/2023 | Pas d’information | CERTFR-2023-AVI-1062 | https://supportportal.juniper.net/s/article/2023-12-Security-Bulletin-JSA-Series-Multiple-vulnerabilities-resolved?language=en_US |
| NetApp | Active IQ Unified Manager | CVE-2019-3773 | 9.8 | Déni de service à distance, Atteinte à l’intégrité des données, Atteinte à la confidentialité des données | 27/12/2023 | Pas d’information | CERTFR-2023-AVI-1060 | https://security.netapp.com/advisory/ntap-20231227-0011/ |
CVE-2023-46604 : Vulnérabilité dans Juniper Secure Analytics (Java OpenWire)
Dans son avis du 29 décembre 2023, l’éditeur a publié un correctif pour la vulnérabilité critique CVE-2023-46604 affectant le protocole Java OpenWire, utilisé par Juniper Secure Analytics. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-1062/
- https://supportportal.juniper.net/s/article/2023-12-Security-Bulletin-JSA-Series-Multiple-vulnerabilities-resolved?language=en_US
Autres vulnérabilités
CVE-2023-7102 : Vulnérabilité dans Barracuda Email Security Gateway
Le 24 décembre 2023, Barracuda a publié un avis de sécurité concernant une vulnérabilité critique affectant Email Security Gateway (ESG).
Cette vulnérabilité se situe dans la bibliothèque Spreadsheet::ParseExcel, disponible en source ouverte. Celle-ci est utilisée pour inspecter les fichiers Excel par le logiciel antivirus Amavis, qui est lui-même un composant des boîtiers ESG.
Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance et ainsi compromettre l’équipement.
Dans le contexte d’ESG, cette vulnérabilité a été attribuée l’identifiant CVE-2023-7102. Barracuda a déployé un correctif le 21 décembre 2023 à tous les équipements ESG ayant les mises à jour automatiques activées.
Toutefois, la bibliothèque vulnérable est potentiellement utilisée par d‘autres produits n’appartenant pas à Barracuda. Dans tout autre contexte que Barracuda ESG, cette vulnérabilité est identifiée par CVE-2023-7101.
La vulnérabilité CVE-2023-7102 est activement exploitée dans le cadre d’attaques ciblées. De plus, un code d’exploitation est disponible publiquement depuis au moins mars 2023 pour la vulnérabilité CVE-2023-7101.
Liens :
CVE-2023-49070 : Vulnérabilité dans Apache OFBiz
La vulnérabilité critique CVE-2023-49070 affecte Apache OFBiz et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance. Cette vulnérabilité est activement exploitée car des codes d’exploitations sont publiquement disponibles.
Liens :
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 25 au 31 décembre 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-1058 : Vulnérabilité dans Stormshield Network Security
- CERTFR-2023-AVI-1059 : [SCADA] Multiples vulnérabilités dans Moxa ioLogik E1200
- CERTFR-2023-AVI-1060 : Vulnérabilité dans NetApp Active IQ Unified Manager
- CERTFR-2023-AVI-1061 : Multiples vulnérabilités dans Apache OpenOffice
- CERTFR-2023-AVI-1062 : Multiples vulnérabilités dans Juniper Secure Analytics
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2023-AVI-1057 : Vulnérabilité dans Postfix
