Alertes sécurité du CERT – 15/01/2024 - Risques Cyber de la semaine : Juniper Networks, Ivanti, SAP, Microsoft, Siemens, GitLab

Veuillez trouver le bulletin d’actualité du CERT du 08 janvier reprenant :

Vulnérabilités significatives de la semaine 02

TABLEAU RÉCAPITULATIF :

Vulnérabilités critiques du 08/01/24 au 14/01/24

Editeur Produit Identifiant CVE Score CVSSv3 Type de vulnérabilité Date de publication Exploitabilité (Preuve de concept publique) Avis Cert-FR Avis éditeur

Juniper Networks Junos OS CVE-2024-21591 9.8 Exécution de code arbitraire à distance 10/01/2024 Pas d’information CERTFR-2024-AVI-0027 https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591?language=en_US

Ivanti Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways CVE-2024-21887 9.1 Exécution de code arbitraire à distance 10/01/2024 Exploitée CERTFR-2024-ALE-001 https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Ivanti Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways CVE-2023-46805 8.2 Contournement de la politique de sécurité 10/01/2024 Exploitée CERTFR-2024-ALE-001 https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

SAP Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-50422 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-50423 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-50424 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

SAP Business Application Studio, Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries CVE-2023-49583 9.1 Élévation de privilèges 09/01/2024 Pas d’information CERTFR-2024-AVI-0018 https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1

Microsoft Windows, Windows Server CVE-2024-20674 8.8 Contournement de la politique de sécurité 09/01/2024 Pas d’information CERTFR-2024-AVI-0021 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674

Microsoft .NET CVE-2024-0057 9.1 Contournement de la politique de sécurité 09/01/2024 Pas d’information CERTFR-2024-AVI-0024 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057

Siemens SIMATIC CN 4100 CVE-2023-49621 9.8 Contournement de la politique de sécurité 09/01/2024 Pas d’information CERTFR-2024-AVI-0014 https://cert-portal.siemens.com/productcert/html/ssa-777015.html

Siemens SIMATIC IPC647E , SIMATIC IPC847E, SIMATIC IPC1047E CVE-2023-51438 10 Exécution de code arbitraire à distance 09/01/2024 Pas d’information CERTFR-2024-AVI-0014 https://cert-portal.siemens.com/productcert/html/ssa-702935.html

GitLab Community Edition (CE) et Enterprise Edition (EE) CVE-2023-5356 9.6 Exécution de code arbitraire à distance 11/01/2024 Pas d’information CERTFR-2024-AVI-0030 https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

GitLab Community Edition (CE) et Enterprise Edition (EE) CVE-2023-7028 10 Contournement de la politique de sécurité 11/01/2024 Code d’exploitation public CERTFR-2024-ALE-002 https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

CVE-2019-17571+2020-9493+2021-26691+2021-39275+2021-44228+2021-44790+2022-23305-2022-37434+2023-38408: Multiples vulnérabilités critique dans les produits JUNIPER NETWORKS

CVE-204-21884+2023-46805 : Multiples vulnérabilités dans les produits IVANTI

CVE2023-7028 : Vulnérabilité dans les produits GITLAB

Autres vulnérabilités

CVE-2023–29357: Vulnérabilité dans MICROSOFT SHAREPOINT

CVE-2023-48795 : Vulnérabilités dans les produits PALO ALTO NETWORKS

CVE-2023-51467 : Vulnérabilité dans APACHE OFBIZ

Rappel des avis émis

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Juniper Networks	Junos OS	CVE-2024-21591	9.8	Exécution de code arbitraire à distance	10/01/2024	Pas d’information	CERTFR-2024-AVI-0027	https://supportportal.juniper.net/s/article/2024-01-Security-Bulletin-Junos-OS-SRX-Series-and-EX-Series-Security-Vulnerability-in-J-web-allows-a-preAuth-Remote-Code-Execution-CVE-2024-21591?language=en_US
Ivanti	Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways	CVE-2024-21887	9.1	Exécution de code arbitraire à distance	10/01/2024	Exploitée	CERTFR-2024-ALE-001	https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
Ivanti	Connect Secure, Policy Secure Gateways, Ivanti Neurons for ZTA gateways	CVE-2023-46805	8.2	Contournement de la politique de sécurité	10/01/2024	Exploitée	CERTFR-2024-ALE-001	https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
SAP	Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries	CVE-2023-50422	9.1	Élévation de privilèges	09/01/2024	Pas d’information	CERTFR-2024-AVI-0018	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	Business Technology Platform (BTP) Security Services Integration Libraries	CVE-2023-50423	9.1	Élévation de privilèges	09/01/2024	Pas d’information	CERTFR-2024-AVI-0018	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	Business Technology Platform (BTP) Security Services Integration Libraries	CVE-2023-50424	9.1	Élévation de privilèges	09/01/2024	Pas d’information	CERTFR-2024-AVI-0018	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
SAP	Business Application Studio, Web IDE Full-Stack, Web IDE pour SAP HANA, Edge Integration Cell, Business Technology Platform (BTP) Security Services Integration Libraries	CVE-2023-49583	9.1	Élévation de privilèges	09/01/2024	Pas d’information	CERTFR-2024-AVI-0018	https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
Microsoft	Windows, Windows Server	CVE-2024-20674	8.8	Contournement de la politique de sécurité	09/01/2024	Pas d’information	CERTFR-2024-AVI-0021	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674
Microsoft	.NET	CVE-2024-0057	9.1	Contournement de la politique de sécurité	09/01/2024	Pas d’information	CERTFR-2024-AVI-0024	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0057
Siemens	SIMATIC CN 4100	CVE-2023-49621	9.8	Contournement de la politique de sécurité	09/01/2024	Pas d’information	CERTFR-2024-AVI-0014	https://cert-portal.siemens.com/productcert/html/ssa-777015.html
Siemens	SIMATIC IPC647E , SIMATIC IPC847E, SIMATIC IPC1047E	CVE-2023-51438	10	Exécution de code arbitraire à distance	09/01/2024	Pas d’information	CERTFR-2024-AVI-0014	https://cert-portal.siemens.com/productcert/html/ssa-702935.html
GitLab	Community Edition (CE) et Enterprise Edition (EE)	CVE-2023-5356	9.6	Exécution de code arbitraire à distance	11/01/2024	Pas d’information	CERTFR-2024-AVI-0030	https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
GitLab	Community Edition (CE) et Enterprise Edition (EE)	CVE-2023-7028	10	Contournement de la politique de sécurité	11/01/2024	Code d’exploitation public	CERTFR-2024-ALE-002	https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

Source : Bulletin d’actualité CERTFR-2023-ACT-003

Alertes sécurité du CERT – 15/01/2024 – Risques Cyber de la semaine : Juniper Networks, Ivanti, SAP, Microsoft, Siemens, GitLab

TABLEAU RÉCAPITULATIF :

Autres vulnérabilités

Recherche

Catégories