Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 12
Tableau récapitulatif :
Vulnérabilités critiques du 18/03/24 au 24/03/24
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Ivanti | Ivanti Standalone Sentry | CVE-2023-41724 | 9.6 | Exécution de code arbitraire à distance | 20/03/2024 | Pas d’information | CERTFR-2024-AVI-0238 | https://forums.ivanti.com/s/article/KB-CVE-2023-41724-Remote-Code-Execution-for-Ivanti-Standalone-Sentry?language=en_US |
| Ivanti | Ivanti Neurons for ITSM | CVE-2023-46808 | 9.9 | Atteinte à l’intégrité des données | 20/03/2024 | Pas d’information | CERTFR-2024-AVI-0238 | https://forums.ivanti.com/s/article/CVE-2023-46808-Authenticated-Remote-File-Write-for-Ivanti-Neurons-for-ITSM?language=en_US |
Rappel des alertes CERT-FR
CVE-2024-21762 : Vulnérabilité dans Fortinet FortiOS SSL VPN
Le 8 février 2024, Fortinet a publié l’avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
Depuis le 19 mars 2024, le CERT-FR a connaissance de codes d’exploitation publiquement accessibles et de nouvelles tentatives d’exploitation.
Liens :
- Alerte CERTFR-2024-ALE-004
- Bulletin de sécurité Fortinet FG-IR-24-015 du 08 février 2024
- Avis CERT-FR CERTFR-2024-AVI-0108 du 09 décembre 2023
Autres vulnérabilités
CVE-2023-48788 : Vulnérabilité critique dans FortiClientEMS
Le 12 mars 2024, Fortinet a publié un bulletin de sécurité relatif à la vulnérabilité CVE-2023-48788. Cette vulnérabilité permet l’exécution de code arbitraire pour un attaquant non authentifié.
Le CERT-FR a connaissance de codes d’exploitation publics pour cette vulnérabilité.
Liens :
- Bulletin de sécurité Fortinet FG-IR-24-007 du 12 mars 2024
- Avis CERT-FR CERTFR-2024-AVI-0212 du 13 mars 2024
Multiples vulnérabilités dans les produits Atlassian
Le 19 mars 2024, l’éditeur a publié un bulletin de sécurité mensuel faisant état de multiples vulnérabilités dans Bamboo Data Center and Server, Bitbucket Data Center and Server, Confluence Data Center and Server et Jira Software Data Center and Server.
Ces vulnérabilités peuvent notamment permettre l’exécution de code arbitraire à distance. Des correctifs sont disponibles pour l’ensemble des produits.
Lien :
CVE-2024-1212 : Vulnérabilité critique dans Progress Kemp LoadMaster
Au cours du mois de février, l’éditeur a publié un bulletin de sécurité relatif à la vulnérabilité CVE-2024-1212 qui permet un contournement de la politique de sécurité et l’exécution de commandes arbitraires. Le CERT-FR a connaissance de codes d’exploitation publics pour cette vulnérabilité.
Lien :
Multiples vulnérabilités dans GLPI
Le 18 mars 2024, GLPI a mis en ligne plusieurs bulletins de sécurité. Le CERT-FR a connaissance de codes d’exploitation publics pour les vulnérabilités CVE-2024-27098 et CVE-2024-27096. De plus, des codes d’exploitation sont également disponibles pour la vulnérabiltié CVE-2023-43813, qui a fait l’objet d’un bulletin de sécurité en décembre 2023.
Ces vulnérabilités permettent notamment des injections SQL qui peuvent permettre à un attaquant authentifié une élévation de privilège et une exécution de code arbitraire à distance. Des correctifs sont disponibles.
Liens :
- Bulletin de sécurité GLPI GHSA-94c3-fw5r-3362 du 13 décembre 2023
- Bulletin de sécurité GLPI GHSA-92×4-q9w5-837w du 18 mars 2024
- Bulletin de sécurité GLPI GGHSA-2x8m-vrcm-2jqv du 18 mars 2024
- Avis CERT-FR CERTFR-2024-AVI-0231 du 19 mars 2024
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 18 au 24 mars 2024, le CERT-FR a émis les publications suivantes :
- CERTFR-2024-AVI-0229 : Vulnérabilité dans Tenable Nessus
- CERTFR-2024-AVI-0230 : Vulnérabilité dans Kaspersky Password Manager
- CERTFR-2024-AVI-0231 : Multiples vulnérabilités dans les produits GLPI
- CERTFR-2024-AVI-0232 : Vulnérabilité dans les produits Spring Security
- CERTFR-2024-AVI-0233 : Multiples vulnérabilités dans AXIS OS
- CERTFR-2024-AVI-0234 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2024-AVI-0235 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2024-AVI-0236 : Vulnérabilité dans Spring Authorization Server
- CERTFR-2024-AVI-0237 : [SCADA] Multiples vulnérabilités dans les produits Belden
- CERTFR-2024-AVI-0238 : Multiples vulnérabilités dans les produits Ivanti
- CERTFR-2024-AVI-0239 : Vulnérabilité dans Microsoft Xbox Gaming Services
- CERTFR-2024-AVI-0240 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2024-AVI-0241 : Multiples vulnérabilités dans le noyau Linux de RedHat
- CERTFR-2024-AVI-0242 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2024-AVI-0243 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2024-ALE-004 : [MàJ] Vulnérabilité dans Fortinet FortiOS
