Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.
Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.
Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.
Vulnérabilités significatives de la semaine 32
Tableau récapitulatif :
| Editeur | Produit | Identifiant CVE | Score CVSSv3 | Type de vulnérabilité | Date de publication | Exploitabilité (Preuve de concept publique) | Avis Cert-FR | Avis éditeur |
|---|---|---|---|---|---|---|---|---|
| Ivanti | Endpoint Manager Mobile | CVE-2023-35082 | 10 | Contournement de la politique de sécurité | 07/08/2023 | Exploitée | CERTFR-2023-AVI-0615 | https://forums.ivanti.com/s/article/CVE-2023-35082-Remote-Unauthenticated-API-Access-Vulnerability-in-MobileIron-Core-11-2-and-older?language=en_US |
| VMware | Spring WebFlux/Security | CVE-2023-34034 | 9.1 | Contournement de la politique de sécurité | 18/07/2023 | Preuve de concept publique | CERTFR-2023-AVI-0557 | https://spring.io/security/cve-2023-34034 | Microsoft | Microsoft Visual Studio, .NET | CVE-2023-38180 | 7.5 | Déni de service à distance | 08/08/2023 | Exploitée | CERTFR-2023-AVI-0645 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180 |
| Microsoft | Windows (MSMQ) | CVE-2023-36910 | 9.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0642 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36910 |
| Microsoft | Windows (MSMQ) | CVE-2023-35385 | 9.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0642 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35385 |
| Microsoft | Microsoft Exchange Server 2016, 2019 | CVE-2023-21709 | 9.8 | Élévation de privilèges | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0645 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709 |
| Microsoft | Teams | CVE-2023-29328 | 8.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0645 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29328 |
| Microsoft | Teams | CVE-2023-29330 | 8.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0645 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29330 |
| Adobe | Magento, Adobe Commerce | CVE-2023-38208 | 9.1 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0636 | https://helpx.adobe.com/security/products/magento/apsb23-42.html |
| SAP | PowerDesigner | CVE-2023-37483 | 9.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0635 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| SAP | NetWeaver | CVE-2023-36922 | 9.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0635 | https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1 |
| Belden | Hirschmann Wireless OWL | CVE-2022-37434 | 9.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0634 | https://assets.belden.com/m/1945ab4479fe62b4/original/Belden_Security_Bulletin_BSECV-2022-30_1v0.pdf |
| Siemens | RUGGEDCOM CROSSBOW | CVE-2023-37372 | 9.8 | Exécution de code arbitraire à distance | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0633 | https://cert-portal.siemens.com/productcert/html/ssa-472630.html |
| Siemens | RUGGEDCOM ROS | CVE-2023-24845 | 9.1 | Contournement de la politique de sécurité | 08/08/2023 | Pas d’information | CERTFR-2023-AVI-0633 | https://cert-portal.siemens.com/productcert/html/ssa-908185.html |
CVE-2023-35082 : Vulnérabilité dans Ivanti Endpoint Manager Mobile
Le 07 août 2023, Ivanti a publié un avis de sécurité indiquant que la vulnérabilité CVE-2023-35082 affecte dorénavant toutes les versions de Endpoint Manager Mobile, et non pas uniquement les versions antérieures à 11.3 comme indiqué dans l’avis du 02 août 2023.
Cette vulnérabilité permet à un attaquant d’obtenir un accès non authentifié à des chemins d’API spécifiques afin de récupérer des informations personnellement identifiables (PII) d’utilisateurs.
Dans l’attente de la publication de la version 11.11, Ivanti fournit un programme RPM corrigeant cette vulnérabilité pour les versions 11.8.1.2, 11.9.1.2 et 11.10.0.3. Si l’équipement est dans une version antérieure, il est conseillé de le mettre à jour vers l’une de ces trois versions, puis d’exécuter le programme. La procédure est décrite dans l’avis.
L’éditeur annonce que :
- La vulnérabilité CVE-2023-35082 est exploitable uniquement sur le protocole HTTP mais pas HTTPS ;
- Une preuve de concept est disponible publiquement ;
- La vulnérabilité CVE-2023-35082 est activement exploitée.
Liens :
- https://cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-009/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0615
- https://forums.ivanti.com/s/article/KB-Remote-Unauthenticated-API-Access-Vulnerability-CVE-2023-35082?language=en_US
CVE-2023-34034 : Vulnérabilité dans VMware Spring WebFlux
Le 18 juillet 2023, l’éditeur a corrigé une vulnérabilité affectant Spring WebFlux. Cette vulnérabilité permet à un attaquant d’introduire un motif générique dans la configuration du produit et de provoquer un contournement de la politique de sécurité.
Une preuve de concept est disponible publiquement, le CERT-FR encourage fortement de mettre à jour à la dernière version proposée par l’éditeur.
Liens :
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Rappel des avis émis
Dans la période du 07 au 13 août 2023, le CERT-FR a émis les publications suivantes :
- CERTFR-2023-AVI-0628 : Multiples vulnérabilités dans PHP
- CERTFR-2023-AVI-0629 : Multiples vulnérabilités dans Google Android
- CERTFR-2023-AVI-0630 : Vulnérabilité dans IBM WebSphere
- CERTFR-2023-AVI-0631 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2023-AVI-0632 : [SCADA] Multiples vulnérabilités dans les produits Schneider Electric
- CERTFR-2023-AVI-0633 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2023-AVI-0634 : [SCADA] Vulnérabilité dans les produits Belden
- CERTFR-2023-AVI-0635 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2023-AVI-0636 : Multiples vulnérabilités dans les produits Adobe
- CERTFR-2023-AVI-0637 : Vulnérabilité dans Fortinet FortiOS
- CERTFR-2023-AVI-0638 : Multiples vulnérabilités dans Citrix Hypervisor
- CERTFR-2023-AVI-0639 : Multiples vulnérabilités dans Xen
- CERTFR-2023-AVI-0640 : Multiples vulnérabilités dans les produits Intel
- CERTFR-2023-AVI-0641 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2023-AVI-0642 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2023-AVI-0643 : Multiples vulnérabilités dans Microsoft .Net
- CERTFR-2023-AVI-0644 : Multiples vulnérabilités dans Microsoft Azure
- CERTFR-2023-AVI-0645 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2023-AVI-0646 : Vulnérabilité dans MongoDB Ops Manager
- CERTFR-2023-AVI-0647 : Multiples vulnérabilités dans les produits Mitel
- CERTFR-2023-AVI-0648 : Multiples vulnérabilités dans les produits NetApp
- CERTFR-2023-AVI-0649 : Multiples vulnérabilités dans les produits Nextcloud
- CERTFR-2023-AVI-0650 : Multiples vulnérabilités dans IBM Spectrum Copy Data Management
- CERTFR-2023-AVI-0651 : Multiples vulnérabilités dans PostgreSQL
- CERTFR-2023-AVI-0652 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2023-AVI-0653 : Multiples vulnérabilités dans le noyau Linux de SUSE
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2023-AVI-0615 : Vulnérabilité dans Ivanti MobileIron Core et Endpoint Manager Mobile
