8 failles logicielles qui ont marqué l’année 2023

Quel point commun entre Atlassian, Cisco, Citrix, Progress Software et VMware dans dernier panorama ANSSI de la menace cyber ? Tous figurent dans le tableau des vulnérabilités logicielles les plus exploitées en 2023. Respectivement avec Confluence, IOS XE, NetScaler, MOVEit et ESXi.

L’agence établit, en parallèle, une liste de huit failles qui ont « particulièrement marqué l’année en raison de leur criticité, du risque d’exploitation ou de leur impact potentiel […] ». Les voici, dans l’ordre chronologie de leur publication.

CVE-2022-41328 (Fortinet)

Le 7 mars 2023, Fortinet émettait un bulletin relatif à cette vulnérabilité de type traversée de chemin.
Un attaquant authentifié avec un compte à privilèges peut lire et écrire des fichiers via l’interface en ligne de commande.
Le vecteur initial semblait provenir de la console FortiManager. L’application seule des correctifs n’était pas suffisante, les attaquants diposant de moyens de persistance.

CVE-2023-23397 (Microsoft)

Le 14 mars, Microsoft révélait cette faille touchant diverses versions d’Outlook pour Windows.
Le risque : une élévation de privilèges. Le levier : la collecte des condensats NTLM par l’intermédiaire d’une ressource SMB distante.
Une deuxième vulnérabilité a fait l’objet d’un correctif au mois de mai. Elle permet de continuer à exploiter la première si on n’avait pas appliqué le correctif de mars pour les serveurs Exchange.

CVE-2023-27997 (Fortinet)

Encore une vulnérabilité chez Fortinet, révélée le 12 juin.
Elle peut permettre l’exécution de code arbitraire à distance sur les produits proposant une fonctionnalité de VPN SSL – activée. Le levier : un dépassement de tampon.
Là aussi, appliquer les correctifs ne suffisait pas : des mesures de durcissement étaient nécessaires.

CVE-2023-36684 (Microsoft)

Autre faille pouvant permettre l’exécution distante de code. Elle affecte Windows Search. Microsoft l’a dévoilée le 11 juillet.
L’exploitation exige une condition de concurrence. L’attaquant doit convaincre l’utilisateur d’effectuer une action. Il peut alors placer des fichiers malveillants échappant aux défenses MOTW (Mark of the Web).

CVE-2023-37580 (Zimbra)

Publication le 13 juillet pour cette faille qui permet l’injection de code indirecte (XSS). Et, ainsi, des atteintes à l’intégrité et à la confidentialité des données.

CVE-2023-35078 (Ivanti)

Endpoint Manager Mobile (ex-MobileIron Core) est affecté par cette vulnérabilité révélée le 24 juillet.
Même risque qu’avec la faille Zimbra, mais avec un autre vecteur : le contournement de l’authentification sur certains chemins d’API.
Ivanti avait vite révélé une deuxième faille (CVE-2023-35081) permettant à qui détenait les droits admin de l ire et d’écrire des fichiers sur le serveur.

CVE-2023-42117 (Exim)

Le 27 septembre, la Zero-Day Initiative avait révélé un bouquet de vulnérabilités, touchant entre autres les couches NTLM et SASL.
La CVE-2023-42117 affectait quant à elle l’agent de transfert de courriel, au niveau du service SMTP. Le manque de validation des entrées utilisateur pouvait entraîner la compromission des données et mémoire… et l’exécution de code à distance.

CVE-2023-4966 (Citrix)

Avec cette faille dévoilée le 10 octobre, il existe aussi un risque de prise de contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Il peut en découler l’exposition d’informaitons sensibles ou l’exécution de code à distance.
Citrix avait révélé, en parallèle, une autre vulnérabilité (CVE-2023-4967) ouvrant la porte à du déni de service.

Illustration © Kentoh – Shutterstock