Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 16
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Oracle | Oracle WebLogic Server | CVE-2021-23369 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d’information | CERTFR-2024-AVI-0323 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
| Oracle | WebLogic Server, PeopleSoft Enterprise HCM Global Payroll, Oracle Solaris Cluster, Oracle StorageTek Tape Analytics | CVE-2022-42920 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d’information | CERTFR-2024-AVI-0324 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
| Oracle | PeopleSoft Enterprise PeopleTools | CVE-2023-38545 | 9.8 | Non spécifié par l’éditeur | 18/04/2024 | Pas d’information | CERTFR-2024-AVI-0325 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
| Oracle | Oracle StorageTek Tape Analytics | CVE-2022-34381 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d’information | CERTFR-2024-AVI-0324 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
| Oracle | Oracle StorageTek Tape Analytics | CVE-2020-35168 | 9.8 | Exécution de code arbitraire à distance | 18/04/2024 | Pas d’information | CERTFR-2024-AVI-0324 | https://www.oracle.com/security-alerts/cpuapr2024verbose.html |
| Cisco | Cisco Integrated Management Controller | CVE-2024-20295 | 8.8 | Contournement de la politique de sécurité | 18/04/2024 | Preuve de concept disponible | CERTFR-2024-AVI-0319 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ |
| Cisco | Cisco Integrated Management Controller | CVE-2024-20356 | 8.7 | Contournement de la politique de sécurité | 18/04/2024 | Preuve de concept disponible | CERTFR-2024-AVI-0319 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ |
| IBM | Qradar Analyst Workflow | CVE-2023-42282 | 9.8 | Exécution de code arbitraire à distance | 19/04/2024 | Pas d’information | CERTFR-2024-AVI-0330 | https://www.ibm.com/support/pages/node/7148190 |
| Ivanti | Avalanche | CVE-2024-29204 | 9.8 | Exécution de code arbitraire à distance | 17/04/2024 | Preuve de concept disponible | CERTFR-2024-AVI-0314 | https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US |
| Ivanti | Avalanche | CVE-2024-24996 | 9.8 | Exécution de code arbitraire à distance | 17/04/2024 | Pas d’information | CERTFR-2024-AVI-0314 | https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US |
Rappel des alertes CERT-FR
CVE-2024-3400 : Vulnérabilité dans Palo Alto Networks GlobalProtect
Le 12 avril 2024, Palo Alto Networks a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-3400 affectant le produit GlobalProtect. Cette vulnérabilité permet à un attaquant non authentifié de provoquer une exécution de code arbitraire à distance.
La vulnérabilité est activement exploitée et des preuves de concept sont disponibles publiquement. Des versions correctives ont été publiées par l’éditeur. De plus, le CERT-FR fournit des éléments de remédiation.
- Alerte CERTFR-2024-ALE-006
- Avis CERTFR-2024-AVI-0307
- https://security.paloaltonetworks.com/CVE-2024-3400
Autres vulnérabilités
CVE-2024-31497 : Vulnérabilité dans PuTTY
Le 15 avril 2024, les détails relatifs à la vulnérabilité CVE-2024-31497 affectant le logiciel PuTTY ont été publiés. Cette vulnérabilité concerne la génération de nombres aléatoires utilisés dans le cadre des algorithmes ECDSA NIST P-521. Cette génération biaisée peut provoquer la récupération de clés secrètes à partir d’une soixantaine de signatures. Les autres algorithmes ne sont pas affectés.
La version 0.81 de PuTTY corrige cette vulnérabilité. De plus, les versions suivantes des logiciels utilisant PuTTY ont également été publiées : FileZilla 3.67.0, WinSCP 6.3.3 et TortoiseGit 2.15.0.1.
Liens :
- https://www.openwall.com/lists/oss-security/2024/04/15/6
- https://www.chiark.greenend.org.uk/~sgtatham/putty/changes.html
Vulnérabilité dans CrushFTP
Le 19 avril 2024, CrushFTP a déclaré que les versions logicielles antérieures à 11.1 souffrent d’une vulnérabilité permettant de contourner la politique de sécurité et de télécharger des fichiers de configuration du système.
Lien :
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 15 au 21 avril 2024, le CERT-FR a émis les publications suivantes :
- CERTFR-2024-AVI-0306 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2024-AVI-0307 : Vulnérabilité dans Palo Alto Networks GlobalProtect
- CERTFR-2024-AVI-0308 : Vulnérabilité dans Stormshield Network Security
- CERTFR-2024-AVI-0309 : Vulnérabilité dans Stormshield Network Security
- CERTFR-2024-AVI-0310 : Vulnérabilité dans les produits Juniper
- CERTFR-2024-AVI-0311 : Multiples vulnérabilités dans les produits Mozilla
- CERTFR-2024-AVI-0312 : Multiples vulnérabilités dans les produits Atlassian
- CERTFR-2024-AVI-0313 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2024-AVI-0314 : Multiples vulnérabilités dans Ivanti Avalanche
- CERTFR-2024-AVI-0315 : Vulnérabilité dans SolarWinds Serv-U
- CERTFR-2024-AVI-0316 : Vulnérabilité dans les produits Xen
- CERTFR-2024-AVI-0317 : Vulnérabilité dans Cisco ClamAV
- CERTFR-2024-AVI-0318 : Multiples vulnérabilités dans les produits Mitel
- CERTFR-2024-AVI-0319 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2024-AVI-0320 : Multiples vulnérabilités dans Oracle VirtualBox
- CERTFR-2024-AVI-0321 : Multiples vulnérabilités dans Oracle Java SE
- CERTFR-2024-AVI-0322 : Multiples vulnérabilités dans Oracle Database Server
- CERTFR-2024-AVI-0323 : Multiples vulnérabilités dans Oracle Weblogic
- CERTFR-2024-AVI-0324 : Multiples vulnérabilités dans Oracle Systems
- CERTFR-2024-AVI-0325 : Multiples vulnérabilités dans Oracle PeopleSoft
- CERTFR-2024-AVI-0326 : Multiples vulnérabilités dans Oracle MySQL
- CERTFR-2024-AVI-0327 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2024-AVI-0328 : Vulnérabilité dans Citrix uberAgent
- CERTFR-2024-AVI-0329 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2024-AVI-0330 : Multiples vulnérabilités dans les produits IBM
- CERTFR-2024-AVI-0331 : Multiples vulnérabilités dans SolarWinds Platform
- CERTFR-2024-AVI-0332 : Multiples vulnérabilités dans les produits Red Hat
- CERTFR-2024-AVI-0333 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2024-AVI-0334 : Multiples vulnérabilités dans le noyau Linux de Debian
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2024-ALE-001 : [MàJ] Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways
- CERTFR-2024-ALE-003 : [MàJ] Incident affectant les solutions AnyDesk
- CERTFR-2024-ALE-005 : [MàJ] Vulnérabilité dans Microsoft Outlook
