Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 3
Tableau récapitulatif :
Vulnérabilités critiques du 14/01/24 au 21/01/24
CVE-2023-22527 : Exécution de code arbitraire à distance dans Atlassian Confluence
Le 16 janvier 2024, Atlassian a publié un avis de sécurité concernant la vulnérabilité CVE-2023-22527 affectant son produit Confluence. Cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire à distance sans être authentifié. Elle affecte les versions 8.x antérieures à 8.5.4 d’Atlassian Confluence. Ces versions sont obsolètes et donc ne bénéficieront pas de rétroportage des correctifs de sécurité.
Le CERT-FR a connaissance de tentatives d’exploitation et de code d’exploitation public et recommande donc de mettre à jour Confluence vers une version supportée par l’éditeur.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0040/
- https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html
Multiples vulnérabilités dans les implémentations d’UEFI
De multiples vulnérabilités ont été découvertes dans la pile réseau du projet EDK II de la fondation Tianocore, largement utilisée par les constructeurs d’ordinateurs comme socle de développement pour leur micrologiciel UEFI. Au total, 9 vulnérabilités ont été découvertes, permettant l’exécution de code arbitraire à distance et l’injection de trafic dans des sessions TCP.
Le code d’EDK II est utilisé ou intégré de façon diverse par les différents éditeurs de code UEFI (souvent dénommé BIOS par abus de langage), qui fournissent à leur tour leur solution aux différents fabricants d’ordinateurs.
Une description plus détaillée est disponible dans le bulletin d’actualité associé.
Liens :
- https://www.cert.ssi.gouv.fr/actualite/CERTFR-2024-ACT-004/
- https://github.com/tianocore/edk2/security/advisories/GHSA-hc6x-cw6p-gj7h
- https://kb.cert.org/vuls/id/132380
CVE-2023-50164 : Nouveaux produits affectés
Le 17 janvier 2024 Juniper a annoncé que le produit Juniper Secure Analytics sans les derniers correctifs de sécurité est affecté par la vulnérabilité CVE-2023-50164. Le même jour IBM a indiqué que le produit IBM Qradar SIEM est également sujet à cette vulnérabilité.
La vulnérabilité CVE-2023-50164 est relative au composant Apache Struts 2. Elle permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à distance.
Le CERT-FR a connaissance de codes d’exploitation publics et de tentatives d’exploitations sur Apache Struts 2. En revanche aucune information spécifique aux produits IBM et Juniper n’est disponible.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-01
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0050/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0057/
Rappel des alertes CERT-FR
CVE-2024-21887, CVE-2023-46805 : Multiples vulnérabilités dans les produits Ivanti
Le 10 janvier 2024, Ivanti a publié un avis de sécurité concernant ses produits Connect Secure et Policy Secure Gateways car ils sont affectés par deux vulnérabilités critiques.
La vulnérabilité CVE-2023-46805 permet à un attaquant de contourner l’authentification, tandis que la vulnérabilité CVE-2024-21887 permet à un administrateur distant et authentifié d’exécuter des commandes arbitraires. Un attaquant qui exploite ces deux vulnérabilités peut par conséquent prendre le contrôle complet de l’équipement.
Ces vulnérabilités sont activement exploitées. Le CERT-FR a connaissance de nombreux équipements compromis. Tout équipement dont le contournement provisoire n’aurait pas déjà été appliqué doit être considéré comme compromis.
Les informations complémentaires, notamment concernant les mesures de remédiations, sont disponibles dans le bulletin d’alerte du CERT-FR.
Liens :
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-001/
- https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
- https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887
Autres vulnérabilités
CVE-2023-34048 : Exploitation d’une vulnérabilité dans VMware vCenter
Le 17 janvier 2024, l’éditeur VMware a mis à jour son bulletin de sécurité VMSA-2023-0023 du 25 octobre 2023 pour indiquer avoir connaissance d’exploitation de la vulnérabilité CVE-2023-34048. L’exploitation de cette vulnérabilité permet l’exécution de code arbitraire à distance.
Liens :
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0885/
- https://www.vmware.com/security/advisories/VMSA-2023-0023.html
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 15 au 21 janvier 2024, le CERT-FR a émis les publications suivantes :
- CERTFR-2024-AVI-0035 : Vulnérabilité dans Synology Disk Station Manager
- CERTFR-2024-AVI-0036 : Vulnérabilité dans OpenSSL
- CERTFR-2024-AVI-0037 : Vulnérabilité dans VMware Aria Operations
- CERTFR-2024-AVI-0038 : Vulnérabilité dans les produits SonicWall
- CERTFR-2024-AVI-0039 : Multiples vulnérabilités dans les produits Citrix
- CERTFR-2024-AVI-0040 : Multiples vulnérabilités dans Atlassian Confluence et Jira
- CERTFR-2024-AVI-0041 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2024-AVI-0042 : Vulnérabilité dans MongoDB C-Driver
- CERTFR-2024-AVI-0043 : Multiples vulnérabilités dans Trend Micro Deep Security Agent
- CERTFR-2024-AVI-0044 : Multiples vulnérabilités dans Oracle MySQL
- CERTFR-2024-AVI-0045 : Multiples vulnérabilités dans Oracle Database Server
- CERTFR-2024-AVI-0046 : Multiples vulnérabilités dans Oracle Java SE
- CERTFR-2024-AVI-0047 : Multiples vulnérabilités dans Oracle PeopleSoft
- CERTFR-2024-AVI-0048 : Multiples vulnérabilités dans Oracle Systems
- CERTFR-2024-AVI-0049 : Multiples vulnérabilités dans Oracle Weblogic Server
- CERTFR-2024-AVI-0050 : Multiples vulnérabilités dans Juniper Secure Analytics
- CERTFR-2024-AVI-0051 : Vulnérabilité dans Drupal Core
- CERTFR-2024-AVI-0052 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2024-AVI-0053 : Multiples vulnérabilités dans les produits Nextcloud
- CERTFR-2024-AVI-0054 : Vulnérabilité dans Exim
- CERTFR-2024-AVI-0055 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2024-AVI-0056 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2024-AVI-0057 : Multiples vulnérabilités dans les produits IBM